OKTA による自動プロビジョニングの設定

利用可能なプラン： Enterprise プラン
設定者：会社の管理者
 

⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM の規則、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントはこちらでご覧になれます。

フレキシブル ライセンス プログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。 

前提条件

自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。 

SCIM API を呼び出す際には、API トークンを提供する必要があります。[Enterprise のインテグレーション] > [SSO] > [SCIM] の設定で SCIM を有効化すると、トークンが表示されます。

接続時にエラーが発生するのを避けるため、同期を実行する前に「重要事項」と「Miro の SCIM 運用ルール」をご確認ください。 

設定

1. アプリケーションの設定ページで、[Provisioning]（プロビジョニング）のタブに切り替えます。次に、[Configure API Integration]（API インテグレーションを設定）をクリックします。
   
   事前設定された Miro アプリのプロビジョニングタブの表示/strong>
   
   
2. [API インテグレーションを有効化]のチェックボックスにチェックを入れ、ベース URL（https://miro.com/api/v1/scim/）と、アカウント固有の API トークン（アカウントのセキュリティセクションで入手可能）のフィールドを入力します。その後、[Test API Credentials]（API 資格情報をテスト） ボタンをクリックします。
   接続がテストに合格した場合、「Miro は正常に検証されました」という旨の通知が届きます。 
   mceclip7.png
   インテグレーション セクションのプロビジョニングタブ
   確認が取れない場合は、Base URL/span> https://miro.com/api/v1/scim/ を再確認し、ファイアウォールやネットワーク内の他のトラフィック インターセプターによってブロックされていないことを確認し、API Token が正しいことを確認します。
3. 設定を [保存] します。

アプリへのプロビジョニングのマッピング

Miro SCIM API では、OKTA がユーザーとグループに付与するメタデータの一部を利用します。ここでは、Miro SCIM API と OKTA のインターフェースにおいて、両方の属性で必要なマッピングについて説明します。

1. アプリケーションの設定ページで、[Provisioning]（プロビジョニング） > [To App]（アプリへ）タブに移動します。 [編集] をクリックし、「ユーザーを作成」、「ユーザー属性を更新」、「ユーザーを非アクティブ化」の右側にあるチェックボックスにチェックを入れて、設定をすべて有効化します。
   
   あらかじめ設定された Miro アプリ用のアプリへのタブ
   

スクロールダウンして、ユーザー名が [サインオン設定で設定済み] に設定されていることを確認します。 
mceclip9.png
あらかじめ設定された Miro アプリ用の属性マッピングのタブ

対応する属性を追加するには [Go to Profile Editor]（プロフィール エディターに移動） オプションをクリックし、[属性を追加] を選択します。

mceclip10.png
プロフィール編集者のアクティブな属性のリスト

mceclip12.png

対応する属性のリストについては、Miro の SCIM ドキュメントをご覧ください。

割り当てとプッシュグループ

Miro SCIM プロビジョニングは、ユーザーを Miro Enterprise プランにプロビジョニングするだけでなく、それらをチーム間で自動配布し、必要に応じて非アクティブ化するのに役立ちます。 

⚠️ OKTA のグループは、Miro のアプリケーションに割り当てられ（グルプーにすでにユーザーとして直接割り当てられたユーザーが含まれていても）、また、アプリのプッシュグループにも追加する必要があります。 

1) [割り当て] タブで Miro のアプリケーションにグループを割り当てます。割り当てられたユーザーは全員、この時点で Miro SSO 経由で認証できるようになりますが、Miro のチームには配置されません。 

2) その後、プッシュグループを設定して、Okta グループを Miro のチームと同期させます。 

• アプリケーション設定ページの [プッシュグループ] タブを選択し、[アプリグループを更新] をクリックします。
  mceclip13.png
  Miro アプリ用にあらかじめ設定されたプッシュグループ/strong>
  
  こうすることで、Miro サブスクリプションに存在するチームを Okta が認識し、後で同期できるようになります。チーム数によっては、リストのダウンロードに数分かかる場合があります。
• Push Groups > Find groups by name:mceclip14alt.pngaltプッシュされたグループの設定を クリックします。
  
  クイック検索ボックスに OKTA グループ名を入力し、オートサジェスト リストから選択します。OKTAは、それぞれのMiroチームとマッチするグループを表示します（以前にダウンロードしたリストによる）。OKTAグループとMiroチームのリンク
  
  グループを手動/em>でリンクするオプションを OKTA が表示した場合は、Miro 側にそのグループの名前の Miro のチームが存在することを確認します。[アプリグループを更新] をもう一度クリックし、システムがエンティティを同期してから、グループ名で検索を再試行するとよいでしょう。 
• Okta にプロビジョニングされる前に、Miro Enterprise プランに直接追加されたユーザーがいる場合は、[インポート] タブに移動し、[今すぐインポート] をクリックします。これにより、Miro の既存ユーザーに関する情報が Okta にインポートされます。そこから、インポートされたユーザーの処理方法を選択することができます。
  
