Le système de gestion inter-domaines des identités (SCIM) vous permet d’automatiser le provisionnement et la gestion des utilisateurs entre Miro et votre fournisseur d’identité (IdP).
Disponible pour: Enterprise forfait
Mis en place par : admins d’entreprise
À savoir
-
Le SSO basé sur SAML doit être correctement configuré et fonctionnel dans votre forfait Enterprise avant de commencer à configurer le provisionnement automatisé.
Consultez le guide pour configurer le SSO SAML. -
La synchronisation des groupes du fournisseur d’identité avec les équipes Miro est facultative.
Vous pouvez, si vous le souhaitez, lier et synchroniser vos groupes du fournisseur d’identité avec des équipes Miro. Vous ne pouvez pas créer ni supprimer des équipes via le fournisseur d’identité. Vous pouvez créer et gérer des équipes à l’aide de l’API Teams en utilisant le l’API Teams. Pour plus d’informations sur la manière dont l’API SCIM vous permet de gérer les groupes du fournisseur d’identité, consultez la documentation développeur de Miro. -
Les modifications d’adresse e-mail via SCIM sont soumises aux règles de validation suivantes :
- Vérification de l’utilisateur géré : Si le domaine actuel de l’utilisateur n’est pas revendiqué par l’organisation à l’origine de la requête SCIM, la mise à jour de l’e-mail est bloquée et renvoie une erreur 400.
- Vérification du domaine e-mail cible : Si le domaine e-mail cible est revendiqué par une organisation autre que celle à l’origine de la requête SCIM, la mise à jour de l’adresse e-mail est bloquée et génère une erreur 400. Si le domaine e-mail cible est revendiqué par l’organisation à l’origine de la requête SCIM, la mise à jour de l’adresse e-mail est autorisée sans exiger de confirmation par e-mail. Les journaux d’audit enregistrent la mise à jour dans chaque organisation dont l’utilisateur est membre.
-
Contrôle de domaine et authentification unique : Les mises à jour d’e-mail sont autorisées en fonction de la vérification du domaine via le contrôle de domaine (IDC) ou l’authentification unique (SSO). Si le domaine e-mail ciblé est vérifié via CD ou SSO par l’organisation initiatrice, la mise à jour peut être effectuée.
Un diagramme du workflow de validation du changement d’e-mail SCIM
Règles de fonctionnement du SCIM de Miro
- Les modifications synchronisées par le SCIM sont principalement appliquées aux utilisateurs nouvellement affectés. L’état des utilisateurs déjà rattachés à votre abonnement sera complété, mais il pourra ne pas être remplacé, car les modifications sont appliquées au niveau de l’équipe. Par exemple :
a) si un utilisateur est membre de Team1 du côté de Miro et que votre fournisseur d’identité envoie une mise à jour pour l’ajouter à Team2, son état dans Team1 reste inchangé.
b) si votre fournisseur d’identité envoie une mise à jour contenant des modifications concernant User1, les autres membres de l’équipe ne sont pas affectés. Comme indiqué dans Fonctionnalités prises en charge > Synchronisation et push de groupes , pour écraser l’état de l’équipe et resynchroniser tous les utilisateurs en une seule fois, essayez d’initier un nouveau push.
- Tous les utilisateurs provisionnés sous SCIM se voient attribuer la licence par défaut de votre abonnement :
a) Pour les abonnements Enterprise sans programme de licences flexibles : une licence complète. Si votre abonnement n’a plus de licences, les utilisateurs commencent à être provisionnés sous la licence gratuite restreinte.
b) Pour les abonnements Enterprise avec le programme de licences flexibles activé : une licence Free ou une licence gratuite restreinte selon la licence par défaut de l’abonnement.
- Si vous avez besoin que certains utilisateurs soient provisionnés sous une licence différente de celle par défaut :
Comme indiqué ci‑dessus, tous les utilisateurs sont dotés de la licence par défaut. Toutefois, vous pouvez immédiatement mettre à jour tout ou partie d’entre eux en utilisant l’attribut UserType avec la valeur Full. Les utilisateurs mis à jour via cet attribut se verront attribuer une licence complète sans aucune interruption pour eux. - Tous les utilisateurs provisionnés via SCIM sont également concernés par la fonctionnalité contrôle de domaine. Cela signifie que si un utilisateur n’est membre que d’un seul groupe de sécurité dans votre fournisseur d’identité, mais que vos paramètres de contrôle de domaine définissent trois équipes comme désignées, cet utilisateur sera également ajouté à ces trois équipes.
-
Pour protéger le service, Miro limite le nombre d’appels API disponibles toutes les 30 secondes :
Type de demandeNiveau limiteGET scim/users
GET scim/users/{userId}
Niveau 1 de limitation du débit POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Niveau 3 de limitation du débit GET scim/Groups
PATCH scim/Groups/{groupId}
Quatrième niveau de limitation de débit 4 GET scim/Groups/{groupId}
Troisième niveau de limitation de débit 4
Pour plus de détails sur les niveaux de limitation, consultez ici. Si le nombre de requêtes dépasse la limite, Miro renverra l’erreur standard 429 Too many requests.
