Le système de gestion inter-domaines, ou SCIM (pour System for Cross-domain Identity Management en anglais), offre un provisionnement et une gestion des utilisateurs automatisés pour les abonnements Miro Enterprise par l’intermédiaire de votre fournisseur d’identité (IdP).
Disponible pour : plan Enterprise
Configuré par : les admins d’entreprise
Important à savoir
- Le SSO basé sur le système SAML doit être correctement configuré et fonctionnel dans votre plan Enterprise avant que vous ne commenciez à configurer l’approvisionnement automatisé.
Consultez ce guide pour configurer le SSO SAML. Tous les groupes assignés doivent exister dans votre abonnement Miro en tant qu’équipes sous des noms identiques avant d’effectuer le lien.
Des équipes peuvent être créées et gérées à l’aide de l’API Teams.
Si vous devez nommer vos groupes et vos équipes différemment, vous pourrez les renommer une fois la synchronisation établie.Les modifications de mot de passe ne sont pas prises en charge.
Nous ne prévoyons actuellement pas de prendre ces changements en charge.- Si un utilisateur est membre de deux comptes Enterprise ou plus, vous ne pouvez pas mettre à jour son nom d’utilisateur (adresse e-mail) : cette mesure permet d’éviter des conflits avec les politiques de partage instaurées.
Pour effectuer cette mise à jour, assurez-vous d’abord que le deuxième compte de l’utilisateur a été supprimé. Si vous avez besoin d’aide, n’hésitez pas à contacter le service d’assistance de Miro.
Les règles suivies par le SCIM de Miro
- Les modifications synchronisées par le SCIM sont principalement appliquées aux utilisateurs nouvellement attribués. Le statut des personnes qui sont déjà souscrites à votre abonnement sera complété, mais ces informations ne seront peut-être pas remplacées, car les changements sont appliqués au niveau du groupe/de l’équipe. Par exemple :
a) Si un utilisateur est membre de l’équipe 1 dans Miro et que votre IdP envoie une mise à jour pour l’ajouter à l’équipe 2, son statut dans l’équipe 1 n’est pas affecté.
b) Si votre IdP envoie une mise à jour concernant les informations de l’utilisateur 1, les autres membres de l’équipe ne sont pas affectés. Tel qu’indiqué dans Fonctionnalités prises en charge > Synchronisation et push de groupes, si vous souhaitez remplacer le statut de l’équipe et resynchroniser tous les utilisateurs en même temps, essayez d’initier un nouveau Push. - Tous les utilisateurs provisionnés par le SCIM se voient attribuer la licence par défaut de votre abonnement :
a) Pour les abonnements Enterprise sans programme de licences flexible : une licence complète. Si votre abonnement ne dispose plus de licences à distribuer, les utilisateurs commencent alors à recevoir une licence gratuite restreinte.
b) Pour les abonnements Enterprise comprenant un programme de licences flexible actif : une licence gratuite ou gratuite restreinte, en fonction de la licence par défaut de l’abonnement.
- Si vous devez attribuer une licence différente de celle par défaut à certains utilisateurs :
comme indiqué ci-dessus, tous les utilisateurs recevront la licence par défaut. Toutefois, vous pouvez immédiatement mettre à jour les licences de tous les utilisateurs ou d’une partie d’entre eux à l’aide de l’attribut UserType accompagné d’une valeur Full (complète). Les utilisateurs mis à jour à l’aide de cet attribut verront leur compte mis à niveau vers une licence complète sans qu’ils ne rencontrent de temps d’interruption. - Tous les utilisateurs gérés par le SCIM sont également affectés par la fonctionnalité Domain control (Contrôle du domaine). Cela signifie que si un utilisateur est membre d’un seul groupe de sécurité au sein de votre fournisseur d’identité, mais que vos paramètres de contrôle du domaine le placent dans trois équipes, cet utilisateur sera également ajouté à ces trois équipes.
- Pour protéger le service, Miro limite le nombre d’appels d’API disponibles toutes les 30 secondes :Type de demandeNiveau de limite
GET scim/users
GET scim/users/{userId}
Niveau de limite de premier plan 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Niveau de limite de troisième plan 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Niveau de limite de quatrième plan 4 GET scim/Groups/{groupId}
Niveau de limite de troisième plan 4
Pour plus de détails sur les niveaux de limite, veuillez consulter cette page. Si le nombre de demandes dépasse la limite, Miro renverra le message standard 429 Too many requests (429 Trop de requêtes).
