OKTA による自動プロビジョニングの設定

利用可能なプラン：Enterprise プラン
設定者：会社レベルの管理者

⚠️ このガイドでは、Miro Enterprise プランのプロビジョニングの設定手順をご説明します。利用可能な機能、Miro SCIM の規則、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントはこちらでご覧になれます。

無料ライセンスプログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。

前提条件

自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。

SCIM API を呼び出す際には、API トークンを発行する必要があります。[Enterprise のインテグレーション] > [SSO] > [SCIM] の設定で SCIM を有効化すると、トークンが表示されます。

接続時にエラーが発生するのを避けるため、同期を実行する前に「重要事項」と「Miro の SCIM 運用ルール」をご確認ください。

設定

1. アプリケーションの設定ページで、[プロビジョニング] タブに切り替えます。次に、[API インテグレーションを設定]
   
   をクリックします。事前設定された Miro アプリのプロビジョニングタブ
   
   
2. [API インテグレーションを有効化]のチェックボックスにチェックを入れ、ベース URL（https://miro.com/api/v1/scim/）と、アカウント固有の API トークン（Miro 設定のセキュリティセクションで入手可能）のフィールドを入力します。その後で、[API 資格情報をテスト] ボタンをクリックします。
   接続テストに合格すると、「Miro が認証されました」という通知が表示されます。
   
   インテグレーション セクションのプロビジョニングタブ
   接続が確認できない場合は、ベース URL（https://miro.com/api/v1/scim/）を再確認し、ファイアウォールやネットワーク内の他のトラフィック インターセプターにブロックされていないことや、API トークン が正しいことを確認します。
3. 設定を [保存] します。

アプリへのプロビジョニングのマッピング

Miro SCIM API では、OKTA がユーザーとグループに付与するメタデータの一部を利用します。ここでは、Miro SCIM API と OKTA のインターフェースにおいて、両方の属性で必要なマッピングについて説明します。

1. アプリケーションの設定ページで、[プロビジョニング] > [アプリへ] タブに移動します。[編集] をクリックし、「ユーザーを作成」、「ユーザー属性を更新」、「ユーザーを非アクティブ化」の右側にあるチェックボックスにチェックを入れて、設定をすべて有効化します。
   
   あらかじめ設定された Miro アプリ用のアプリへのタブ
   

スクロールダウンして、ユーザー名が [サインオン設定で設定済み] に設定されていることを確認します。

あらかじめ設定された Miro アプリ用の属性マッピングのタブ

対応する属性を追加するには [Go to Profile Editor]（プロフィール エディターに移動） オプションをクリックし、[属性を追加] を選択します。

プロフィール エディターのアクティブな属性のリスト

対応する属性のリストについては、Miro の SCIM ドキュメントをご覧ください。

割り当てとプッシュグループ

Miro SCIM プロビジョニングは、ユーザーを Miro Enterprise プランにプロビジョニングするだけでなく、それらをチーム間で自動配布し、必要に応じて非アクティブ化するのに役立ちます。

⚠️ OKTA のグループは、Miro のアプリケーションに割り当てられ（グルプーにすでにユーザーとして直接割り当てられたユーザーが含まれていても）、また、アプリのプッシュグループにも追加する必要があります。

1) [割り当て] タブで Miro のアプリケーションにグループを割り当てます。割り当てられたユーザーは全員、この時点で Miro SSO 経由で認証できるようになりますが、Miro のチームには配置されません。

2) その後、プッシュグループを設定して、Okta グループを Miro のチームと同期させます。

• アプリケーション設定ページの [プッシュグループ] タブを選択し、[アプリグループを更新] をクリックします。
  
  Miro アプリ用にあらかじめ設定されたプッシュグループ
  
  こうすることで、Miro サブスクリプションに存在するチームを Okta が認識し、後で同期できるようになります。チームの数によっては、リストのダウンロードに数分かかる場合があります。
• [プッシュグループ] > [名前でグループを検索] をクリックします。プッシュ対象グループの設定
  
  クイック検索ボックスに OKTA のグループ名を入力し、オートサジェスト リストから選択します。OKTA は、事前にダウンロードしたリストをもとに、それぞれの Miro チームと一致するグループを表示します。OKTA グループと Miro チームをリンクする
  
  グループを手動でリンクするオプションを OKTA が表示した場合は、Miro 側にそのグループの名前の Miro のチームが存在することを確認します。[アプリグループを更新] をもう一度クリックし、システムがエンティティを同期してから、グループ名で検索を再試行することをお勧めします。
• Okta にプロビジョニングされる前に、Miro Enterprise プランに直接追加されたユーザーがいる場合は、[インポート] タブに移動し、[今すぐインポート] をクリックします。これで、Miro の既存ユーザーに関する情報が Okta にインポートされます。そこから、インポートされたユーザーの処理方法を選択することができます。
  
  この作業を行うことで、SSO を有効化した後にシステム間で不整合が生じ、ユーザーのログイントラブルが発生することを避けられます。
• 変更を保存して終了です。Miro にプッシュされたグループのリストと、アクティブ（緑色）になっているはずの同期のステータスが表示されます。この時点で、選択したグループのユーザーは、それぞれの Miro チームに配置され、チームで共有されているボードにアクセスできるようになります。その後、継続的に更新されます。

