利用可能なプラン:Enterprise プラン
設定者:会社レベルの管理者⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM の規則、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントはこちらでご覧になれます。
フレキシブル ライセンス プログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。
前提条件
自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。
SCIM API を呼び出す際には、API トークンを発行する必要があります。[Enterprise のインテグレーション] [SSO] [SCIM] の設定で SCIM を有効化すると、トークンが表示されます。
接続時にエラーが発生するのを避けるため、同期を実行する前に「重要事項」と「Miro の SCIM 運用ルール」をご確認ください。
設定
- アプリケーションの設定ページで、[Provisioning](プロビジョニング)のタブに切り替えます。次に、[API インテグレーションを設定]
をクリックします。事前設定された Miro アプリのプロビジョニングタブ
-
[API インテグレーションを有効化]のチェックボックスにチェックを入れ、ベース URL(https://miro.com/api/v1/scim/)と、アカウント固有の API トークン(アカウントのセキュリティセクションで入手可能)のフィールドを入力します。その後で、[API 資格情報をテスト] ボタンをクリックします。
接続テストに合格すると、「Miro が認証されました」という通知が表示されます。
インテグレーション セクションのプロビジョニングタブ
接続が確認できない場合は、ベース URL https://miro.com/api/v1/scim/ を再確認し、ファイアウォールやネットワーク内の他のトラフィック インターセプターにブロックされていないことや、API トークン が正しいことを確認します。 - 設定を [保存] します。
アプリへのプロビジョニングのマッピング
Miro SCIM API では、OKTA がユーザーとグループに付与するメタデータの一部を利用します。ここでは、Miro SCIM API と OKTA の属性間で必要なマッピングについて説明します。
- アプリケーションの設定ページで、[Provisioning](プロビジョニング) [To App](アプリへ)タブに移動します。[編集] をクリックし、「ユーザーを作成」、「ユーザー属性を更新」、「ユーザーを非アクティブ化」の右側にあるチェックボックスにチェックを入れて、設定をすべて有効化します。
あらかじめ設定された Miro アプリ用のアプリへのタブ
スクロールダウンして、ユーザー名が [サインオン設定で設定済み] に設定されていることを確認します。
あらかじめ設定された Miro アプリ用の属性マッピングのタブ
対応する属性を追加するには [Go to Profile Editor](プロフィール エディターに移動) オプションをクリックし、[属性を追加] を選択します。
プロフィール エディターのアクティブな属性のリスト
対応する属性のリストについては、Miro の SCIM ドキュメントをご覧ください。
割り当てとプッシュグループ
Miro SCIM プロビジョニングは、ユーザーを Miro Enterprise プランにプロビジョニングするだけでなく、それらをチーム間で自動配布し、必要に応じて非アクティブ化するのに役立ちます。
⚠️ OKTA のグループは、Miro のアプリケーションに割り当てられ(グループにすでにユーザーとして直接割り当てられたユーザーが含まれていても)、また、アプリのプッシュグループにも追加する必要があります。
1) [割り当て] タブで Miro のアプリケーションにグループを割り当てます。割り当てられたユーザーは全員、この時点で Miro SSO 経由で認証できるようになりますが、Miro のチームには配置されません。
2) その後、プッシュグループを設定して、Okta グループを Miro のチームと同期させます。
- アプリケーション設定ページの [プッシュグループ] タブを選択し、[アプリグループを更新]
をクリックします。Miro アプリ用にあらかじめ設定されたプッシュグループ
こうすることで、Miro サブスクリプションに存在するチームを Okta が認識し、後で同期できるようになります。チームの数によっては、リストのダウンロードに数分かかる場合があります。 - [プッシュグループ] [名前でグループを検索]
をクリックします。プッシュ対象グループの設定
クイック検索ボックスに OKTA のグループ名を入力し、オートサジェスト リストから選択します。OKTA は、事前にダウンロードしたリストをもとに、それぞれの Miro チームと一致するグループを表示します。OKTA グループと Miro チームをリンクする
グループを手動でリンクするオプションを OKTA が表示した場合は、Miro 側にそのグループの名前の Miro のチームが存在することを確認します。[アプリグループを更新] をもう一度クリックし、システムがエンティティを同期してから、グループ名で検索を再試行することをお勧めします。 - Okta にプロビジョニングされる前に、Miro Enterprise プランに直接追加されたユーザーがいる場合は、[インポート] タブに移動し、[今すぐインポート] をクリックします。これで、Miro の既存ユーザーに関する情報が Okta にインポートされます。そこから、インポートされたユーザーの処理方法を選択することができます。