Fonctionnalités prises en charge
Le schéma détaillé du SCIM de Miro se trouve ici.
Miro prend en charge les fonctionnalités d’approvisionnement suivantes :
- Créer de nouveaux utilisateurs
Les nouveaux utilisateurs attribués à l’application Miro dans l’IdP seront créés dans votre abonnement Miro Enterprise en tant que membres Enterprise. Les utilisateurs qui sont ajoutés à un groupe d’utilisateurs synchronisé avec une équipe Miro et portant le même nom seront ajoutés à l’équipe en tant que membres de l’équipe. - Push des mises à jour des profils d’utilisateurs
Pour connaître les attributs et les modifications pris en charge, voir ci-dessous. - Synchronisation et push de groupes
Synchronisez vos groupes IdP et leurs membres avec les équipes de votre abonnement Miro Enterprise pour gérer automatiquement l’abonnement des utilisateurs. Une synchronisation continue enverra des mises à jour spécifiques concernant les utilisateurs de votre groupe à l’équipe Miro synchronisée. Un Push quant à lui remplacera l’état de l’équipe, traitant le groupe comme une source de vérité (s’il y a eu des modifications manuelles par vos admins d’entreprise depuis Miro). - Découpler les noms de groupe/d’équipe
Miro synchronise les groupes et les équipes par leur nom, c’est pourquoi ils doivent partager le même nom. Cependant, après la création de la synchronisation initiale, vous pourrez modifier le nom du groupe et/ou de l’équipe selon vos besoins. Vous trouverez un exemple de découplage ici. - Retirer les utilisateurs d’un groupe ou d’une équipe (pas de l’abonnement Enterprise, voir ci-dessous).
Le retrait d’un utilisateur d’un groupe le supprimera de l’équipe Miro synchronisée (au cours du prochain push de groupe). - Désactiver les utilisateurs
Désactiver/supprimer un utilisateur ou désactiver l’accès de l’utilisateur à l’application dans l’IdP désactivera cet utilisateur de votre plan Miro Enterprise. Lorsqu’un utilisateur est désactivé via le SCIM, son appartenance à l’équipe dans Miro n’est pas modifiée et son contenu n’est pas réattribué. Il passe simplement d’un état Active (Actif) à un état Deactivated (Désactivé) (et dans la section des utilisateurs, respectivement) et cesse de consommer une licence.
La suppression d’un utilisateur de l’abonnement Enterprise n’est pas prise en charge par défaut. Vous pouvez néanmoins ajouter manuellement la fonctionnalité à l’aide de l’API pour supprimer complètement l’utilisateur de l’abonnement au lieu de lui octroyer un statut Deactivated (Désactivé). Dans ce cas de figure, le contenu est réaffecté aux membres de l’équipe respective. Il est impossible de définir quels seront les admins qui récupéreront la propriété du contenu lors de sa réaffectation automatique. Cela peut toutefois être défini lorsque vous désactivez manuellement un utilisateur dans les paramètres de Miro. - Réactiver les utilisateurs
Réassigner un utilisateur à l’application ou réactiver le profil de l’utilisateur dans l’IdP le réactivera dans votre abonnement Miro Enterprise si cet utilisateur était précédemment approvisionné et désactivé. - Mettre à jour les adresses e-mail (identifiant principal)
Si vous avez modifié votre nom de domaine ou si une mise à jour de l’adresse e-mail de certains utilisateurs est nécessaire, parce que ces derniers ont changé de nom par exemple, vous pouvez transférer ces modifications depuis votre répertoire utilisateur vers Miro. Une notification sera envoyée à l’ancienne et à la nouvelle adresse e-mail et informera l’utilisateur qu’il doit maintenant utiliser sa nouvelle adresse e-mail pour se connecter à Miro.⚠️ Notez que la mise à jour de l’adresse e-mail doit être effectuée dans le profil de l’utilisateur, et non dans la liste des attributions.
