OKTA による自動プロビジョニングの設定

利用可能なプラン：Enterprise プラン
設定者：会社レベルの管理者

⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM の規則、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントはこちらでご覧になれます。

フレキシブル ライセンス プログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。

前提条件

自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。

SCIM API を呼び出す際には、API トークンを発行する必要があります。[Enterprise のインテグレーション] [SSO] [SCIM] の設定で SCIM を有効化すると、トークンが表示されます。

接続時にエラーが発生するのを避けるため、同期を実行する前に「重要事項」と「Miro の SCIM 運用ルール」をご確認ください。

設定

1. アプリケーションの設定ページで、[Provisioning]（プロビジョニング）のタブに切り替えます。次に、[API インテグレーションを設定]
   
   をクリックします。事前設定された Miro アプリのプロビジョニングタブ
   
   
2. [API インテグレーションを有効化]のチェックボックスにチェックを入れ、ベース URL（https://miro.com/api/v1/scim/）と、アカウント固有の API トークン（アカウントのセキュリティセクションで入手可能）のフィールドを入力します。その後で、[API 資格情報をテスト] ボタンをクリックします。
   接続テストに合格すると、「Miro が認証されました」という通知が表示されます。
   
   インテグレーション セクションのプロビジョニングタブ
   接続が確認できない場合は、ベース URL https://miro.com/api/v1/scim/ を再確認し、ファイアウォールやネットワーク内の他のトラフィック インターセプターにブロックされていないことや、API トークン が正しいことを確認します。
3. 設定を [保存] します。

アプリへのプロビジョニングのマッピング

Miro SCIM API では、OKTA がユーザーとグループに付与するメタデータの一部を利用します。ここでは、Miro SCIM API と OKTA の属性間で必要なマッピングについて説明します。

1. アプリケーションの設定ページで、[Provisioning]（プロビジョニング） [To App]（アプリへ）タブに移動します。[編集] をクリックし、「ユーザーを作成」、「ユーザー属性を更新」、「ユーザーを非アクティブ化」の右側にあるチェックボックスにチェックを入れて、設定をすべて有効化します。
   
   あらかじめ設定された Miro アプリ用のアプリへのタブ
   

スクロールダウンして、ユーザー名が [サインオン設定で設定済み] に設定されていることを確認します。

あらかじめ設定された Miro アプリ用の属性マッピングのタブ

対応する属性を追加するには [Go to Profile Editor]（プロフィール エディターに移動） オプションをクリックし、[属性を追加] を選択します。

プロフィール エディターのアクティブな属性のリスト

対応する属性のリストについては、Miro の SCIM ドキュメントをご覧ください。

割り当てとプッシュグループ

Miro SCIM プロビジョニングは、ユーザーを Miro Enterprise プランにプロビジョニングするだけでなく、それらをチーム間で自動配布し、必要に応じて非アクティブ化するのに役立ちます。

⚠️ OKTA のグループは、Miro のアプリケーションに割り当てられ（グループにすでにユーザーとして直接割り当てられたユーザーが含まれていても）、また、アプリのプッシュグループにも追加する必要があります。

1) [割り当て] タブで Miro のアプリケーションにグループを割り当てます。割り当てられたユーザーは全員、この時点で Miro SSO 経由で認証できるようになりますが、Miro のチームには配置されません。

2) その後、プッシュグループを設定して、Okta グループを Miro のチームと同期させます。

• アプリケーション設定ページの [プッシュグループ] タブを選択し、[アプリグループを更新]
  
  をクリックします。Miro アプリ用にあらかじめ設定されたプッシュグループ
  
  こうすることで、Miro サブスクリプションに存在するチームを Okta が認識し、後で同期できるようになります。チームの数によっては、リストのダウンロードに数分かかる場合があります。
• [プッシュグループ] [名前でグループを検索] をクリックします。プッシュ対象グループの設定
  
  クイック検索ボックスに OKTA のグループ名を入力し、オートサジェスト リストから選択します。OKTA は、事前にダウンロードしたリストをもとに、それぞれの Miro チームと一致するグループを表示します。OKTA グループと Miro チームをリンクする
  
  グループを手動でリンクするオプションを OKTA が表示した場合は、Miro 側にそのグループの名前の Miro のチームが存在することを確認します。[アプリグループを更新] をもう一度クリックし、システムがエンティティを同期してから、グループ名で検索を再試行することをお勧めします。
• Okta にプロビジョニングされる前に、Miro Enterprise プランに直接追加されたユーザーがいる場合は、[インポート] タブに移動し、[今すぐインポート] をクリックします。これで、Miro の既存ユーザーに関する情報が Okta にインポートされます。そこから、インポートされたユーザーの処理方法を選択することができます。
  
  この作業を行うことで、SSO を有効化した後にシステム間で不整合が生じ、ユーザーのログイントラブルが発生することを避けられます。
• 変更を保存して終了です。Miro にプッシュされたグループのリストと、アクティブ（緑色）になっているはずの同期のステータスが表示されます。この時点で、選択したグループのユーザーは、それぞれの Miro チームに配置され、チームで共有されているボードにアクセスできるようになります。その後、継続的に更新されます。