  その結果、SSO を有効化した後に、システム間で不一致が生じ、ログインできないユーザーが発生しないようにすることができます。
• 変更を保存して終了です。Miro にプッシュされたグループのリストと、アクティブ（緑色）になっているはずの同期のステータスが表示されます。 この時点で、選択したグループのユーザーは、それぞれの Miro チームに配置され、チームで共有されているボードにアクセスできるようになります。その後、継続的に更新されることになります。

起こり得る問題とその解決方法

1. ユーザーが Miro にプッシュされない。
   Okta のプッシュされたグループがアプリに正しく割り当てられていることを確認してください。なお、Okta のプッシュグループの同期のアクティブステータスでは不具合が発生することがあります。同期エラーを解決するには、グループの割り当てを解除し、プッシュグループから削除してから、グループを新たに割り当てて、プッシュグループに再び追加し、同期接続を再作成してみてください。設定に変更がない場合でも、問題を解決するために同期接続を再作成するプロセスが必要な場合があります。
2. ユーザーを削除できない。
   SCIM プロセスには、ユーザーの削除は含まれていません。OKTAでユーザーを非アクティブにする、またはOkta側でアプリケーションからユーザーを非アクティブにすることで、Miroに対応するリクエストが送信され、ユーザーが非アクティブのステータスに設定されます。
3. ユーザーデータが更新されない。
   ユーザー名の属性は、[アプリケーション] > [割り当て] から更新できません。
   
   ユーザー名の属性（他の属性も）は、必ずユーザープロフィールの編集オプションから更新します。
   
4. 「競合」エラーが原因で、ユーザーがプロビジョニングされない。リモートサーバーから報告されたエラー：DomainAddress はホワイトリストに登録されていません。
   
   ユーザーのドメインアドレスが、共有ポリシーに従って許可されていることを確認してください。 
5. [今すぐプッシュ] オプションを使用した後、一部のボードとプロジェクトがチームの管理者に再割り当てされてしまった。
   このオプションでは、Okta が PATCH リクエストを開始し、サブスクリプションのすべてのメンバーを置き換えます（つまり、Miro のユーザーリストを Okta のユーザーリストに同期します）。このプロセスの実行中にタイムアウトが発生した場合、Miro にはタイムアウトが発生するまでに同期可能だったユーザーだけが残されます。Miro 側では、ユーザーがチームから削除されることになるので、削除されたユーザーが所有していたボードやプロジェクトは、チームの管理者に再割り当てされます。
6. [今すぐインポート] オプションが提供するスキャン機能によってカウントされたユーザー数が、Miro のサブスクリプションのユーザー数と一致しない。
   スキャン機能がカウントするユーザー数には、非アクティブ化したユーザーとチーム以外のユーザーは含まれません。また、Miro は、前回のインポート以降に発生した新しい変更（例えば、以下のスクリーンショットにある「ユーザー 1 名削除」のような変更）を Okta に含めると、結果が異なる場合があることにも気づきました。正しいユーザー数を取得するためには、インポートコマンドを 2 回以上実行してみてください。 
   

7. ユーザーのデータが一部更新されない。
   設定したすべての属性（特に ProfilePicture や UserType などのカスタム属性）が、ユーザー プロフィール ページに表示され、入力されていることを確認してください。
   
   

8. 次に示すようなリンク / プッシュグループのタイムアウトメッセージが表示され、変更が Miro に送信されない：
   "Failed on 06-14-2021 12:16:29PM UTC：グループプッシュマッピングのターゲットAppグループ<グループ名>を更新できません：ユーザーグループ<グループ名>の作成中にエラーが発生しました：mceclip0。
   

   
   このタイムアウトエラーは、既存のグループをリンクしようとしたときや、メンバーが多い新しいグループをプッシュしようとしたときに発生する場合があります。

   新しいグループをプッシュしていた場合、対象グループを Miro で作成する前か後のどちらで Okta の SCIM リクエストのタイムアウトが発生したのかを確認します。

   対象グループが Miro で作成されなかった場合は、「プッシュグループ」操作を再試行します。
   

   既存のグループをリンクしていた場合や、最初のプッシュ操作の後に対象グループが Miro で作成された場合は、Okta と Miro のグループ間のリンクを復元する必要があります。そのためには、以下の手順を試してみてください：

   
   ープッシュされたグループのリンクを解除します（モーダルウィンドウの [ターゲットアプリのグループを残す] にチェックを入れる）。
   
   
   
   
   ー[アプリグループを更新] ボタンをクリックして、Okta が Miro のグループリストを取得できるようにします。
   
   
   
   ー[グループをプッシュ] ボタンをクリックして、[名前でグループを検索] オプションを選択します。
   ー検索ボックスを使ってプッシュするグループを検索し、ドロップダウンからグループを選択します。Okta の [グループをリンク] のオプションは、以下に示すように無効化されている必要があります。
   
   
   
   ー[保存] をクリックします。Okta は、PATCH /Groups SCIM リクエストを使用して、対象となるグループを同期しようとします。
   ー Miro で Okta グループのメンバー全員が各チームに割り当てられていない場合、Okta の「ディレクトリー → タスク」タブを確認し、失敗した操作を再試行することができます。