Le système de gestion inter-domaines, ou SCIM (pour System for Cross-domain Identity Management en anglais), offre un provisionnement et une gestion des utilisateurs automatisés pour les abonnements Miro Enterprise par l’intermédiaire de votre fournisseur d’identité (IdP).
Disponible pour : le forfaitEnterprise
Configuré par : les admins d’entreprise
Important à savoir
- Le SSO basé sur le système SAML doit être correctement configuré et fonctionnel dans votre forfait Enterprise avant que vous ne commenciez à configurer l’approvisionnement automatisé.
Consultez ce guide pour configurer le SSO SAML. -
Tous les groupes assignés doivent exister dans votre abonnement Miro en tant qu’équipes sous des noms identiques avant d’effectuer le lien.
Des équipes peuvent être créées et gérées à l’aide de l’API des équipes.
Si vous devez nommer vos groupes et vos équipes différemment, vous pourrez les renommer une fois la synchronisation établie. -
Les modifications de mot de passe ne sont pas prises en charge.
Nous ne prévoyons actuellement pas de prendre ces changements en charge. - Si un utilisateur est membre de deux comptes Enterprise ou plus, vous ne pouvez pas mettre à jour son nom d’utilisateur (adresse e-mail) : cette mesure permet d’éviter des conflits avec les politiques de partage instaurées.
Pour effectuer cette mise à jour, assurez-vous d’abord que le deuxième compte de l’utilisateur a été supprimé. Si vous avez besoin d’aide, n’hésitez pas à contacter le service d’assistance de Miro.
Les règles suivies par le SCIM de Miro
-
Les modifications synchronisées par le SCIM sont principalement appliquées aux utilisateurs nouvellement attribués. Le statut des personnes qui sont déjà souscrites à votre abonnement sera complété, mais ces informations ne seront peut-être pas remplacées, car les changements sont appliqués au niveau du groupe/de l’équipe. Par exemple :
a) si un utilisateur est membre de l’équipe 1 du côté de Miro et que votre IdP envoie une mise à jour pour l’ajouter à l’équipe 2, son statut dans l’équipe 1 n’est pas affecté.
b) si votre IdP envoie une mise à jour concernant les informations de l’utilisateur 1, les autres membres de l’équipe ne sont pas affectés. Comme mentionné dans les fonctionnalités prises en charge > synchroniser et push les groupes, afin de remplacer le statut de l’équipe et de resynchroniser tous les utilisateurs en même temps, essayez d’initier un nouveau push.
- Tous les utilisateurs provisionnés par le SCIM se voient attribuer la licence par défaut de votre abonnement :
a) Pour les abonnements Enterprise sans programme de licences flexibles : une licence complète. Si votre abonnement ne dispose plus de licences à distribuer, les utilisateurs commencent alors à recevoir une licence gratuite restreinte.
b) Pour les abonnements Enterprise comprenant un programme de licences flexibles actif : une licence gratuite ou gratuite restreinte, en fonction de la licence par défaut de l’abonnement.
- Si vous devez attribuer une licence différente de celle par défaut à certains utilisateurs :
comme indiqué ci-dessus, tous les utilisateurs recevront la licence par défaut. Toutefois, vous pouvez immédiatement mettre à jour les licences de tous les utilisateurs ou d’une partie d’entre eux à l’aide de l’attribut UserType accompagné d’une valeur Full (complète). Les utilisateurs mis à jour à l’aide de cet attribut verront leur compte mis à niveau vers une licence complète sans qu’ils rencontrent de temps d’interruption. - Tous les utilisateurs gérés par le SCIM sont également affectés par la fonctionnalité Domain control (Contrôle du domaine). Cela signifie que si un utilisateur est membre d’un seul groupe de sécurité au sein de votre fournisseur d’identité, mais que vos paramètres de contrôle du domaine le placent dans trois équipes, cet utilisateur sera également ajouté à ces trois équipes.
- Pour protéger le service, Miro limite le nombre d’appels d’API disponibles toutes les 30 secondes :Type de demandeNiveau de limite
GET scim/users
GET scim/users/{userId}
Niveau de limite de premier plan 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Niveau de limite de troisième plan 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Niveau de limite de quatrième plan 4 GET scim/Groups/{groupId}
Niveau de limite de quatrième plan 4
Pour plus de détails sur les niveaux de limite, consultez cette page. Si le nombre de demandes dépasse la limite, Miro renverra le message standard 429 Too many requests (429 Trop de requêtes).
Fonctionnalités prises en charge
Le schéma détaillé du SCIM de Miro se trouve ici.
