利用可能なプラン:Business、Enterprise
設定者:会社の管理者
お使いのブラウザーのシークレットモードのウィンドウを新たに開けて、SSO を設定することを強くお勧めします。そうすることで、セッションを標準ウィンドウに保ち、誤った設定があった場合に、SSO 認証をオフにすることができます。
本番環境で SSO を有効にする前にテストインスタンスを設定したい場合は、サポートチームまでご連絡ください。SSO 設定者のみがこのテストインスタンスに追加されます。
⚠️ ルール、サポートされている機能、Miro 側でのオプション設定については、SSO に関する主要記事をこちらでご覧ください。
アプリの追加と設定
1. Entra ID Enterprise Application Gallery(Enterprise Applications (エンタープライズアプリケーション)> +New Application (新規アプリケーション)) でMiroの設定済みアプリケーションを検索します。
Entra ID Enterprise Application GalleryのMiro設定済みアプリケーション
2. アプリケーションを作成し、2をクリックします。シングルサインオンを設定します(または、左側からシングルサインオンを 選択し、SAMLサインオン方法を選択します)。
set_up_sso_with_Miro.jpg
シングルサインオン(SSO)方法の選択
3. 3. [基本 SAML 設定] が既に存在していることがご覧になれます:
基本 SAML 設定
⚠️ すべて設定後に SSO ログインに失敗した場合は、エンティティ ID を https://miro.com から https://miro.com/ に変更してみてください。
⚠️ サインオン URL、リレー状態、ログアウト URL(シングルサインアウト用)の機能には対応していないため、空欄にしておきます。
Attributes & Claims(属性とクレーム) も予め入力されています。
attributes_and_claims.jpg
属性とクレーム
⚠️ 以下にご注意ください
a) UPNはMiroのユーザーを認識する主なパラメータとなり、このパラメータはEntra側からは更新できません。SCIMを使用せずにMiroのユーザーEメールを更新する必要がある場合は、弊社のサポートチームまでご連絡ください。
b) MiroはGivenName、 Surname、DisplayName、ProfilePictureを受け付けます。その他 の属性は SSO 経由ではサポートされていませんが、SCIM 経由で転送できます。
証明書の作成
1. 1. [SAML 署名証明書] セクションまでスクロールダウンし、[証明書を追加] をクリックします:
2. 2. [+New Certificate](+ 新規証明書) をクリックしSigning Option(署名オプション)で、[Signed SAML Assertion](署名された SAML アサーション) か Signed SAML response and assertion(署名された SAML 応答とアサーション) を選択します。アサーションには署名が必要です。
SAML_sign-in_certificate.jpg
署名オプションの選択
3. [保存] をクリックします。
4. 4. 証明書の [オプション表示] をクリックし、証明書をアクティブにしてから Base64 ファイルをダウンロードします。
make_certificate_active.jpg
More options(詳細設定)のメニュー
Miro プランでの SSO の設定
1. 1. ダウンロードしたファイルをテキストエディターで開き、x509 証明書をファイルから SSO 設定の該当する Miro フィールドにコピー / 貼り付けします。
2. Entraの設定で少し下にスクロールして、ログインURLを見つけ、MiroのSAMLログインURLに貼り付けます。
copy_URL.jpg
ログイン URL のコピー
paste_in_Miro_SSO_settings.jpg
Miro SSO 設定
3. 少なくとも1つのCompany Domainを追加します。
⚠️ Miroで、Sync profile photos from IdPがチェックされていないことを確認してください。Entra IDはユーザープロフィール写真の同期をサポートしていません。IdPからプロフィール写真を同期する]がチェックされていない場合、ユーザーは自分のプロフィール写真を設定することができます。
4. [保存] を選択します。
SSO の設定が完了しました。
UPN とメールが異なる場合のクレームの設定
MiroのNameIDとしてEメール形式の任意のEntra属性を使用するように設定できます。
IDP および SP 起動のログイン
IDPによるログインの場合、EntraはNameIDとして使用することを決定した値( 以下の例ではuser.mail )をMiroに送信します。
user_attributes_and_claims.jpg
ユーザー属性とクレーム
このフローでは、エンドユーザーはポータルコンソール(例えば、https://myapplications.microsoft.com/)のアイコンを介して Miro にアクセスします。そこから Miro にリクエストが送信され、ユーザーは定義した [NameID] を使ってログインされます。 Miro はこの属性が Miro のユーザーのメールアドレスと一致することを期待しています。一致しない場合、認証が失敗します。
SP 起動のログインの場合、Miro はリクエストをユーザーの UPN 特定的に送信し、Miro のユーザーメールと一致することを期待します。一致しない場合、認証が失敗します。
これで、Miro settingd のSAML ログイン URLフィールドには、Entra インスタンスの Miro アプリのログイン URLが含まれるようになります。これはMiroログインページからMiroがユーザーを誘導するURLになります。
paste_in_Miro_SSO_settings.jpg
Miro SSO 設定
ユーザーがアプリからログイン URL にダイレクトされると、SAML リクエストが生成されます。このフローでは、ユーザーはMiroのログインページに入力したメールアドレスでログインし、MiroはEntraにUPN属性を要求します。
設定方法
ユーザーがUPNではなく Entra の電子メールで Miro にアクセスできるようにするには、Miro のSAML サインイン URLフィールドに Entra コンソールからアプリの URL を入力します。その後、SP 起動されたフローは以下のようになります:
- ユーザーは、Miro アカウントで持っている Miro メールを入力して Miro にアクセスします。Miro は、ユーザーが定義されたユーザープロフィールにログインするはずであると理解します。
- ユーザーは、IDP 起動のログインで使用されるアプリのリンクにダイレクトされます。
- リンクは、定義された [NameID] 属性を使用し、Miro に送信します。
- 従ってユーザーは、定義された [NameID] を使用して、以前に定義された Miro のユーザープロフィールにログインされます。
Miro の自動プロビジョニングを有効にしたい場合は、こちらの記事をご覧ください。
設定中に問題が発生した場合は、こちらの記事をご覧ください。
Entraテストツール
テストツールに移動するには、アプリケーション設定で [シングルサインイン] タブを選択し、セクションの一番下までスクロールダウンします。
Entraでは、テストログインプロセスを使用して接続を確認し、エラーメッセージのトラブルシューティングを行うことを推奨しています。テスト後、状況を解決する方法が提供されます。
test_page.jpg
Entraポータル/コンソールのテストページ
ワークステーションがEntra/ADFSによって管理されている認証情報に注意してください。別の資格情報を使って Miro にログインしようとすると、ID プロバイダーがメインの資格情報を転送し、ミスマッチが発生するため、ログインが失敗する可能性があります。例えば、ユーザーが SSO 管理者で別のユーザー資格情報を使ってログイン手順をテストする場合、この状況が発生します。
あるいは、Miroでテストすることもできます。
- 上記の手順を完了し、SSO 設定を構成します。
- [SSO 設定をテスト] ボタンをクリックします。
- 結果を確認してください。
- 問題が見つからなければ、「SSO 設定のテストに成功しました」という確認メッセージが表示されます。
- 問題が見つかった場合、「SSO 設定のテストに失敗しました」という確認メッセージが表示され、その後に詳細なエラーメッセージが表示されます。
MiroからのSSO設定のテスト