この作業を行うことで、SSO を有効化した後にシステム間で不整合が生じ、ユーザーのログイントラブルが発生することを避けられます。 - 変更を保存して終了です。Miro にプッシュされたグループのリストと、アクティブ(緑色)になっているはずの同期のステータスが表示されます。この時点で、選択したグループのユーザーは、それぞれの Miro チームに配置され、チームで共有されているボードにアクセスできるようになります。その後、継続的に更新されます。
起こり得る問題とその解決方法
-
ユーザーが Miro にプッシュされない。
Okta のプッシュされたグループがアプリに正しく割り当てられていることを確認してください。Okta のプッシュグループの同期のアクティブなステータスには時々不具合が発生することがあります。同期エラーを解決するには、グループの割り当てを解除し、プッシュグループから削除してから、グループを新たに割り当てて、プッシュグループに再び追加し、同期接続を再作成してみてください。設定に変更がない場合でも、同期接続を再作成することで問題が解決することがあります。 -
ユーザを削除できない。
SCIM プロセスには、ユーザーの削除は含まれていません。ユーザーのアクセス権を無効にするには、OKTAでユーザーを非アクティブ化するか、Okta 側でアプリケーションからユーザーの割り当てを解除します。そすることで、Miro に対応するリクエストが送られ、ユーザーは非アクティブな状態に設定されます。Miro からユーザーを削除するには、Miro のアクティブなユーザーのページを使用します。 -
ユーザーデータが更新されない。
ユーザー名の属性は、[アプリケーション] [割り当て] から更新できないので注意してください。
ユーザー名の属性(他の属性も)は、必ずユーザープロフィールの編集オプションから更新します。 -
「競合」エラーが原因で、ユーザーがプロビジョニングされない。リモートサーバーによって報告されたエラー:「ドメインアドレスはホワイトリストに登録されていません」。
ユーザーのドメインアドレスが、共有ポリシーに従って許可されていることを確認してください。 -
[今すぐプッシュ] オプションを使用した後、一部のボードとプロジェクトがチームの管理者に再割り当てされてしまった。
このオプションでは、Okta が PATCH リクエストを開始し、サブスクリプションのすべてのメンバーを置き換えます(つまり、Miro のユーザーリストを Okta のユーザーリストに同期します)。このプロセスの実行中にタイムアウトが発生した場合、Miro にはタイムアウトが発生するまでに同期可能だったユーザーだけが残されます。Miro 側では、ユーザーをチームから削除することになるので、ユーザーがこれまで所有していたボードやプロジェクトは、それぞれのチームの管理者に再割り当てされます。 -
[今すぐインポート] オプションが提供するスキャン機能によってカウントされたユーザー数が、Miro のサブスクリプションのユーザー数と一致しない。
この人数には、非アクティブ化したユーザーとチーム以外のユーザーは含まれません。また、Miro は、前回のインポート以降に発生した新しい変更(例えば、以下のスクリーンショットにある「ユーザー 1 名削除」のような変更)を Okta に含めると、結果が異なる場合があることにも気づきました。正しいユーザー数を取得するためには、Import コマンドを 2 回以上実行してみてください。 -
ユーザーのデータが一部更新されない。
設定したすべての属性(特に ProfilePicture や UserType などのカスタム属性)が、ユーザープロフィール ページに表示され、入力されていることを確認してください。 -
次に示すようなリンク / プッシュグループのタイムアウト メッセージが表示され、変更が Miro に送信されない:
「2021 年 6 月 14 日午後 12 時 16 分 29 秒(UTC)にエラーが発生しました:グループプッシュ マッピングの対象であるアプリグループ <グループ名 を更新できません:ユーザーグループ <グループ名 の作成中にエラーが発生しました:読み込みがタイムアウトしました。」
このタイムアウトエラーは、既存のグループをリンクしようとしたときや、メンバーが多い新しいグループをプッシュしようとしたときに発生する場合があります。新しいグループをプッシュしていた場合、対象グループを Miro で作成する前か後のどちらで Okta の SCIM リクエストのタイムアウトが発生したのかを確認します。
対象となるグループが Miro で作成されない場合は、「プッシュグループ」操作を再試行することができます。
既存のグループをリンクしていた場合や、最初のプッシュ操作の後に対象グループが Miro で作成された場合は、Okta と Miro のグループ間のリンクを復元する必要があります。そのためには、以下の手順を試してみてください:
ー プッシュされたグループのリンクを解除します(モーダルウィンドウの [ターゲットアプリのグループを残す] にチェックを入れる)。
ー [アプリグループを更新] ボタンをクリックして、Okta が Miro のグループリストを取得できるようにします。
ー [グループをプッシュ] ボタンをクリックして、[名前でグループを検索] オプションを選択します。
ー 検索ボックスにプッシュするグループ名を入力して検索し、ドロップダウンからグループを選択します。Okta の [グループをリンク] のオプションは、以下に示すように無効化されている必要があります。
ー [保存] をクリックします。Okta は、PATCH / Groups SCIM リクエストを使用して、対象となるグループを同期しようとします。
ー Miro で Okta グループのメンバー全員が各チームに割り当てられていない場合、Okta の「ディレクトリー → タスク」タブを確認し、失敗した操作を再試行することができます。