Vous pouvez également supprimer les utilisateurs de votre plan Enterprise en envoyant un appel Delete (Supprimer) direct à l’API. Pour ce faire, veuillez consulter la documentation appropriée ici. Veuillez noter que seuls les appels directs supprimeront les utilisateurs. La suppression des événements initiés par votre solution d’identité sera traitée comme une demande Deactivate (Désactiver).
Attributs pris en charge
⚠️ Le paramètre principal/l’identifiant unique (il est probable qu’il soit marqué sous l’attribut userName dans le service du fournisseur d’identité) est la seule valeur requise par Miro et doit être sous la forme d’une adresse e-mail.
Les attributs énumérés ci-dessous ne sont pas requis et seront acceptés par Miro s’ils sont présents (les autres attributs envoyés à Miro seront ignorés).
Nom de l’attribut
|
Attribut SCIM (Revendication)
|
---|---|
Email (Adresse e-mail) |
userName. |
Full name (Nom complet) |
displayName; formated; givenName + " " + familyName; userName |
User type (Type d’utilisateur) |
userType |
Active (Actif) |
active |
|
|
Profile Picture (Image du profil) |
photos.^[type==’photo’].value or Il doit s’agit d’une URL textuelle vers l’image. Types de fichiers pris en charge : jpg, jpeg, bmp, png, gif
|
User Role (Rôle de l’utilisateur) |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Azure) valeurs prises en charge : |
Employee number (Numéro de l’employé) |
employeeNumber |
Cost center (Centre de coûts) |
costCenter |
Organization (Organisation) | organization |
Division (Branche) | division |
Department (Département) | département |
Manager name (Nom du gestionnaire) |
manager.displayName |
Manager id (ID du gestionnaire) |
valeur le champ "value" (valeur) est de type String dans un SCIM standard, mais le champ managerId |
⚠️ Les modifications de mot de passe ne sont pas prises en charge et nous ne prévoyons actuellement pas de prendre ces changements en charge.
⚠️ Le nom d’utilisateur (Username), UserType et roles.value ne peuvent pas être mis à jour pour les utilisateurs désactivés.
Tous les attributs seront affichés dans le fichier CSV exporté contenant la liste des utilisateurs qui peut être téléchargé depuis la section Active Users (Utilisateurs actifs).
L’option permettant de télécharger une liste d’utilisateurs
Configuration du SCIM
Étape 1 : activer l’option SCIM dans Miro
Pour activer le SCIM pour votre plan Miro Enterprise, rendez-vous dans Company settings (Paramètres de l’entreprise) > Enterprise integrations (Intégrations Enterprise), puis activez la fonctionnalité SCIM Provisioning (approvisionnement SCIM). De là, vous pouvez obtenir l’URL de base et le jeton de l’API pour configurer votre IdP.
SCIM dans les paramètres Miro
Étape 2 : configurer votre fournisseur d’identité
La configuration dépendra du fournisseur d’identité que vous utilisez. Miro prend en charge Okta et Azure AD préconfigurés, mais vous pouvez utiliser n’importe quel fournisseur d’identité de votre choix tant qu’il permet la configuration du SCIM.
OKTA : consultez les instructions de configuration ici.
Azure AD : consultez les instructions de configuration ici.
Problèmes possibles et comment les résoudre
1. Les utilisateurs ne sont pas provisionnés en raison d’une erreur allowlist (liste d’autorisation).
Un exemple de l’erreur du fournisseur d’identité Okta
Veuillez vous assurer que l’adresse du domaine de l’utilisateur est ajoutée à votre liste d’autorisations dans Security settings (Paramètres de sécurité).
2. Si vous authentifiez vos utilisateurs finaux à l’aide d’une solution d’identité (IdP1), mais que vous souhaitez activer le SCIM via une solution différente (IdP2), vous pouvez le faire sous deux conditions :
- l’IdP2 peut faire des appels d’API avec le jeton titulaire.
- les deux fournisseurs d’identité sont synchronisés (c’est-à-dire que les utilisateurs approvisionnés par le SCIM existent dans l’IdP1 également et peuvent donc s’authentifier avec Miro).
Pour plus d’informations, veuillez contacter l’équipe d’assistance de Miro.