起こり得る問題とその解決方法

1. ユーザーが Miro にプッシュされない。
   Okta のプッシュされたグループがアプリに正しく割り当てられていることを確認してください。Okta のプッシュグループの同期のアクティブなステータスには時々不具合が発生することがあります。同期エラーを解決するには、グループの割り当てを解除し、プッシュグループから削除してから、グループを新たに割り当てて、プッシュグループに再び追加し、同期接続を再作成してみてください。設定に変更がない場合でも、同期接続を再作成することで問題が解決することがあります。
2. ユーザを削除できない。
   SCIM プロセスには、ユーザーの削除は含まれていません。ユーザーのアクセス権を無効にするには、OKTAでユーザーを非アクティブ化するか、Okta 側でアプリケーションからユーザーの割り当てを解除します。そすることで、Miro に対応するリクエストが送られ、ユーザーは非アクティブな状態に設定されます。Miro からユーザーを削除するには、Miro のアクティブなユーザーのページを使用します。
3. ユーザーデータが更新されない。
   ユーザー名の属性は、[アプリケーション] [割り当て] から更新できないので注意してください。
   
   ユーザー名の属性（他の属性も）は、必ずユーザープロフィールの編集オプションから更新します。
   
4. 「競合」エラーが原因で、ユーザーがプロビジョニングされない。リモートサーバーによって報告されたエラー：「ドメインアドレスはホワイトリストに登録されていません」。
   
   ユーザーのドメインアドレスが、共有ポリシーに従って許可されていることを確認してください。
5. [今すぐプッシュ] オプションを使用した後、一部のボードとプロジェクトがチームの管理者に再割り当てされてしまった。
   このオプションでは、Okta が PATCH リクエストを開始し、サブスクリプションのすべてのメンバーを置き換えます（つまり、Miro のユーザーリストを Okta のユーザーリストに同期します）。このプロセスの実行中にタイムアウトが発生した場合、Miro にはタイムアウトが発生するまでに同期可能だったユーザーだけが残されます。Miro 側では、ユーザーをチームから削除することになるので、ユーザーがこれまで所有していたボードやプロジェクトは、それぞれのチームの管理者に再割り当てされます。
6. [今すぐインポート] オプションが提供するスキャン機能によってカウントされたユーザー数が、Miro のサブスクリプションのユーザー数と一致しない。
   この人数には、非アクティブ化したユーザーとチーム以外のユーザーは含まれません。また、Miro は、前回のインポート以降に発生した新しい変更（例えば、以下のスクリーンショットにある「ユーザー 1 名削除」のような変更）を Okta に含めると、結果が異なる場合があることにも気づきました。正しいユーザー数を取得するためには、Import コマンドを 2 回以上実行してみてください。
   

7. ユーザーのデータが一部更新されない。
   設定したすべての属性（特に ProfilePicture や UserType などのカスタム属性）が、ユーザープロフィール ページに表示され、入力されていることを確認してください。
   
   

8. 次に示すようなリンク / プッシュグループのタイムアウト メッセージが表示され、変更が Miro に送信されない：
   「2021 年 6 月 14 日午後 12 時 16 分 29 秒（UTC）にエラーが発生しました：グループプッシュ マッピングの対象であるアプリグループ <グループ名 を更新できません：ユーザーグループ <グループ名 の作成中にエラーが発生しました：読み込みがタイムアウトしました。」
   

   
   このタイムアウトエラーは、既存のグループをリンクしようとしたときや、メンバーが多い新しいグループをプッシュしようとしたときに発生する場合があります。

   新しいグループをプッシュしていた場合、対象グループを Miro で作成する前か後のどちらで Okta の SCIM リクエストのタイムアウトが発生したのかを確認します。

   対象となるグループが Miro で作成されない場合は、「プッシュグループ」操作を再試行することができます。
   

   既存のグループをリンクしていた場合や、最初のプッシュ操作の後に対象グループが Miro で作成された場合は、Okta と Miro のグループ間のリンクを復元する必要があります。そのためには、以下の手順を試してみてください：

   
   ー プッシュされたグループのリンクを解除します（モーダルウィンドウの [ターゲットアプリのグループを残す] にチェックを入れる）。
   
   
   
   
   ー [アプリグループを更新] ボタンをクリックして、Okta が Miro のグループリストを取得できるようにします。
   
   
   
   ー [グループをプッシュ] ボタンをクリックして、[名前でグループを検索] オプションを選択します。
   ー 検索ボックスにプッシュするグループ名を入力して検索し、ドロップダウンからグループを選択します。Okta の [グループをリンク] のオプションは、以下に示すように無効化されている必要があります。
   
   
   
   ー [保存] をクリックします。Okta は、PATCH / Groups SCIM リクエストを使用して、対象となるグループを同期しようとします。
   ー Miro で Okta グループのメンバー全員が各チームに割り当てられていない場合、Okta の「ディレクトリー → タスク」タブを確認し、失敗した操作を再試行することができます。