利用可能なプラン:Business プラン、Enterprise プラン
設定者:会社の管理者
💡 ブラウザーのシークレットモードのウィンドウで SSO を設定することを強くお勧めします。そうすることで、セッションを標準の画面に保ち、誤った設定があった場合に、SSO 認証をオフにすることができます。
本番環境で SSO を有効にする前にテストインスタンスを設定したい場合は、サポートチームまでご連絡ください。SSO 設定者のみがこのテストインスタンスに追加されます。
⚠️ ルール、サポートされている機能、Miro 側でのオプション設定については、SSO に関する主要記事をこちらでご覧ください。
アプリの追加と設定
1.Entra ID エンタープライズ アプリケーション ギャラリー(エンタープライズ アプリケーション > +新規アプリケーション)で事前設定済みの Miro アプリケーションを見つけます。
2.アプリケーションを作成し、2.をクリックします。シングルサインオンを設定(または左側のシングルサインオンを選択して、SAML サインオン方法を選択します)。
3.基本 SAML 設定が既に設定されていることがわかります:
⚠️ すべての設定が完了した後に SSO ログインが失敗した場合、エンティティ ID を https://miro.com から https://miro.com/ に変更してみてください。
⚠️ サインオン URL、リレー状態、ログアウト URL(シングルサインアウト用)は、それらの機能に対応していないため、空欄にしておく必要があります。
Attributes & Claims(属性とクレーム) も予め入力されています:
⚠️ 以下にご注意ください:
a) UPN が Miro のユーザーが認識されるメインパラメーターとなり、このパラメーターは Entra 側から更新できません。SCIM を使用せずに Miro のユーザーメールアドレスを更新する必要がある場合は、サポートチームにご連絡ください。
b) Miro では GivenName、Surname、DisplayName および ProfilePicture が使用可能です。その他の属性は SSO 経由ではサポートされていませんが、SCIM 経由で転送できます。
証明書の作成
1.Microsoft Entra で、SAML 署名証明書 > 署名オプション が SAML アサーションに署名 または SAML 応答とアサーションに署名 のいずれかであることを確認します。
2.Base64ファイルをダウンロードします。
Miro プランでの SSO の設定
1.Base64ファイルをテキストエディタで開き、ファイルからx509証明書をコピーします。
2.Miro のセキュリティ > 認証で、コピーしたx509証明書をKey x509 certificateボックスに貼り付けます。
3.Microsoft Entra の設定 UI でログイン URLをコピーし、Miro のセキュリティ > 認証ページに移動し、SAML ログイン URLボックスに貼り付けます。
4.Miro のセキュリティ >認証ページで、これらのドメインのユーザーは SSO を使用してログインするセクションに、少なくとも 1 つの会社のドメインが追加されていることを確認してください。
⚠️ Miro で、IdP からプロフィール写真を同期するがチェックされていないことを確認してください。Entra ID はユーザーのプロフィール写真の同期をサポートしていません。IdP からプロフィール写真を同期するのチェックが外れていると、ユーザーは自分のプロフィール写真を設定できます。
4.保存をクリックします。
SSO の設定が完了しました。
UPN とメールアドレスが異なる場合のクレームの設定
メールアドレス形式の Entra 属性を Miro の NameID として使用する設定が可能です。
IDP および SP 起動のログイン
IDP 起動のログインの場合、Entra は Miro に NameID(以下の例では user.mail)として使用する値を送信します。
このフローでは、エンドユーザーはポータルコンソールのアイコンを介して Miro にアクセスします(例えば、https://myapplications.microsoft.com/)。そこから Miro にリクエストが送信され、定義された NameID を使ってユーザーがログインされます。 Miro はこの属性が Miro のユーザーのメールアドレスと一致することを期待しています。一致しない場合、認証が失敗します。
SP 起動のログインの場合、Miro はユーザーの UPN に特定のリクエストを送信し、Miro のユーザーの メールアドレス と一致することを期待します。一致しない場合、認証が失敗します。
現在、Miro の設定にある SAML サインイン URL フィールドには、あなたの Entra インスタンスの Miro アプリの ログイン URL が含まれているはずです。これが、MiroがMiro ログインページからユーザーをダイレクトする URL になります。
ユーザーがアプリからログイン URL にダイレクトされると、SAML リクエストが生成されます。このフローでは、ユーザーは Miro ログインページで入力したメールアドレスでログインし、そのメールアドレスが Entra で必要な UPN 属性になるよう Miro が要求します。
設定方法
ユーザーが Entra のメールアドレスを使用して Miro にアクセスできるようにするために、UPN ではなく、Miro の SAML サインイン URL フィールドに Entra コンソールから取得したアプリの URL を入力します。その後、SP 起動されたフローは以下のようになります:
- ユーザーは、Miro アカウントに登録されているメールアドレスを入力して Miro にアクセスします。Miro は、その人が定義されたユーザープロフィールにログインする必要があると理解します。
- ユーザーは、IdP 起動のログインで使用されるアプリのリンクに案内されます。
- リンクは、 NameID 属性をあなたが定義したものを使用し、それを Miro に送信します。
- 従ってユーザーは、あなたが定義したNameIDを使用して、以前に定義された Miro のユーザープロフィールにログインします。
Miro の自動プロビジョニングを有効にしたい場合は、こちらの記事をご覧ください。
設定中に問題が発生した場合は、こちらの記事をご覧ください。
Entra テストツール
テストツールに移動するには、アプリケーションの設定でシングルサインインタブを選択し、セクションの一番下までスクロールダウンします。
Entra では、接続を確認し、エラーメッセージをトラブルシューティングするために、テストログインプロセスを使用することが提案されています。テスト後、状況を解決する方法が提供されます。
Entra/ADFS によって管理される認証情報がどのようにワークステーションの認証に使用されているかご留意ください。別の認証情報を使って Miro にログインしようとすると、ID プロバイダーがメインの認証情報を転送してミスマッチが発生するため、ログインが失敗する可能性があります。例えば、あなたが SSO 管理者であり、異なるユーザー認証情報でログイン手順をテストした場合、この状況が発生する可能性があります。
または、Miro でテストを行うこともできます
- 上記の手順を完了し、SSO 設定を構成します。
- SSO 設定をテスト ボタンをクリックします。
- 結果を確認してください。
- 問題が見つからなければ、「SSO 設定のテストに成功しました」という確認メッセージが表示されます。
- 問題が見つかった場合、確認メッセージSSO 設定のテストに失敗しましたが表示され、その後に詳細なエラーメッセージが表示されます。