起こり得る問題とその解決方法

1. ユーザーが Miro にプッシュされない。
   Okta のプッシュされたグループがアプリに正しく割り当てられていることを確認してください。Okta のプッシュグループの同期のアクティブなステータスには時々不具合が発生することがあります。同期エラーを解決するには、グループの割り当てを解除し、プッシュグループから削除してから、グループを新たに割り当てて、プッシュグループに再び追加し、同期接続を再作成してみてください。設定に変更がない場合でも、同期接続を再作成することで問題が解決することがあります。
2. ユーザを削除できない。
   SCIM プロセスには、ユーザーの削除は含まれていません。ユーザーのアクセス権を無効にするには、OKTA でユーザーを非アクティブ化するか、Okta 側でアプリケーションからユーザーの割り当てを解除します。そすることで、Miro に対応するリクエストが送られ、ユーザーは非アクティブな状態に設定されます。Miro からユーザーを削除するには、Miro のアクティブなユーザーのページを使用します。
3. ユーザーデータが更新されない。
   ユーザー名の属性は、[アプリケーション] > [割り当て] から更新できないので注意してください。
   
   ユーザー名の属性（他の属性も）は、必ずユーザープロフィールの編集オプションから更新します。
   
4. 「競合」エラーが原因で、ユーザーがプロビジョニングされない。リモートサーバーによって報告されたエラー：「ドメインアドレスはホワイトリストに登録されていません」。
   
   ユーザーのドメインアドレスが、共有ポリシーに従って許可されていることを確認してください。
5. [今すぐプッシュ] オプションを使用した後、一部のボードとプロジェクトがチームの管理者に再割り当てされてしまった。
   このオプションでは、Okta が PATCH リクエストを開始し、サブスクリプションのすべてのメンバーを置き換えます（つまり、Miro のユーザーリストを Okta のユーザーリストに同期します）。このプロセスの実行中にタイムアウトが発生した場合、Miro にはタイムアウトが発生するまでに同期可能だったユーザーだけが残されます。Miro 側では、ユーザーがチームから削除されることになるので、削除されたユーザーが所有していたボードやプロジェクトは、チームの管理者に再割り当てされます。
6. [今すぐインポート] オプションが提供するスキャン機能によってカウントされたユーザー数が、Miro のサブスクリプションのユーザー数と一致しない。
   スキャン機能がカウントするユーザー数には、非アクティブ化したユーザーとチーム以外のユーザーは含まれません。また、Miro では、前回のインポート以降に加えた何等かの変更（例えば、以下に示すような「ユーザーを 1 名削除する」変更）が Okta に含まれている場合、ユーザー数のカウント結果に不一致が生じることを把握しています。正しいユーザー数を取得するためには、インポートコマンドを 2 回以上実行してみてください。
   

7. ユーザーのデータが一部更新されない。
   設定したすべての属性（特に ProfilePicture や UserType などのカスタム属性）が、ユーザープロフィール ページに表示され、入力されていることを確認してください。
   
   

8. 次に示すようなリンク / プッシュグループのタイムアウト メッセージが表示され、変更が Miro に送信されない：
   「2021 年 6 月 14 日午後 12 時 16 分 29 秒（UTC）にエラーが発生しました：グループプッシュ マッピングの対象であるアプリグループ <グループ名> を更新できません：ユーザーグループ <グループ名> の作成中にエラーが発生しました：読み込みがタイムアウトしました。」
   

   
   このタイムアウトエラーは、既存のグループをリンクしようとしたときや、メンバーが多い新しいグループをプッシュしようとしたときに発生する場合があります。

   新しいグループをプッシュしていた場合、対象グループを Miro で作成する前か後のどちらで Okta の SCIM リクエストのタイムアウトが発生したのかを確認します。

   対象グループが Miro で作成されなかった場合は、「プッシュグループ」操作を再試行します。
   

   既存のグループをリンクしていた場合や、最初のプッシュ操作の後に対象グループが Miro で作成された場合は、Okta と Miro のグループ間のリンクを復元する必要があります。そのためには、以下の手順を試してみてください。

   
   ー プッシュされたグループのリンクを解除します（モーダルウィンドウの [ターゲットアプリのグループを残す] にチェックを入れる）。
   
   
   
   
   ー [アプリグループを更新] ボタンをクリックして、Okta が Miro のグループリストを取得できるようにします。
   
   
   
   ー [グループをプッシュ] ボタンをクリックして、[名前でグループを検索] オプションを選択します。
   ー 検索ボックスにプッシュするグループ名を入力して検索し、ドロップダウンからグループを選択します。Okta の [グループをリンク] のオプションは、以下に示すように無効化されている必要があります。
   
   
   
   ー [保存] をクリックします。Okta は、PATCH / Groups SCIM リクエストを使用して、対象となるグループを同期しようとします。
   ー Miro で Okta グループのメンバー全員が各チームに割り当てられていない場合、Okta の「ディレクトリー → タスク」タブを確認し、失敗した操作を再試行することができます。