利用可能なプラン:Enterprise プラン
設定者:会社レベルの管理者⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM の規則、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントについては、こちらからご覧いただけます。
フレキシブル ライセンス プログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。
前提条件
自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。
SCIM API を呼び出す際には、API トークンを発行する必要があります。[Enterprise のインテグレーション] > [SSO] > [SCIM] の設定で SCIM を有効化すると、トークンが表示されます。
接続時にエラーが発生するのを避けるため、同期を実行する前に「重要事項」と「Miro の SCIM 運用ルール」をご確認ください。
設定
- アプリケーション設定ページで、[プロビジョニング] タブに切り替えます。次に、[API インテグレーションを設定]
をクリックします。事前設定された Miro アプリのプロビジョニングタブ
- [API インテグレーションを有効化]のチェックボックスにチェックを入れ、ベース URL(https://miro.com/api/v1/scim/)と、アカウント固有の API トークン(アカウントのセキュリティセクションで入手可能)のフィールドを入力します。その後で、[API 資格情報をテスト] ボタンをクリックします。接続テストに合格
すると、「Miro が認証されました」という通知が表示されます
。インテグレーション セクションのプロビジョニングタブ接続
が確認できない場合は、ベース URL(https://miro.com/api/v1/scim/)を再確認し、ファイアウォールやネットワーク内の他のトラフィック インターセプターにブロックされていないことや、API トークンが正しいことを確認します。 - 設定を [保存] します。
アプリへのマッピング
Miro SCIM API では、OKTA がユーザーとグループに付与するメタデータの一部を利用します。ここでは、Miro SCIM API と OKTA のインターフェースにおいて、両方の属性で必要なマッピングについて説明します。
- アプリケーションの設定ページで、[プロビジョニング] > [アプリへ] タブに移動します。[編集] をクリックし、[ユーザーを作成]、[ユーザー属性を更新]、[ユーザーを非アクティブ化] セクションの端にあるチェックボックスにチェックを入れて有効化します。
あらかじめ設定された Miro アプリの [アプリへ] タブ
スクロールダウンして、ユーザー名が [サインオン設定で設定済み] に設定されていることを確認します。
あらかじめ設定された Miro アプリの属性マッピングのタブ
対応する属性を追加するには [Go to Profile Editor](プロフィール エディターに移動) オプションをクリックし、[属性を追加] を選択します。
プロフィール エディターのアクティブな属性のリスト
対応する属性のリストについては、Miro の SCIM ドキュメントをご覧ください。
割り当てとプッシュグループ
Miro SCIM プロビジョニングは、ユーザーを Miro Enterprise プランにプロビジョニングするだけでなく、それらをチーム間で自動配布し、必要に応じて非アクティブ化するのに役立ちます。
⚠️ OKTA のグループは、Miro のアプリケーションに割り当てられ(グルプーにすでにユーザーとして直接割り当てられたユーザーが含まれていても)、また、アプリのプッシュグループにも追加する必要があります。
1) [割り当て] タブで Miro のアプリケーションにグループを割り当てます。割り当てられたユーザーは全員、この時点で Miro SSO 経由で認証できるようになりますが、Miro のチームには配置されません。
2) その後、プッシュグループを設定して、Okta グループを Miro のチームと同期させます。
- アプリケーション設定ページの [プッシュグループ] タブを選択し、[アプリグループを更新
] をクリックします。あらかじめ設定された Miro アプリのプッシュグループ
こうすることで、Miro サブスクリプションに存在するチームを Okta が認識し、後で同期できるようになります。チームの数によっては、リストのダウンロードに数分かかる場合があります。 - [プッシュグループ] > [名前でグループを検索] をクリックします。プッシュ対象グループの設定
クイック検索ボックスに OKTA のグループ名を入力し、オートサジェスト リストから選択します。OKTA では、事前にダウンロードしたリストに基づき、それぞれの Miro チームと一致するグループが表示されます。 OKTA グループと Miro チームのリンク付け
OKTA にて手動でのリンク付けのオプションが表示された場合は、Miro 側でそのグループ名の Miro チームが存在することを確認してください。[アプリグループを更新] をもう一度クリックし、システムがエンティティを同期してから、グループ名で検索を再試行することをお勧めします。 - Okta にプロビジョニングされる前に、Miro Enterprise プランに直接追加されたユーザーがいる場合は、[インポート] タブに移動し、[今すぐインポート] をクリックします。これで、Miro の既存ユーザーに関する情報が Okta にインポートされます。そこから、インポートされたユーザーの処理方法を選択することができます。