Miro prend en charge les fonctionnalités d’approvisionnement suivantes :
-
Créer de nouveaux utilisateurs
Les nouveaux utilisateurs attribués à l’application Miro dans l’IdP seront créés dans votre abonnement Miro Enterprise en tant que membres Enterprise. Les utilisateurs qui sont ajoutés à un groupe d’utilisateurs synchronisé avec une équipe Miro et portant le même nom seront ajoutés à l’équipe en tant que membres de l’équipe. -
Push des mises à jour des profils d’utilisateurs
Pour connaître les attributs et les modifications pris en charge, voir ci-dessous.
-
Synchronisation et push de groupes
Synchronisez vos groupes IdP et leurs membres avec les équipes de votre abonnement Miro Enterprise pour gérer automatiquement l’abonnement des utilisateurs. Une synchronisation continue enverra des mises à jour spécifiques concernant les utilisateurs de votre groupe à l’équipe Miro synchronisée. Un Push quant à lui remplacera l’état de l’équipe, traitant le groupe comme une source de vérité (s’il y a eu des modifications manuelles par les admins d'entreprise depuis Miro)
-
Découpler les noms de groupe/d’équipe
Miro synchronise les groupes et les équipes par leur nom, c’est pourquoi ils doivent partager le même nom. Cependant, après la création de la synchronisation initiale, vous pourrez modifier le nom du groupe et/ou de l’équipe selon vos besoins. Vous trouverez un exemple de découplage ici. -
Retirer les utilisateurs d’un groupe ou d’une équipe (pas de l’abonnement Enterprise, voir ci-dessous).
Le retrait d’un utilisateur d’un groupe le supprimera de l’équipe Miro synchronisée (au cours du prochain push de groupe). -
Désactiver les utilisateurs
Désactiver/supprimer un utilisateur ou désactiver l’accès de l’utilisateur à l’application dans l’IdP désactivera cet utilisateur de votre plan Miro Enterprise. Selon les circonstances, en désactivant un utilisateur, son contenu peut être réassigné aux admins d’équipe les plus anciens :
- si vous désactivez l’utilisateur au niveau de l’IDP et que vous le laissez affecté à l’application Miro, son adhésion à l’équipe reste inchangée chez Miro et son contenu n’est pas réaffecté. Il passe tout simplement de Active (Actif) à Désactivé(e) (et la section des utilisateurs, respectivement) et cesse de consommer une licence.
- si vous déclenchez la désactivation en supprimant l’utilisateur dans l’IDP ou en le désaffectant de l’application Miro, alors que l’utilisateur fait partie de certaines équipes synchronisées, il sera également supprimé de ces équipes Miro et son contenu dans ces équipes sera réaffecté aux admins d’équipe les plus anciens.
- si vous déclenchez la désactivation en supprimant l’utilisateur dans l’IDP ou en le désaffectant de l’application Miro, alors qu'il ne fait partie d’aucune des équipes synchronisées, l’adhésion de l’utilisateur aux équipes restera inchangée et son contenu dans ces équipes ne sera pas réaffecté.
La suppression de l’abonnement Enterprise d’un utilisateur n’est pas prise en charge par défaut. Vous pouvez néanmoins ajouter manuellement la fonctionnalité à l’aide de l’API pour supprimer complètement l’utilisateur de l’abonnement au lieu de lui octroyer un statut Deactivated (Désactivé). Dans ce cas de figure, le contenu est réaffecté aux membres de l’équipe respective. Il est impossible de définir quels seront les admins qui récupéreront la propriété du contenu lors de sa réaffectation automatique. Cela peut toutefois être défini lorsque vous désactivez manuellement un utilisateur dans les paramètres de Miro.
-
Réactiver des utilisateurs
Réassigner un utilisateur à l’application ou réactiver le profil de l’utilisateur dans l’IdP le réactivera dans votre abonnement Miro Enterprise si cet utilisateur était précédemment provisionné et désactivé. -
Automatisation de l’attribution des groupes de facturation Attribuez automatiquement les nouveaux utilisateurs aux groupes de facturation à l’aide du SCIM. Une fois votre fournisseur d’identité (IdP) paramétré, associez vos centres de coûts à vos groupes de facturation. Cela garantit que chaque utilisateur actuel et futur de ces centres de coûts est automatiquement trié dans la bonne catégorie de facturation.
Vous pouvez également supprimer les utilisateurs de votre plan Enterprise en envoyant un appel Delete (Supprimer) direct à l’API. Pour ce faire, consultez la documentation appropriée ici. Notez que seuls les appels directs supprimeront les utilisateurs. La suppression des événements initiés par votre solution d’identité sera traitée comme une demande Deactivate (Désactiver).
