Configuration du provisionnement automatisé avec Entra ID

Disponible pour : Plan Entreprise
Rôle requis : Administrateur d'entreprise
 

⚠️ Le guide explique comment configurer la fonctionnalité. Pour connaître les fonctionnalités disponibles, les règles que suit le SCIM de Miro, les problèmes éventuels et la façon de les résoudre, consultez d’abord cette page.
La documentation de Miro sur le SCIM destinée aux développeurs se trouve ici.

Un guide détaillé sur le provisionnement pour les clients qui utilisent le programme de licences flexibles est disponible ici. 

Prérequis

L’API du SCIM de Miro est utilisée par les partenaires SSO pour faciliter le provisionnement, la gestion des utilisateurs et des équipes (groupes). L’authentification unique (SSO) basée sur le système SAML doit être correctement configurée et fonctionnelle dans votre plan Enterprise Miro avant de commencer à configurer le provisionnement automatisé. Les instructions pour configurer l'authentification unique (SSO) sont disponibles ici. 

Vos groupes de sécurité et vos équipes Miro doivent déjà être créés et nommés de la même manière.

Configuration du Provisionnement

Une fois l’application créée lors de la configuration du SSO, vous verrez ses paramètres :

Paramètres de l’application Miro

1. Choisissez l’élément Approvisionnement dans le panneau de gauche, puis changez le Mode d’approvisionnement de Manuel à Automatique :
2. Fournir les identifiants d’admin :
   a) Utilisez https://miro.com/api/v1/scim/ comme URL du locataire
   b) Fournissez le Token secret. Vous pouvez l’obtenir depuis la section SSO de vos paramètres Miro comme suit :
   c) Cliquez sur le bouton Test de connexion juste en dessous de la zone de modification Clé secrète.
   Si le test de connexion est réussi, vous recevrez la notification suivante :
   
   Notification de test de connexion réussi
   S’il n’y a pas de confirmation, revérifiez l’URL du locataire et assurez-vous qu’elle n’est pas bloquée par des pare-feu ou tout autre intercepteur de trafic à l'intérieur de votre réseau, et assurez-vous que le Token API est correct.
3. Sauvegardez la configuration :
   
   Sauvegarde de la configuration

Cartographies

L’API SCIM de Miro utilise une partie des métadonnées qu’Entra ID associe aux utilisateurs et aux groupes. Cette section explique les cartographies nécessaires entre l’API SCIM de Miro et les attributs d’Entra ID.

Utilisateurs

1. Choisissez l’onglet Provisioning sur le côté gauche, puis cliquez sur Synchroniser les utilisateurs d’Entra Active Directory avec Miro :
   
   Activation de la synchronisation
2. Les cartographies par défaut sont censées être suffisantes. Cependant, vérifiez que la synchronisation est activée pour les utilisateurs et que toutes les méthodes requises (Créer, Mettre à jour et Supprimer) sont activées :
   
   Cartographie d’attributs

Veuillez noter que Miro reconnaîtra les utilisateurs Entra uniquement par leur UPN dans le cadre du flux initié par le fournisseur de services (SP).

Pour ajouter l’un des attributs pris en charge, cliquez sur l’option Afficher les options avancées et sélectionnez Modifier la liste des attributs pour Miro :

Options avancées

Saisissez ensuite le nom de l’attribut que vous souhaitez cartographier et enregistrez-le. Veuillez consulter notre documentation sur le SCIM pour obtenir la liste complète des attributs pris en charge.

Attributs de l’utilisateur Miro

Vous pouvez maintenant choisir l’option Ajouter une nouvelle cartographie et sélectionner le nouvel attribut que nous venons d’ajouter :

Notez que pour pouvoir cartographier un nouvel attribut, vous devez activer cette option en accédant à Entra avec l'URL suivante :

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Pour plus d'informations sur l'ajout de nouveaux attributs, veuillez visiter la documentation de Microsoft ici et ici. 

⚠️ L’attribut ProfilePicture n’est pas pris en charge par Entra. Vous pouvez demander cette fonctionnalité pour encourager son développement sur User Voice.

Groupes

1. Choisissez l'onglet Provisioning à gauche, puis cliquez sur Synchroniser les groupes Entra Active Directory vers Miro.

2. Les cartographies par défaut sont censées être suffisantes. Vérifiez que la synchronisation est activée pour les groupes et décochez Créer et Supprimer - notez que l’API SCIM de Miro ne prend pas en charge la création et la suppression des équipes.
    

   ⚠️ Nous recommandons fortement de décocher les méthodes pour éviter des changements non planifiés lorsque nous commencerons à prendre en charge les méthodes. 

   

3. Cliquez sur Enregistrer.

Affectations des utilisateurs et des groupes

La fonctionnalité Miro SCIM Provisioning vous aide à provisionner et déprovisionner les utilisateurs de votre abonnement Enterprise et à les répartir automatiquement entre les équipes. 

Les utilisateurs ou groupes d'Entra Active Directory doivent être assignés à l’application Miro SCIM Provisioner pour être gérés automatiquement dans Miro. 

Pour affecter des utilisateurs et des groupes à l'application, suivez les étapes ci-dessous.

1. Choisissez l’onglet Provisioning sur la gauche. Dans la section Settings, assurez-vous que la portée est définie sur celle que vous souhaitez synchroniser avec Miro. Veuillez choisir "Sync only assigned users and groups".
2. Choisissez les onglets Utilisateurs et groupes dans le panneau de gauche, puis cliquez sur Ajouter un utilisateur :
   
   Onglet Utilisateurs et groupes
3. Dans l'écran Ajouter une affectation, choisissez l’onglet Utilisateurs et groupes, puis sélectionnez les utilisateurs et les groupes dans la liste. REMARQUE : L’API SCIM de Miro ne crée pas de nouvelles équipes dans Miro. Veuillez consulter la liste des fonctionnalités SCIM ici.
4. Cliquez sur les boutons Sélectionner, puis Attribuer.
5. Les utilisateurs et groupes assignés apparaîtront dans la liste.

