利用可能なプラン:Enterprise プラン、Business プラン
設定者:会社の管理者
💡 お使いのブラウザーのシークレットモードのウィンドウを新たに開き、SSO を設定することを強くお勧めします。そうすることで、セッションを標準ウィンドウに保ち、誤った設定があった場合に、SSO 認証をオフにすることができます。
本番環境で SSO を有効にする前にテストインスタンスを設定したい場合は、アカウント担当者または営業担当者にご連絡ください。SSO を設定するユーザーのみがこのテストインスタンスに追加されます。
⚠️ ルール、サポートされている機能、Miro 側でのオプション設定については、SSO に関する主要記事をこちらでご覧ください。
アプリの追加と設定
1. Azure AD エンタープライズ アプリケーション ギャラリー([エンタープライズ アプリケーション] > [+ 新規アプリケーション])で事前設定済みの Miro アプリケーションを検索します。
Azure AD エンタープライズ アプリケーション ギャラリーの事前設定済み Miro アプリケーション
2. アプリケーションを作成し、2. [シングルサインオンを設定] をクリックします(または、左側の [シングルサインオン] を選び、SAML サインオン方法を選択します。
シングルサインオン(SSO)方法の選択
3. [基本 SAML 設定] が既に存在していることがご覧になれます:
基本 SAML 設定
⚠️ すべて設定後に SSO ログインに失敗した場合は、エンティティ ID を https://miro.com から https://miro.com/ に変更してみてください。
⚠️ サインオン URL、リレー状態、およびログアウト URL(シングルサインアウトの場合)の機能はサポートされていないため、空のままにする必要があります。
[属性とクレーム] も既に存在しています:
属性とクレーム
⚠️ 注意:
a) UPN が Miro のユーザーが認識されるメインパラメーターになり、Azure 側からは更新できません。SCIM を使用せずに Miro でユーザーメールを更新する必要がある場合は、サポートチームにご連絡ください。
b) Miro では [GivenName]、[Surname]、[DisplayName] および [ProfilePicture] が使用可能です。その他 の属性は SSO 経由ではサポートされていませんが、SCIM 経由で転送できます。
証明書の作成
1. [SAML 署名証明書] セクションまでスクロールダウンし、[証明書を追加] をクリックします:
2. [+New Certificate](+ 新規証明書) をクリックしSigning Option(署名オプション)で、[Signed SAML Assertion](署名された SAML アサーション) か Signed SAML response and assertion(署名された SAML 応答とアサーション) を選択します。アサーションには署名が必要です。
署名オプションの選択
3. [保存] をクリックします。
4. 証明書の [More options](詳細設定) をクリックし、対象の証明書をアクティブにして、Base64 ファイルをダウンロードします。
[オプション表示] メニュー
Miro プランでの SSO の設定
1. ダウンロードしたファイルをテキストエディターで開き、x509 証明書をファイルから SSO 設定の該当する Miro フィールドにコピー / 貼り付けします。
2. Azure 設定で少し下にスクロールして [ログイン URL] を検索し、Miro の [SAML サインイン URL] に貼り付けます。
ログイン URL のコピー
Miro SSO 設定
3. [保存] ボタンを押す前に、会社のドメインが少なくとも 1 つ追加されていることを確認してください。
以上です!SSO 設定が完了しました。
UPN とメールが異なる場合のクレームの設定
メール形式の Azure 属性を Miro の [NameID] として使用する設定が可能です。
IDP および SP 起動のログイン
IDP 起動のログインの場合、Azure はMiro に [NameID] として使用する値(以下の例では [user.mail])を送信します。
ユーザー属性とクレーム
このフローでは、エンドユーザーはポータルコンソール(例えば、https://myapplications.microsoft.com/)のアイコンを介して Miro にアクセスします。そこから Miro にリクエストが送信され、ユーザーは定義した [NameID] を使ってログインされます。Miro はこの属性が Miro のユーザーメールと一致すると期待します。一致しない場合、認証が失敗します。
SP 起動のログインの場合、Miro はリクエストをユーザーの UPN 特定的に送信し、Miro のユーザーメールと一致することを期待します。一致しない場合、認証が失敗します。
Miro の設定の SAML サインイン URL フィールドには、Azure インスタンスの Miro アプリのログイン URL が入力されているはずです。これが、Miro が Miro ログインページからユーザーをダイレクトする URL になります。
Miro SSO 設定
ユーザーがアプリからログイン URL にダイレクトされると、SAML リクエストが生成されます。このフローでは、ユーザーは Miro ログインページで入力したメールでログインし、Miro はそのメールを、Azure で必要な UPN 属性にするように要求しています。
設定方法
ユーザーが UPN ではなく Azure のメールアドレスで Miro にアクセスできるようにするには、Miro の SAML サインイン URL フィールドに Azure コンソールの URL を入力します。その後、SP 起動されたフローは以下のようになります:
- ユーザーは、Miro アカウントで持っている Miro メールを入力して Miro にアクセスします。Miro は、ユーザーが定義されたユーザープロフィールにログインするはずだと認識します。
- ユーザーは、IDP 起動したログインで使用されるアプリリンクにダイレクトされます。
- リンクは、定義された [NameID] 属性を使用し、Miro に送信します。
- 従ってユーザーは、定義された [NameID] を使用して、以前に定義された Miro のユーザープロフィールにログインされます。
Miro の自動プロビジョニングを有効にしたい場合は、こちらの記事をご覧ください。
設定中に問題が発生した場合は、こちらの記事をご覧ください。
Azure テストツール
テストツールに移動するには、アプリケーション設定で [シングルサインイン] タブを選択し、セクションの一番下までスクロールダウンします。
Azure では、テストログイン手順を使って接続確認とエラーメッセージのトラブルシューティングを行うことが提案されています。テスト後、状況を解決する方法が提供されます。
Azure ポータル / コンソールのテストページ
Azure/ADFS によって管理されるどの資格情報がワークステーションの認証に使われているかに注意しください。別の資格情報を使って Miro にログインしようとすると、ID プロバイダーがメインの資格情報を転送し、ミスマッチが発生するため、ログインが失敗する可能性があります。例えば、ユーザーが SSO 管理者で別のユーザー資格情報を使ってログイン手順をテストする場合、この状況が発生します。