Le système de gestion inter-domaines, ou SCIM (pour System for Cross-domain Identity Management en anglais), offre un provisionnement et une gestion des utilisateurs automatisés pour les abonnements Miro Enterprise par l’intermédiaire de votre fournisseur d’identité (IdP).
Disponible pour : le forfait Enterprise
Installation par : les admins d’entreprise
Important à savoir
- Le SSO basé sur SAML doit être correctement configuré et fonctionnel dans votre forfait Enterprise avant de commencer à configurer le provisionnement automatisé.
Voir le guide de configuration de SAML SSO. -
Tous les groupes attribués doivent exister dans votre abonnement Miro en tant qu’équipes sous des noms identiques avant d’être reliés.
Les équipes peuvent être créées et gérées à l’aide de l’API Teams.
Si vous souhaitez que vos groupes et vos équipes soient nommés différemment, vous pouvez renommer l’un ou l’autre ou les deux après que la synchronisation a été établie. -
Les changements d'adresse e-mail dans le SCIM sont soumis aux règles de validation suivantes :
-
Contrôle de l'utilisateur géré : Si le domaine actuel de l'utilisateur n'est pas revendiqué par l'organisation à l'origine de la demande SCIM, la mise à jour de l'e-mail est bloquée et génère une erreur 400.
- Vérification du domaine de l'e-mail cible : Si le domaine de l'e-mail cible est revendiqué par une organisation autre que celle qui a initié la demande SCIM, la mise à jour de l'e-mail est bloquée et génère une erreur 400. Si le domaine de messagerie cible est revendiqué par l'organisation à l'origine de la demande SCIM, la mise à jour du courrier électronique est autorisée sans qu'une confirmation par e-mail soit nécessaire. Les journaux d'audit enregistrent les mises à jour dans chaque organisation dont l'utilisateur est membre.
-
Contrôle de domaine et SSO : Les mises à jour des e-mails sont autorisées sur la base de la vérification du domaine par le biais du contrôle de domaine (IDC) ou de l'authentification unique (SSO). Si le domaine d'e-mail cible est vérifié par CD ou SSO par l'organisation initiatrice, la mise à jour peut avoir lieu.
Schéma du workflow de validation des changements d'e-mail du SCIM
-
- Si un utilisateur est membre de deux ou plusieurs comptes Enterprise, vous ne pouvez pas mettre à jour son nom d’utilisateur (adresse e-mail) : ceci afin d’éviter les conflits avec les politiques de partage établies.
Pour mettre à jour l’utilisateur, veillez à ce qu’il soit d’abord supprimé du deuxième compte. Si vous avez besoin d’aide, contactez le service d’assistance de Miro.
Les règles sur lesquelles se fonde le SCIM de Miro
-
Les modifications synchronisées par le SCIM sont principalement appliquées aux utilisateurs nouvellement affectés. Le statut de ceux qui sont déjà sous votre abonnement sera complété mais ne sera peut-être pas écrasé dans la mesure où les changements sont appliqués au niveau du groupe/de l’équipe. Par exemple :
a) si un utilisateur est membre de l’équipe 1 du côté de Miro et que votre IDP envoie une mise à jour pour l’ajouter à l’équipe 2, son statut dans l’équipe 1 n’est pas affecté.
b) si votre IDP envoie une mise à jour contenant des modifications à User1, les autres membres de l’équipe ne sont pas affectés. Comme indiqué dans Fonctionnalités prises en charge > Sync et push groups pour écraser le statut de l’équipe et resynchroniser tous les utilisateurs en une seule fois, essayez et lancez un nouveau push.
- Tous les utilisateurs provisionnés sous SCIM se voient attribuer la licence par défaut de votre abonnement :
a) Pour les abonnements Enterprise sans programme de licences flexibles : une licence complète. Si votre abonnement n’a plus de licences, les utilisateurs commencent à être approvisionnés sous licence gratuite restreinte.
b) Pour les abonnements Enterprise avec le programme de licences flexibles activé : Licence gratuite ou gratuite restreinte en fonction de la licence d’abonnement par défaut.
- Si vous avez besoin que certains utilisateurs soient provisionnés sous une licence différente de celle par défaut :
comme indiqué ci-dessus, tous les utilisateurs sont dotés de la licence par défaut. Cependant, vous pouvez immédiatement mettre à jour tout ou partie d’entre eux en utilisant l’attribut UserType avec une valeur Full. Les utilisateurs mis à jour avec l’attribut seront mis à niveau vers la licence complète sans interruption de service de la part de l’utilisateur. - Tous les utilisateurs gérés par le SCIM sont également affectés par la fonctionnalité Domain control (Contrôle du domaine). Cela signifie que si un utilisateur n’est membre que d’un seul groupe de sécurité dans votre fournisseur d’identité, mais que vos paramètres de contrôle de domaine définissent trois équipes comme désignées, l’utilisateur sera également ajouté à ces trois équipes.
