Disponible pour : le forfait Enterprise
Rôle requis : Admin d’entreprise
⚠️ Le guide explique comment configurer la fonctionnalité. En ce qui concerne les fonctionnalités disponibles, les règles du SCIM de Miro ainsi que les problèmes éventuels et la façon de les résoudre, veuillez d’abord consulter cette page.
La documentation du développeur de Miro pour SCIM se trouve ici.
Un guide de provisionnement détaillé pour les personnes qui utilisent le programme de licences flexible se trouve ici.
Prérequis
L’API du SCIM de Miro est utilisée par les partenaires SSO pour faciliter le provisionnement, la gestion des utilisateurs et des équipes (groupes). L’authentification unique (SSO) basée sur le système SAML doit être correctement configurée et fonctionnelle dans votre plan Enterprise Miro avant que vous ne commenciez à configurer le provisionnement automatisé. Les instructions sur la façon de configurer le SSO se trouvent ici.
Vos groupes de sécurité et vos équipes Miro doivent déjà être créés et nommés de la même manière.
Configuration du provisionnement
Une fois l'application créée lors de la configuration SSO, vous verrez ses paramètres :
Miro_app_settings.jpg
Paramètres de l'application Miro
- Choisissez l’élément Provisioning (Provisionnement) dans le panneau de gauche, puis changez le Provisioning Mode (Mode de provisionnement) de Manual (Manuel) à Automatic (Automatique) :
- Fournir des identifiants admin :
a) Utiliser https://miro.com/api/v1/scim/ comme URL du locataire
b) Fournir le jeton secret. Vous pouvez l'obtenir à partir de la section SSO de vos paramètres Miro comme suit :
scim.jpg
c) Cliquez sur le bouton Tester la connexion juste en dessous de la boîte d'édition de la clé secrète.
Si la connexion passe le test, vous recevrez la notification suivante :
Notification d'un test de connexion réussi
S'il n'y a pas de confirmation, vérifiez à nouveau l'URL du locataire et assurez-vous qu'elle n'est pas bloquée par des pare-feu ou d'autres intercepteurs de trafic au sein de votre réseau, et que le jeton API est correct. - Enregistrez la configuration.
save_configuration.jpg
Sauvegarde de la configuration
Cartographies
L'API Miro SCIM utilise une partie des métadonnées qu'Entra ID associe aux utilisateurs et aux groupes. Cette section explique les correspondances requises entre l'API Miro SCIM et les attributs Entra ID.
Utilisateurs
- Choisissez l'onglet Provisioning sur le côté gauche, puis cliquez sur Synchronize Entra Active Directory Users to Miro:
synchronize_users.jpg
Activation de la synchronisation - Les cartographies par défaut sont censées être suffisantes. Cependant, vérifiez que la synchronisation est activée pour les utilisateurs et que toutes les méthodes requises (création, mise à jour, suppression) sont activées :
attribute_mapping.jpg
Mappage d'attributs
Veuillez noter que Miro ne reconnaîtra les utilisateurs d'Entra que par leur UPN pour le flux initié par le SP.
Pour ajouter l’un des attributs pris en charge, cliquez sur l’option Show advanced options (Afficher les options avancées) et sélectionnez Edit attribute list for Miro (Modifier la liste des attributs pour Miro) :
attribute_mappings.jpg
Options avancées
Saisissez ensuite le nom de l'attribut que vous souhaitez mapper et enregistrez-le. Veuillez consulter notre documentation SCIM pour obtenir la liste complète des attributs pris en charge.
Miro_user_attrbutes.jpg
Attributs de l’utilisateur Miro
Vous pouvez maintenant choisir l’option Add New Mapping (Ajouter une nouvelle cartographie) et sélectionnez le nouvel attribut que nous venons d’ajouter :
edit_attribute.jpg
Notez que pour pouvoir mapper un nouvel attribut, vous devez activer cette option en accédant à Entra à l'aide de l'URL suivante :
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
Pour plus d’informations sur l’ajout de nouveaux attributs, veuillez consulter la documentation de Microsoft ici et ici.
⚠️ L'attribut ProfilePicture n'est pas pris en charge par Entra. Vous pouvez demander cette fonctionnalité pour promouvoir son développement sur User Voice.