Attributs pris en charge
⚠️ Notez que :- Email / Le paramètre principal / Identifiant unique / Nom d’utilisateur) est la seule valeur requise par Miro et doit prendre la forme d’une adresse e-mail.
La mise à jour de l’e-mail n’est possible que pour les utilisateurs déjà synchronisés. En d’autres termes, la première synchronisation doit avoir lieu lorsque l’adresse e-mail dans l’IdP et Miro est la même. Sinon, Miro ne reconnaitra pas l’utilisateur et un duplicata du profil Miro sera créé à partir de cette adresse.
La mise à jour de l’adresse e-mail doit avoir lieu dans le profil IdP de l’utilisateur, par e-mail, et pas dans la liste des tâches.
À la différence des autres attributs, la mise à jour de l’adresse e-mail de l’utilisateur lui enverra une notification : l’ancienne et la nouvelle adresse e-mail recevront une lettre indiquant à l’utilisateur qu’il doit désormais utiliser sa nouvelle adresse e-mail pour se connecter à Miro.
Nom de l’attribut
|
Attribut SCIM (Revendication)
|
---|---|
Adresse e-mail |
Nom d’utilisateur. |
Les attributs énumérés ci-dessous ne sont pas nécessaires mais seront acceptés par Miro s’ils sont présents (les autres attributs envoyés à Miro seront ignorés). | |
Nom complet |
displayName; formated; givenName + " " + familyName; userName |
User type (Type d’utilisateur) |
userType |
Actif |
active |
Image du profil |
photos.^[type==’photo’].value orp Il doit s’agit d’une URL textuelle vers l’image. Types de fichiers pris en charge : jpg, jpeg, bmp, png, gif
|
User Role (Rôle de l’utilisateur) |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Azure) valeurs prises en charge : |
Numéro de l’employé |
employeeNumber |
Centre de coûts |
costCenter |
Organisation | organization |
Division (Branche) | division |
Department (Département) | département |
Nom du gestionnaire |
manager.displayName |
ID du gestionnaire |
manager.value le champ "value" (valeur) est de type String dans un SCIM standard, mais le champ managerId |
⚠️ Les modifications de mot de passe ne sont pas prises en charge et nous ne prévoyons actuellement pas de prendre ces changements en charge.
⚠️ Le nom d’utilisateur (Username), UserType et roles.value ne peuvent pas être mis à jour pour les utilisateurs désactivés.
Tous les attributs seront affichés dans le fichier CSV exporté contenant la liste des utilisateurs qui peut être téléchargé depuis la section Active Users (Utilisateurs actifs).
L’option télécharger une liste d’utilisateurs
Configuration du SCIM
Étape 1 : activer l’option SCIM dans Miro
Pour activer le SCIM pour votre plan Miro Enterprise, rendez-vous dans Company settings (Paramètres de l’entreprise) > Enterprise integrations (Intégrations Enterprise), puis activez la fonctionnalité SCIM Provisioning (approvisionnement SCIM). De là, vous pouvez obtenir l’URL de base et le jeton de l’API pour configurer votre IdP.
SCIM dans les paramètres Miro
Étape 2 : configurer votre fournisseur d’identité
La configuration dépendra du fournisseur d’identité que vous utilisez. Miro prend en charge Okta et Azure AD préconfigurés, mais vous pouvez utiliser n’importe quel fournisseur d’identité de votre choix tant qu’il permet la configuration du SCIM.
OKTA : consultez les instructions de configuration ici.
Azure AD : consultez les instructions de configuration ici.
Problèmes possibles et comment les résoudre
1. Les utilisateurs ne sont pas provisionnés en raison d’une erreur allowlist (liste d’autorisation).
Un exemple de l’erreur du fournisseur d’identité Okta
Assurez-vous que l’adresse du domaine de l’utilisateur est ajoutée à votre liste d’autorisations dans Security settings (Paramètres de sécurité).
2. Si vous authentifiez vos utilisateurs finaux à l’aide d’une solution d’identité (IdP1), mais que vous souhaitez activer le SCIM via une solution différente (IdP2), vous pouvez le faire sous deux conditions :
- l’IdP2 peut faire des appels d’API avec le jeton titulaire.
- les deux fournisseurs d’identité sont synchronisés (c’est-à-dire que les utilisateurs approvisionnés par le SCIM existent dans l’IdP1 également et peuvent donc s’authentifier avec Miro).
Pour plus d’informations, contactez l’équipe d’assistance de Miro.