- Pour protéger le service, Miro limite le nombre d’appels API disponibles toutes les 30 secondes :
Type de demandeNiveau limiteGET scim/users
GET scim/users/{userId}
Niveau de limite de premier plan 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Niveau de limite de troisième plan 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Niveau de limite de quatrième plan 4 GET scim/Groups/{groupId}
Niveau de limite de troisième plan 4
Pour plus de détails sur les niveaux limites, veuillez consulter ici. Si le nombre de demandes dépasse la limite, Miro renvoie le message standard 429 Too many requests.
Fonctionnalités prises en charge
Le schéma détaillé du SCIM de Miro se trouve ici.
Miro prend en charge les fonctionnalités d’approvisionnement suivantes :
-
Créer de nouveaux utilisateurs
Les nouveaux utilisateurs affectés à l’application Miro dans l’IdP seront créés dans votre abonnement Miro Enterprise en tant que membres Enterprise. Les utilisateurs ajoutés à un groupe d’utilisateurs synchronisé avec une équipe Miro portant le même nom seront ajoutés à l’équipe en tant que membres de l’équipe. -
Pousser les mises à jour du profil de l’utilisateur
Pour les attributs et les modifications pris en charge, voir ci-dessous
-
Synchroniser et pousser des groupes
Synchronisez vos groupes IDP et leurs membres avec les équipes de votre abonnement Miro Enterprise pour gérer automatiquement l’adhésion des utilisateurs. La synchronisation continue enverra des mises à jour spécifiques concernant les utilisateurs de votre groupe à l’équipe Miro synchronisée, tandis qu’une poussée écrasera l’état de l’équipe en considérant le groupe comme la source de vérité (s’il y a eu des changements manuels par vos admins d’entreprise du côté de Miro).
-
Découpler les noms des groupes/équipes
Miro synchronise les groupes et les équipes par leur nom, ils doivent donc porter le même nom. Cependant, après la création de la synchronisation initiale, vous pourrez modifier le nom du groupe et/ou de l’équipe selon vos besoins. Vous trouverez un exemple de découplage ici. -
Supprimer des utilisateurs d’un groupe/d’une équipe (pas de l’abonnement Enterprise, voir ci-dessous)
La suppression d’un utilisateur d’un groupe entraîne sa suppression de l’équipe Miro synchronisée (lors de la prochaine poussée de groupe). -
Désactiver des utilisateurs
La désactivation/suppression d’un utilisateur ou la désactivation de l’accès d’un utilisateur à l’application dans le fournisseur d’identité entraine la désactivation de cet utilisateur de votre forfait Miro Enterprise. Selon les circonstances, la désactivation d’un utilisateur peut entraîner la réaffectation de son contenu aux plus anciens admins de l’équipe :
- si vous désactivez l’utilisateur du côté IDP mais que vous le laissez affecté à l’application Miro, son appartenance à l’équipe du côté Miro n’est pas modifiée et son contenu n’est pas réaffecté - il passe simplement de l’état Actif à l’état Désactivé (et à la section Utilisateurs, respectivement) et cesse de consommer une licence.
- si vous déclenchez la désactivation en supprimant l’utilisateur dans l’IDP ou en le désassignant dans l’application Miro, alors que l’utilisateur est membre de certaines équipes synchronisées, l’utilisateur sera également supprimé de ces équipes Miro et son contenu dans lesdites équipes sera réassigné aux admins d’équipes les plus anciens.
- si vous déclenchez la désactivation en supprimant l’utilisateur dans l’IDP ou en le désassignant à partir de l’application Miro, lorsque l’utilisateur n’est membre d’aucune équipe synchronisée, son appartenance à l’équipe ne sera pas modifiée et son contenu ne sera pas réassigné.
La suppression d’un utilisateur de l’abonnement Enterprise n’est pas prise en charge par défaut sur le site . Vous pouvez néanmoins ajouter manuellement la fonctionnalité à l’aide de l’API pour supprimer complètement l’utilisateur de l’abonnement au lieu de lui attribuer le statut Désactivé. Dans ce scénario, le contenu est réattribué aux membres respectifs de l’équipe. Il est impossible de déterminer quels admins seront propriétaires du contenu réaffecté automatiquement. Mais cela peut être défini lorsque vous désactivez manuellement un utilisateur dans les paramètres de Miro.
-
Réactiver les utilisateurs
La réaffectation d’un utilisateur à l’application ou la réactivation du profil d’utilisateur dans l’IDP le réactivera dans votre abonnement Miro Enterprise s’il a été précédemment provisionné et désactivé. -
Automatisation de l’attribution des groupes de facturation
Affecter automatiquement les nouveaux utilisateurs aux groupes de facturation à l’aide du SCIM. Une fois votre fournisseur d’identité (IdP) configuré, reliez vos centres de coûts à vos groupes de facturation. Ainsi, chaque utilisateur actuel et futur de ces centres de coûts est automatiquement classé dans la bonne catégorie de facturation.
Vous pouvez également supprimer des utilisateurs de votre forfait Enterprise en envoyant un appel API de suppression direct - veuillez consulter la documentation ici. Notez que seuls les appels directs supprimeront les utilisateurs. Les événements de suppression initiés par votre solution d’identité seront traités comme une demande de désactivation.
Attributs pris en charge
⚠️ Notez que :
- E-mail / Le paramètre principal / Identifiant unique / Unom d’utilisateur) est la seule valeur requise par Miro et doit se présenter sous la forme d’un e-mail.
- la mise à jour de l’e-mail n’est possible que pour les utilisateurs déjà synchronisés. En d’autres termes, la première synchronisation doit avoir lieu lorsque l’e-mail de l’IdP et de Miro est le même, sinon Miro ne reconnaîtra pas l’utilisateur et un profil Miro en double sera créé sous le nouvel e-mail.
- la mise à jour de l’e-mail doit se faire dans le profil IdP de l’utilisateur, et non dans la liste des affectations.
- Contrairement aux autres attributs, la mise à jour de l’ e-mail de l’utilisateur lui enverra une notification : l’ancienne et la nouvelle adresse e-mail recevront toutes deux une lettre indiquant à l’utilisateur qu’il doit désormais utiliser sa nouvelle adresse e-mail pour se connecter à Miro.
Nom de l’attribut
|
Attribut SCIM (Claim)
|
---|---|
|
Nom d’utilisateur. |
Les attributs énumérés ci-dessous ne sont pas nécessaires mais seront acceptés par Miro s’ils sont présents (les autres attributs envoyés à Miro seront ignorés). | |
Nom complet |
displayName; formated; givenName + " " + familyName; userName |
Type d’utilisateur |
type d’utilisateur |
Active |
actif |
Profil de l’image |
photos.^[type==’photo’].value ou Il doit s’agit d’une URL textuelle vers l’image. Types de fichiers pris en charge : jpg, jpeg, bmp, png, gif
|
Rôle de l’utilisateur |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) valeurs prises en charge : |
Numéro d’employé |
employeeNumber |
Centre de couts |
costCenter |
Organisation | organization |
Division (Branche) | division |
Department (Département) | département |
Nom du manager |
manager.displayName |
Identifiant du manager |
manager.value Le champ "value" est de type String dans le standard SCIM mais managerId |
⚠️ Les changements de mot de passe ne sont pas pris en charge et il n’est pas prévu de le faire dans l’immédiat.
⚠️ Username, UserType et roles.value ne peuvent pas être mis à jour pour les utilisateurs désactivés.
Tous les attributs seront affichés dans le fichier CSV exporté contenant la liste des utilisateurs qui peut être téléchargé depuis la section Active Users (Utilisateurs actifs).
La possibilité de télécharger une liste d’utilisateurs
Configuration du SCIM
Étape 1 : Activer l’option SCIM dans Miro
Pour activer le SCIM pour votre forfait Miro Enterprise, allez dans les paramètres de l’entreprise > Intégrations Enterprise, activez la fonction SCIM Provisioning. Vous y trouverez l’URL de base et le jeton API pour configurer votre IdP.
SCIM dans les paramètres Miro
Étape 2 : Configurez votre fournisseur d’identité
La configuration dépend du fournisseur d’identité que vous utilisez. Miro prend en charge Okta et Entra ID préconfigurés, mais vous pouvez utiliser n'importe quel fournisseur d'identité de votre choix tant qu'il permet de configurer le SCIM.
OKTA : consultez les instructions de configuration ici.
Entra ID - voir les instructions d'installation ici.
Générer un nouveau jeton
1. Allez dans les paramètres de l’entreprise > Intégrations Enterprise.
2. Dans la section SCIM Provisioning, cliquez sur Generate new token.
SCIM dans les paramètres Miro
2. Dans la fenêtre Générer un nouveau jeton SCIM, cliquez sur Générer.
3. Après avoir généré un nouveau jeton, vous devez le configurer dans votre fournisseur IDP.
Problèmes possibles et comment les résoudre
1. Les utilisateurs ne sont pas provisionnés en raison d’une erreur dans la liste d’autorisation.
Exemple d’erreur provenant du fournisseur d’identité Okta
Assurez-vous que l’adresse du domaine de l’utilisateur est ajoutée à votre liste d’autorisations dans les paramètres de sécurité.
2. Si vous authentifiez vos utilisateurs finaux avec une solution d’identité (IDP1) mais que vous souhaitez activer le SCIM via une autre solution (IDP2), cela est possible à deux conditions :
- l’IdP2 peut faire des appels d’API avec le jeton titulaire.
- les deux fournisseurs d’identité sont synchronisés (c’est-à-dire que les utilisateurs approvisionnés par le SCIM existent dans l’IdP1 également et peuvent donc s’authentifier avec Miro).
Pour plus d’informations, contactez l’équipe d’assistance de Miro.