Groupes
- Choisissez l'onglet Provisioning sur la gauche, puis cliquez sur Synchronize Entra Active Directory Groups to Miro.
-
Les cartographies par défaut sont censées être suffisantes. Vérifiez que la synchronisation est activée pour les groupes et décochez les méthodes Create (Créer) et Delete (Supprimer) - notez que l’API du SCIM de Miro ne prend pas en charge la création et la suppression des équipes.
⚠️ Nous recommandons fortement de décocher les méthodes pour éviter des changements non planifiés lorsque nous commencerons à prendre en charge les méthodes.
- Cliquez sur Enregistrer.
Affectation des utilisateurs et des groupes
Miro SCIM Provisioning vous aide à approvisionner et à déprovisionner les utilisateurs de votre abonnement Enterprise, et à les répartir automatiquement entre les équipes.
Les utilisateurs ou les groupes d'Entra Active Directory doivent être affectés à l'application Miro SCIM Provisioner pour être automatiquement gérés dans Miro.
Pour affecter des utilisateurs et des groupes à l’application, suivez les étapes ci-dessous.
- Choisissez l’onglet Provisioning (Provisionnement) sur la gauche. Dans la section Settings (Paramètres), assurez-vous que la portée est réglée sur celle que vous souhaitez synchroniser avec Miro. Veuillez choisir « Sync only assigned users and groups » (Synchroniser uniquement les utilisateurs et groupes assignés).
- Choisissez les onglets Utilisateur et Groupes dans le panneau de gauche, puis cliquez sur Ajouter un utilisateur:
user_and_groups.jpg
Onglet Utilisateurs et groupes - Dans l'écran Add assignment (Ajouter une affectation), choisissez l’onglet Users and groups (Utilisateurs et groupes), puis sélectionnez les utilisateurs et les groupes dans la liste. REMARQUE L'API SCIM de Miro ne crée pas de nouvelles équipes dans Miro. Veuillez consulter la liste des fonctionnalités du SCIM ici.
- Cliquez sur Select (Sélectionner), puis sur les boutons Assign (Affecter).
- Les utilisateurs et groupes assignés apparaîtront dans la liste.
Déclassement d'un utilisateur dans Entra ID
Pour rétrograder un utilisateur, retirez-le du groupe Entra ID où le rôle d'application complète est attribué. Assurez-vous ensuite que l'utilisateur est membre d'un groupe auquel le rôle d'application Utilisateur est attribué. Dans Miro, mettez à jour leur licence en la transformant en licence gratuite restreinte.
⚠️ Si vous supprimez un utilisateur de tous les groupes Entra ID affectés à l'application Miro, l'utilisateur est désactivé dans Miro et perd l'accès à l'application Miro. Si l'utilisateur que vous rétrogradez doit continuer à accéder à Miro avec une licence gratuite restreinte, assurez-vous qu'il est membre d'un groupe Entra ID auquel le rôle d' utilisateur est attribué.
✏️ La rétrogradation d'un utilisateur d'une licence gratuite restreinte à une licence gratuite restreinte via le provisionnement SCIM n'est pas encore prise en charge.
Activation et désactivation du provisionnement
Lorsque la configuration initiale est terminée, basculez le bouton Provisioning Status (Statut du provisionnement) pour activer le provisionnement.
- Choisissez l’onglet Provisioning (Provisionnement) sur la gauche.
- Cliquez sur l'option On dans la liste déroulante Provisioning Status.
provisioning_status.jpg
État du provisionnement - Cliquez sur Save (Sauvegarder). Cela lancera le provisionnement initial qui peut prendre un certain temps. Revenez dans 20 minutes environ et vérifiez le statut en bas de la page.
Si nécessaire, choisissez l’option Off (Arrêt) pour désactiver le provisionnement. Notez qu'Entra met à jour les données de façon intermittente, donc si vous avez besoin d'une mise à jour urgente, arrêtez le provisionnement et recommencez. La resynchronisation sera immédiate et entraînera également les mises à jour.
Découpler les groupes et les équipes
Pour activer le SCIM et synchroniser vos groupes avec vos équipes Miro, ces derniers doivent être nommés de la même manière, car Miro effectue la synchronisation en fonction de la valeur du nom. Toutefois, si vous souhaitez qu’ils soient nommés différemment, vous pouvez modifier leur nom après la synchronisation. Veuillez consulter l’exemple ci-dessous.