この操作により、SSO を有効化した後にシステム間でユーザーの不整合が生じ、ログイントラブルが発生する事態を回避することができます。 - 変更を保存して終了です。Miro にプッシュされたグループのリストと、アクティブ(緑色)になっているはずの同期のステータスが表示されます。この時点で、選択したグループのユーザーは、それぞれの Miro チームに配置され、チームで共有されているボードにアクセスできるようになります。その後、継続的に更新されます。
発生する可能性のある問題と解決方法
-
ユーザーが Miro にプッシュされない。
。Okta のプッシュされたグループがアプリに正しく割り当てられていることを確認してください。なお、Okta のプッシュグループの同期のアクティブステータスでは不具合が発生することがあります。同期エラーを解決するには、グループの割り当てを解除し、プッシュグループから削除してから、グループを新たに割り当てて、プッシュグループに再び追加し、同期接続を再作成してみてください。設定に変更がない場合でも、同期接続を再作成することで問題が解決することがあります。 -
ユーザを削除できない。
SCIM プロセスには、ユーザーの削除は含まれません。ユーザーのアクセス権を無効にするには、OKTAでユーザーを非アクティブ化するか、OKTA 側でアプリケーションからユーザーの割り当てを解除します。そうすることで、Miro に対応するリクエストが送られ、ユーザーは非アクティブのステータスに設定されます。ユーザーを削除する方法については、ガイドをご覧ください。 -
ユーザーデータが更新されない。
ユーザー名の属性は、[アプリケーション] > [割り当て] から更新できません。
ユーザー名の属性(他の属性も)は、必ずユーザープロフィールの編集オプションから更新してください。
-
「競合」エラーが原因で、ユーザーがプロビジョニングされない。リモートサーバーによって報告されたエラー:「ドメインアドレスはホワイトリストに登録されていません」。
ユーザーのドメインアドレスが、共有ポリシーに従って許可されていることを確認してください。 -
[今すぐプッシュ] オプションを使用した後、一部のボードとプロジェクトがチームの管理者に再割り当てされてしまった。
。このオプションでは、Okta が PATCH リクエストを開始し、サブスクリプションのすべてのメンバーを置き換えます(つまり、Miro のユーザーリストを Okta のユーザーリストに同期します)。このプロセスの実行中にタイムアウトが発生した場合、Miro にはタイムアウトが発生するまでに同期可能だったユーザーだけが残されます。Miro 側では、ユーザーがチームから削除されることになるので、削除されたユーザーが所有していたボードやプロジェクトは、チームの管理者に再割り当てされます。 - [今すぐインポート] オプションでスキャンされたユーザー数が、Miro のサブスクリプションのユーザー数と一致しない。
スキャン機能がカウントするユーザー数には、非アクティブ化したユーザーとチーム以外のユーザーは含まれません。また、Miro では、前回のインポート以降に加えた何等かの変更(例えば、以下に示すような「ユーザーを 1 名削除する」変更)が Okta に含まれている場合、ユーザー数のカウント結果に不一致が生じることを把握しています。実際のユーザー数を確認するには、インポートコマンドを 2 回以上実行してみてください。
-
ユーザーのデータが一部更新されない。
設定した属性(特に ProfilePicture や UserType などのカスタム属性)が、ユーザープロフィール ページにすべて表示および入力されているかどうか確認してください。 -
リンク / プッシュグループのタイムアウトにより、変更が Miro に送信されない。
「2021 年 6 月 14 日午後 12 時 16 分 29 秒(UTC)にエラーが発生しました:グループプッシュ マッピングの対象であるアプリグループ <グループ名> を更新できません:ユーザーグループ <グループ名> の作成中にエラーが発生しました:読み込みがタイムアウトしました。」
このタイムアウトエラーは、既存のグループをリンクさせようとしたときや、メンバーの人数が多い新しいグループをプッシュしようとしたときに表示されることがあります。新しいグループをプッシュしていた場合、対象グループを Miro で作成する前か後のどちらで Okta の SCIM リクエストのタイムアウトが発生したのかを確認します。
対象となるグループが Miro で作成されない場合は、「プッシュグループ」操作を再試行することができます。
既存のグループをリンクしていた場合や、最初のプッシュ操作の後に対象グループが Miro で作成された場合は、Okta と Miro のグループ間のリンクを復元する必要があります。そのためには、以下の手順を試してみてください。
- プッシュされたグループのリンクを解除します(モーダルウィンドウの [ターゲットアプリのグループを残す] にチェックを入れる)。
- [アプリグループを更新] ボタンをクリックして、OKTA で Miro のグループリストを取得できるようにします。
- [グループをプッシュ] ボタンをクリックして、[名前でグループを検索] オプションを選択します。
- 検索ボックスにプッシュするグループ名を入力して検索し、ドロップダウンからグループを選択します。OKTA の [グループをリンク] のオプションは、以下に示すように無効化されている必要があります。
- [保存] をクリックします。OKTA では、PATCH /Groups SCIM リクエストに基づいて、対象となるグループを同期しようとします。
- OKTA グループのメンバーに、Miro の チームに割り当てられていないメンバーがいる場合は、OKTA の「ディレクトリー → タスク」タブを確認し、失敗した操作を再試行してみてください。