Fonctionnalités prises en charge
Le schéma SCIM détaillé de Miro est disponible ici.
Miro prend en charge les fonctionnalités d’approvisionnement suivantes :
-
Créer de nouveaux utilisateurs
Les nouveaux utilisateurs affectés à l’application Miro dans le fournisseur d’identité (IdP) seront créés dans votre abonnement Miro Enterprise en tant que membres Enterprise. Les utilisateurs ajoutés à un groupe du fournisseur d’identité synchronisé avec une équipe Miro portant le même nom seront ajoutés à l’équipe en tant que membres de l’équipe. -
Push des mises à jour des profils d’utilisateurs
Pour connaître les attributs et les modifications pris en charge, voir ci-dessous.
-
Synchronisation et push des groupes du fournisseur d’identité
Synchronisez les groupes de votre fournisseur d’identité et leurs membres avec les équipes de votre abonnement Miro Enterprise pour gérer automatiquement l’appartenance des utilisateurs. La synchronisation continue enverra des mises à jour spécifiques concernant les utilisateurs du groupe de votre fournisseur d’identité à l’équipe Miro synchronisée, tandis qu’un push écrasera l’état de l’équipe en considérant le groupe du fournisseur d’identité comme la source de vérité (s’il y a eu des modifications manuelles de la part de vos admins d’entreprise du côté de Miro).
-
Découpler les noms du groupe du fournisseur d’identité (IdP) et de l’équipe Miro
Miro synchronise les groupes du fournisseur d’identité (IdP) et les équipes Miro par leur nom, ils doivent donc porter exactement le même nom. Cependant, après la création de la synchronisation initiale, vous pourrez renommer l’un et/ou l’autre selon vos besoins. Vous pouvez voir un exemple de découplage ici -
Retirer des utilisateurs du groupe du fournisseur d’identité (IdP)/de l’équipe Miro (pas de l’abonnement Enterprise, voir ci‑dessous)
Retirer un utilisateur d’un groupe du fournisseur d’identité (IdP) le supprimera de l’équipe Miro synchronisée (lors du prochain push de groupe) -
Désactiver les utilisateurs
La désactivation/la suppression d’un utilisateur ou la désactivation de l’accès d’un utilisateur à l’application dans le fournisseur d’identité entrainera la désactivation de cet utilisateur dans votre forfait Miro Enterprise. Selon les circonstances, la désactivation d’un utilisateur peut entraîner la réaffectation de son contenu aux admins d’équipe les plus anciens :
- si vous désactivez l’utilisateur sur le fournisseur d’identité mais si vous les laissez affectés à l’application Miro, leur appartenance aux équipes côté Miro n’est pas modifiée et leur contenu n’est pas réaffecté - ils sont simplement déplacés de l’état Actif à l’état Désactivé (et dans la section Utilisateurs, respectivement) et cessent de consommer une licence.
- si vous déclenchez la désactivation en supprimant l’utilisateur chez le fournisseur d’identité ou en le désaffectant de l’application Miro, lorsque l’utilisateur est membre de certaines équipes synchronisées, l’utilisateur sera en outre retiré de ces équipes Miro et le contenu de ces équipes sera réaffecté aux admins d’équipe les plus anciens.
- si vous déclenchez la désactivation en supprimant l’utilisateur dans le fournisseur d’identité ou désaffectant de l’application Miro, lorsque l’utilisateur n’est membre d’aucune équipe synchronisée, l’appartenance de l’utilisateur aux équipes ne sera pas modifiée et son contenu ne sera pas réaffecté.
La suppression d’un utilisateur de l’abonnement Enterprise n’est pas prise en charge par défaut. Toutefois, vous pouvez ajouter manuellement la fonctionnalité à l’aide de l’API pour supprimer complètement l’utilisateur de l’abonnement au lieu de lui attribuer le statut Désactivé. Dans ce scénario, le contenu est réattribué aux membres respectifs de l’équipe. Il est impossible de déterminer quels admins récupéreront la propriété du contenu réaffecté automatiquement. Mais cela peut être défini lorsque vous désactivez manuellement un utilisateur dans les paramètres de Miro. -
Réactiver les utilisateurs
La réaffectation d’un utilisateur à l’application ou la réactivation de son profil auprès du fournisseur d’identité (IdP) le réactivera dans votre abonnement Miro Enterprise s’il a été précédemment provisionné et désactivé. -
Automatisation de l’affectation aux groupes de facturation
Attribuer automatiquement les nouveaux utilisateurs aux groupes de facturation à l’aide de SCIM. Une fois votre fournisseur d’identité (IdP) configuré, reliez vos centres de coûts à vos groupes de facturation. Ainsi, chaque utilisateur actuel et futur de ces centres de coûts est automatiquement classé dans la bonne catégorie de facturation.