Le résultat prévu : dans Entra, il existe un groupe appelé sfo_hq_eng_support tandis que dans Miro, il existe une équipe appelée Engineering Support et la synchronisation est effectuée entre les deux.
Exécutez la commande curl pour lister tous les groupes de sécurité (n’oubliez pas de remplacer les espaces réservés par vos valeurs à vous) :
curl \N- Curl \N- Curl \N
-H "Accept : application/json" \N -H "Accept : application/json" -H "Accept : application/json" \N
-H "Content-Type : application/json" \N -H "Content-Type : application/json" -H "Content-Type : application/json" \N
-H "Authorization : Bearer SCIM_API_TOKEN" \N- "Bearer SCIM_API_TOKEN".
-X GET https://miro.com/api/v1/scim/Groups
Réponse de l’échantillon :
"schemas" : [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
"totalResults" : 1.
Ressources
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:Group"
ID 3074457345618261605.
displayName; Nom de l'équipe "YourMiroTeamName",
Membres
"meta" : {
"resourceType" : Grouper
"location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
À ce stade dans Miro, il existe l’équipe Miro nommée Assistance technique et le groupe de sécurité Miro Assistance technique (avec l’id 3074457345618261605). Ils sont cartographiés 1:1.
L’objectif est maintenant de modifier le nom du groupe de sécurité Assistance technique par sfo_hq_eng_support sans modifier le nom de l’équipe. Pour cela, exécutez la commande curl :
curl \N- Curl \N- Curl \N
-H "Accept : application/json" \N -H "Accept : application/json" -H "Accept : application/json" \N
-H "Content-Type : application/json" \N -H "Content-Type : application/json" -H "Content-Type : application/json" \N
-H "Authorization : Bearer SCIM_API_TOKEN" \N- "Bearer SCIM_API_TOKEN".
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \N- -X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \N- -X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \N- -X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605
D
"schemas" : [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
Opérations
"op" : remplacer
"path" : "displayName",
Valeur "Votre nom de groupe de sécurité"
Ce changement sera immédiatement affiché sur la page des équipes Miro de l’entreprise.
Entra effectue la synchronisation programmée en arrière-plan toutes les 40 minutes. Lors de la prochaine synchronisation, Entra verra le groupe de sécurité sfo_hq_eng_support dans Miro et le reliera automatiquement au groupe correspondant dans Entra.
À ce stade, vous avez connecté votre groupe de sécurité à l’une de vos équipes Miro et leur avez donné un nom différent.
Problèmes éventuels et comment les résoudre
Problèmes relatifs à la modification des adresses e-mail des utilisateurs
Si vous avez mis à jour l’adresse e-mail de certains utilisateurs, mais que vous ne voyez aucun changement dans Miro, vérifiez que l’attribut prévu est mis à jour. Ce problème peut généralement survenir si vous utilisez l’attribut emails[type eq "work"].
L'attribut e-mail[type eq "work"] est un attribut par défaut dans Entra, Miro le prend donc en charge - mais seulement en ce sens qu'il est en lecture seule et qu'il est généré dynamiquement à partir de userName.
Lors de la lecture des utilisateurs, nous renvoyons :
e-mails [type eq "work"] sont en lecture seule de notre côté, Miro ignorera toute tentative de modification. En effet, dans Miro, l'e-mail de l'utilisateur est l'identifiant principal de l'utilisateur ; c'est par lui que nous reconnaissons les utilisateurs, et nous ne prenons donc pas en charge les e-mails supplémentaires. Or, la structure du SCIM nécessite une gamme d’e-mail pour que nous puissions prendre en charge son existence.
Pour modifier les adresse e-mail d’un utilisateur, la mise à jour doit d’abord être envoyée pour l’attribut userName et non pas emails[type eq "work"].
Erreur Failed to update user (Impossible de mettre l’utilisateur à jour)
Les journaux d'Entra indiquent un état d'échec avec :
Motif de l'état - "Échec de la mise à jour de l'utilisateur : L'attribut e-mail n'a pas de valeur multiple ou complexe".
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible