利用可能なプラン: Enterprise プラン
設定者:会社の管理者
⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM の規則、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントはこちらでご覧になれます。
フレキシブル ライセンス プログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。
前提条件
Miro SCIM API は、SSO パートナーのプロビジョンをサポートし、ユーザーとチーム(グループ)を管理するために使用されます。自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。
セキュリティグループと Miro チームは、あらかじめ同じ命名規則で作成しておく必要があります。
プロビジョニングの設定手順
SSO設定中にアプリケーションが作成されると、その設定が表示されます:
Miro_app_settings.jpg
Miroアプリケーションの設定
- 左側のパネルでプロビジョニングするアイテムを選択し、[プロビジョニング モード] を [手動] から [自動] に変更します。
- 管理者の認証情報を提供します:
a)https://miro.com/api/v1/scim/をテナントの URLとして使用します。
b)シークレットトークンを提供します。 トークンは、以下に示す通り、Miro の設定の「SSO」セクションで取得できます:
scim.jpg
c) シークレットキー編集ボックスのすぐ下にある [Test Connection](接続テスト)ボタンをクリックします。
接続テストに成功すると、以下に示すメッセージが表示されます。
接続テスト成功のメッセージ
接続が確認できない場合は、テナント URL や API トークンが間違っていないか、ファイアウォールなどのトラフィック インターセプターによるブロックがないかなどを再度確認します。 - 設定を [保存] します。
save_configuration.jpg
設定の保存
マッピング
Miro SCIM APIは、Entra IDがユーザーとグループに付加するメタデータの一部を利用します。このセクションでは、Miro SCIM API と Entra ID 属性間の必要なマッピングについて説明します。
ユーザー
- 左側の[Provisioning]タブを選択し、[Synchronize Entra Active Directory Users to Miro] をクリックします:
synchronize_users.jpg
同期を有効にする - デフォルトのマッピング設定で問題ないはずです。しかしながら、念のため、ユーザーに対しての同期が有効で、必要なメソッドの設定(作成、更新、削除)がすべてオンになっていることを再度確認しておきます。
attribute_mapping.jpg
属性マッピング
Miroは、SP主導のフローでは、UPNによってのみEntraユーザーを認識することに注意してください。
対応する属性を追加するには、[Show advanced options](詳細オプションを表示)のボックスをチェックし、[Edit attribute list for Miro](Miro の属性リストを編集)を選択します。
attribute_mappings.jpg
詳細オプション
次に、マッピングしたい属性名を入力し、保存します。サポートされている属性の完全なリストについては、SCIMのドキュメントを参照してください。
Miro_user_attrbutes.jpg
Miro のユーザー属性
これで、[Add New Mapping](新しいマッピングを追加)を選択し、先ほど追加した新しい属性を選択することができます。
edit_attribute.jpg
新しい属性をマッピングするには、次のURLでEntraにアクセスしてこのオプションを有効にする必要があります:
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
新しい属性の詳細な追加手順については、Microsoft のこちらとこちらのドキュメントをご覧ください。
⚠️ ProfilePicture 属性は Entra ではサポートされていません。この機能の追加をするよう、User Voice に提案することができます。
グループ
- 左側の[Provisioning]タブを選択し、[Synchronize Entra Active Directory Groups to Miro] をクリックします。
-
デフォルトのマッピング設定で問題ないはずです。グループに対する同期が有効になっていることを確認し、[作成] と [削除] のメソッドのチェックを外します(Miro SCIM API では、チームの作成と削除に対応していない点にご注意ください)。
⚠️ Miro がメソッドのサポートをする際は、予定外の変更を防ぐため、メソッドのチェックをはずしておくことを強くお勧めします。
- [保存] をクリックします。
ユーザーとグループの割り当て
Miro SCIM Provisioningは、Enterpriseサブスクリプションへのユーザーのプロビジョニングとプロビジョニング解除を支援し、チーム間でユーザーを自動的に分配します。
Miro で自動的に管理するには、Entra Active Directory のユーザーまたはグループを Miro SCIM Provisioner アプリケーションに割り当てる必要があります。
ユーザーとグループをアプリケーションに割り当てるには、以下の手順に従います。
- 左側の [プロビジョニング] のタブを選択します。「設定」セクションで、スコープが Miro と同期させたいものと一致していることを確認します。[Sync only assigned users and groups](割り当てられたユーザーとグループのみを同期する)を選択します。
- 左側のパネルで [User and groups](ユーザーとグループ) を選択し、[Add user](ユーザーを追加)をクリックします。
user_and_groups.jpg
ユーザーとグループのタブ - 「割り当て追加」画面で、[Users and groups](ユーザーとグループ)タブを選択し、リストからユーザーとグループを選択します。 注: Miro SCIM APIはMiroに新しいチームを作成しません。SCIM の機能の一覧についてはこちらをご覧ください。
- [選択] をクリックしてから、[割り当て] ボタンをクリックします。
- 割り当てられたユーザーとグループが一覧で表示されます。
Entra IDでユーザーをダウングレード