✏️ Retirer l’assignation pour des groupes dans Entra ID ne supprime pas les utilisateurs de l’équipe synchronisée dans Miro et ne les désactive pas. Pour parvenir à désaprovisionner correctement les utilisateurs, supprimez-les de tous les groupes Entra ID connectés à Miro.

Rétrograder un utilisateur

Pour rétrograder un utilisateur, suivez ces étapes :

1. Dans Entra ID, suivez ces étapes :
   1. Retirez l'utilisateur du groupe où le rôle d'application Complet est assigné.
   2. Assurez-vous que l'utilisateur est membre d'un autre groupe où le rôle Utilisateur est assigné.
2. Dans Miro, mettez à jour leur licence vers Gratuite restreinte.

⚠️ Si vous retirez un utilisateur de tous les groupes Entra ID assignés à l'application Miro, alors l'utilisateur est désactivé dans Miro et perd l'accès à l'application Miro. Si l'utilisateur que vous rétrogradez doit continuer à accéder à Miro avec une licence Gratuite restreinte, alors assurez-vous que l'utilisateur est membre d'un groupe Entra ID où le rôle Utilisateur est assigné.

✏️ La rétrogradation d’un utilisateur d’une licence complète à une licence gratuite restreinte via le provisionnement SCIM n’est pas encore prise en charge.

Activation et désactivation du provisionnement

Lorsque la configuration initiale est terminée, basculez le bouton d'état de provisionnement pour activer le provisionnement.

1. Choisissez l’onglet Provisioning sur la gauche.
2. Cliquez sur l'option On sur le bouton à bascule de l’état du Provisionnement.
   
   État du provisionnement
3. Appuyez sur Enregistrer. Cela lancera le provisionnement initial qui peut prendre un certain temps. Revenez dans 20 minutes environ et vérifiez l’état en bas de la page.

Si nécessaire, choisissez l’option Off pour désactiver le provisionnement. Notez qu’Entra met à jour les données par intermittence. Si vous avez besoin d’une mise à jour urgente, arrêtez le provisionnement et recommencez. La resynchronisation sera immédiate et entraînera également les mises à jour.

Dissociation des groupes et des équipes

Pour activer le SCIM et synchroniser vos groupes avec vos équipes Miro, ces derniers doivent être nommés de la même manière, car Miro effectue la synchronisation en fonction de la valeur du nom. Toutefois, si vous souhaitez qu’ils soient nommés différemment, vous pouvez modifier leur nom après la synchronisation. Veuillez consulter l’exemple ci-dessous. 

Le résultat prévu : dans Entra, il y a un groupe nommé sfo_hq_eng_support tandis que dans Miro, il y a une équipe nommée Assistance technique et la synchronisation est effectuée entre les deux.

Exécutez la commande curl pour lister tous les groupes de sécurité (n’oubliez pas de remplacer les espaces réservés par vos valeurs à vous) :

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups 

Réponse de l’échantillon :

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Ressources": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

À ce stade dans Miro, il existe l’équipe Miro nommée Assistance technique et le groupe de sécurité Miro Assistance technique (avec l’id 3074457345618261605). Ils sont cartographiés 1:1.

L’objectif est maintenant de modifier le nom du groupe de sécurité Assistance technique par sfo_hq_eng_support sans modifier le nom de l’équipe. Pour cela, exécutez la commande curl :

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Ce changement sera immédiatement affiché sur la page des équipes Miro de l’entreprise.

Entra effectue la synchronisation programmée en arrière-plan toutes les 40 minutes. Lors de la prochaine synchronisation, Entra verra le groupe de sécurité sfo_hq_eng_support dans Miro et le reliera automatiquement au groupe correspondant dans Entra.

À ce stade, vous avez connecté votre groupe de sécurité à l’une de vos équipes Miro et leur avez donné un nom différent. 

Problèmes éventuels et comment les résoudre

Problèmes relatifs à la modification des adresses e-mail des utilisateurs

Si vous avez mis à jour l’adresse e-mail de certains utilisateurs, mais que vous ne voyez aucun changement dans Miro, vérifiez que l’attribut prévu est mis à jour. Ce problème peut généralement survenir si vous utilisez l’attribut emails[type eq "work"].

L’attribut emails[type eq "work"] est un attribut par défaut dans Entra. Miro le prend donc en charge - mais seulement parce qu’il est en lecture seule et qu’il est généré dynamiquement à partir de userName. 
Lors de la lecture des utilisateurs, nous renvoyons :

Étant donné que emails[type eq "work"] est en lecture seule de notre côté, Miro ignorera toute tentative de le modifier. En effet, dans Miro, l'e-mail de l'utilisateur est l'identifiant principal; c'est ce qui permet de reconnaître les utilisateurs, nous ne prenons donc pas en charge les e-mails supplémentaires. Or, la structure du SCIM nécessite une gamme d’e-mail pour que nous puissions prendre en charge son existence. 

Pour modifier les adresse e-mail d’un utilisateur, la mise à jour doit être envoyée pour userName, et non pas emails[type eq "work"]. 

Erreur Failed to update user

Les journaux d'Entra affichent un état Failed avec :

Raison du statut - "Impossible de mettre l’utilisateur à jour : l’attribut de l’adresse e-mail ne compte pas de valeur multiple ou complexe"
Code erreur - SystemForCrossDomainIdentityManagementServiceIncompatible