Vous pouvez aussi retirer des utilisateurs de votre forfait Enterprise en envoyant un appel API direct Suppression — consultez la documentation ici. Notez que seuls les appels directs supprimeront les utilisateurs. Suppression d’événements initiés par votre solution d’identité sera traitée comme une demande de Désactivation.
Attributs pris en charge
⚠️ Notez que :
- E-mail / Le paramètre principal / Identifiant unique / nom d’utilisateur) est la seule valeur requise par Miro et doit se présenter sous la forme d’un e-mail.
- la mise à jour de l’e-mail n’est possible que pour les utilisateurs déjà synchronisés. En d’autres termes, la première synchronisation doit avoir lieu lorsque l’adresse e-mail dans l’IdP et Miro est la même, sinon Miro ne reconnaîtra pas l’utilisateur et un profil Miro dupliqué sera créé sous le nouvel e-mail.
- la mise à jour de l’e-mail doit se faire dans le profil IdP de l’utilisateur, et non dans la liste des affectations.
- Contrairement aux autres attributs, la mise à jour de l’e-mail de l’utilisateur déclenchera l’envoi d’une notification : l’ancienne et la nouvelle adresse e-mail recevront toutes deux un message informant l’utilisateur qu’il doit désormais utiliser sa nouvelle adresse e-mail pour se connecter à Miro.
Nom de l’attribut |
Attribut SCIM (Claim) |
|---|---|
| Nom d’utilisateur. Doit être présent et dans le format e-mail |
|
| Les attributs énumérés ci-dessous ne sont pas nécessaires mais seront acceptés par Miro s’ils sont présents (les autres attributs envoyés à Miro seront ignorés). | |
Nom complet |
displayName; formatted; givenName + " " + familyName; userName |
Type d’utilisateur |
userType valeur supportée : "Full" |
Actif |
active valeur supportée : "true" ou "false" |
Photo de profil |
photos.^[type==’photo’].value ou Doit être une URL texte pointant vers l’image. Types de fichiers pris en charge: jpg, jpeg, bmp, png, gif
|
Rôle de l’utilisateur |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) valeurs prises en charge: |
Numéro d’employé |
employeeNumber |
Centre de coûts |
costCenter |
| Organisation | organization |
| Division | division |
| Département | department |
Nom du manager |
manager.displayName |
Identifiant du manager |
manager.value Le champ "value" est de type String dans le standard SCIM mais le champ managerId |
⚠️ Les changements de mot de passe ne sont pas pris en charge et il n’est pas prévu de le faire dans l’immédiat.
⚠️ Username, UserType et roles.value ne peuvent pas être mis à jour pour les Utilisateurs désactivés.
Tous les attributs s’afficheront dans la liste d’utilisateurs exportée au format CSV, téléchargeable depuis la section Utilisateurs actifs.
L’option permettant de télécharger une liste d’utilisateurs
Configuration du SCIM
Étape 1 : activer l’option SCIM dans Miro
Pour activer le SCIM pour votre forfait Miro Enterprise, rendez-vous dans les paramètres de l’entreprise > Intégrations Enterprise, activez la fonctionnalité SCIM Provisioning. Vous y trouverez l’URL de base et le jeton API pour configurer votre fournisseur d’identité.
Étape 2 : configurer votre fournisseur d’identité
La configuration dépendra du fournisseur d’identité que vous utilisez. Miro prend en charge Okta et Entra ID préconfigurés, mais vous pouvez utiliser n’importe quel fournisseur d’identité tant qu’il permet de configurer le SCIM.
OKTA - voir les instructions de configuration ici.
Entra ID - voir les instructions de configuration ici.
Générer un nouveau jeton
1. Accédez aux paramètres de l’entreprise > Intégrations d’entreprise.
2. Dans la section Provisionnement SCIM, cliquez sur Générer un nouveau jeton.
2. Dans la fenêtre Générer un nouveau jeton SCIM, cliquez sur Générer.
3. Après avoir généré un nouveau jeton, vous devez configurer ce nouveau jeton chez votre fournisseur d’identité.
Problèmes éventuels et comment les résoudre
1. Les utilisateurs ne sont pas provisionnés en raison d’une erreur dans la liste d’autorisation.
Vérifiez que le domaine de l’utilisateur est ajouté à votre liste d’autorisation dans les paramètres Sécurité.
2. Si vous authentifiez vos utilisateurs finaux avec une solution d’identité (IdP1) mais souhaitez activer le SCIM via une autre (IdP2), cela est possible sous deux conditions :
- l’IdP2 peut faire des appels d’API avec le jeton titulaire.
- les deux fournisseurs d’identité sont synchronisés (c’est-à-dire que les utilisateurs approvisionnés par le SCIM existent dans l’IdP1 également et peuvent donc s’authentifier avec Miro).