ユーザーをダウングレードするには、Fullapp ロールが割り当てられている Entra ID グループからユーザーを削除します。次に、そのユーザが、Userappロールが割り当てられているグループのメンバであることを確認します。Miroで、彼らのライセンスを制限付き無料ライセンスに更新してください。
⚠️ Miro アプリケーションに割り当てられているすべての Entra ID グループからユーザーを削除すると、そのユーザーは Miro で非アクティブになり、Miro アプリケーションにアクセスできなくなります。ダウングレードするユーザーが引き続き制限付き無料ライセンスで Miro にアクセスする必要がある場合は、そのユーザーがユーザーロールが割り当てられている Entra ID グループのメンバーであることを確認してください。
✏️ SCIMプロビジョニングによるフル ライセンスから制限付き無料 ライセンスへのユーザのダウングレードはまだサポートされていません。
プロビジョニングの有効化と無効化
初期設定が完了したら、プロビジョニング ステータスのトグルを有効化します。
- 左側の [プロビジョニング] のタブを選択します。
- プロビジョニング ステータスのトグルの [オン] をクリックします。
provisioning_status.jpg
プロビジョニング ステータス - [保存] を押します。これで初期プロビジョニングが開始され、終了するまでの間しばらく時間がかかります。約 20 分後にページの一番下にあるステータスを確認します。
この設定を [Off](オフ)に切り替えれば、いつでもプロビジョニングを無効化できます。Entraは断続的にデータを更新するため、緊急の更新が必要な場合は、プロビジョニングを停止し、再度開始してください。プロビジョニングを再開させた後、同期はすぐに再開し、データ更新も並行して実行されます。
グループとチームのデカップリング
SCIM を有効化して、グループを Miro のチームと同期するには、同じ名前の値を持っている必要があります。これは、Miro の同期が名前の値を基に実行されるためです。そのため、グループとチームで別な名前が必要な場合は、同期した後にいずれかの名前を変更します。 以下にその実施例を示します。
計画された結果:Entraにはsfo_hq_eng_supportという グループがあり、MiroにはEngineering Supportという チームがあります。
curl コマンドを実行して、すべてのセキュリティグループをリスト化します(必ずプレースホルダーを固有の値に置き換えてください)。
カール
-H "Accept: application/json"
-H「Content-Type: application/json」。
-H "Authorization:ベアラ "SCIM_API_TOKEN" \
-X GEThttps://miro.com/api/v1/scim/Groups
応答例:
"スキーマ":[
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
"totalResults":14.
リソース:
"スキーマ":[
"urn:ietf:params:scim:schemas:core:2.0:グループ"
ID12.
displayName;"YourMiroTeamName"、
メンバー:
"meta":{
"resourceType":グループ化
"location":"https://miro.com/api/v1/scim/Groups/3074457345618261605"
この段階でMiro には、Engineering Support という Miro チームと、Engineering Support(ID:3074457345618261605)という Miro セキュリティグループが存在しています。このチームとグループは一対一でマッピングされています。
ここでは、チーム名を変更せずに、セキュリティグループのグループ名を Engineering Support から、sfo_hq_eng_support に変更します。そのために以下の curl コマンドを実行します:
カール
-H "Accept: application/json"
-H「Content-Type: application/json」。
-H "Authorization:ベアラ "SCIM_API_TOKEN" \
-X PATCHhttps://miro.com/api/v1/scim/Groups/3074457000018261605 \ \
D
"スキーマ":[
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
オペレーション
"op":置換
"path": "displayName"、
値「YourSecurityGroupName"
このコマンドによる変更は、Miro の会社チームページにすぐに反映され、表示されます。
Entraは40分ごとにバックグラウンドでスケジュール同期を実行します。次の同期で、EntraはMiroのsfo_hq_eng_supportセキュリティーグループを確認し、Entraのそれぞれのグループと自動的にリンクします。
この時点で、セキュリティグループは Miro チームの 1 つに接続され、別の名前が付けられています。
起こり得る問題とその解決方法
ユーザーのメールアドレスの変更によって生じる問題
一部のユーザーのメールアドレスの更新内容を Miro 側で確認できない場合、想定される属性が更新されていることを確認します。この問題は、emails[type eq "work"] を使用している場合に発生する可能性があります。
Eメール[type eq "work"] 属性はEntraのデフォルトなので、Miroはそれをサポートしています。
ユーザーを読み取ると、次のように返します。
メール[type eq "work"] は私たちの側では読み取り専用altなのでalt、Miroはそれを変更しようとしても無視します。これは、Miro では、ユーザーのメールアドレスがユーザーのプライマリー ID であるためです。これは、ユーザーを認識するものであるため、追加のメールアドレスはサポートしていません。しかし、SCIM の構造上メールアドレスの配列が必要なので、サポートしています。
ユーザーのメールアドレスを変更するには、emails[type eq "work"] ではなく、ユーザー名に対して更新を送信する必要があります。
ユーザーの更新に失敗エラー
EntraのログにFailedstatusと表示されます:
ステータス理由 -"ユーザーの更新に失敗しました:属性の電子メールは、多値または複雑な値を持っていません"
エラーコード- SystemForCrossDomainIdentityManagementServiceIncompatible