利用可能なプラン: Enterprise プラン
必要な役割:会社の管理者
⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM が従うルール、起こりうる問題とその解決方法については、まずこちらをご覧ください。
Miro の開発者向け SCIM ドキュメントはこちらからご覧いただけます。
フレキシブル ライセンス プログラムを利用する顧客向けの詳細なプロビジョニングガイドはこちらから見つけることができます。
前提条件
Miro SCIM API は、SSO パートナーのプロビジョンをサポートし、ユーザーとチーム(グループ)を管理するために使用されます。自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定方法の詳細はこちらをご覧ください。
セキュリティグループと Miro チームは、あらかじめ同じ命名規則で作成しておく必要があります。
プロビジョニングの設定
SSO 設定中にアプリケーションが作成されると、その設定が表示されます:
Miro アプリケーションの設定
- 左のパネルでプロビジョニングを選択し、プロビジョニングモードを手動から自動に変更します。
- 管理者の認証情報を提供します:
a) テナントURLとしてhttps://miro.com/api/v1/scim/を使用します
b) シークレットトークンを提供します。SSO設定のMiro設定から次のように取得できます:
c) シークレットキー編集ボックスのすぐ下にある[接続テスト]ボタンをクリックします。
接続テストに成功すると、以下に示すメッセージが表示されます:
接続テスト成功のメッセージ
接続が確認できない場合は、テナントURLやAPIトークンが間違っていないか、ファイアウォールなどのトラフィックインターセプターによるブロックがないかなどを再度確認します。 - 設定を保存します。
設定の保存
マッピング
Miro SCIM API は、Entra ID がユーザーとグループに付加するメタデータの一部を利用します。このセクションでは、Miro SCIM API と Entra ID 属性間の必要なマッピングについて説明します。
ユーザー
- 左側のプロビジョニングタブを選択し、Entra Active Directory のユーザーを Miro に同期をクリックします:
同期を有効にする - デフォルトのマッピング設定で十分ですが、念のため、ユーザーに対しての同期が有効で、必要なメソッドの設定(作成、更新、削除)がすべてオンになっていることを再度確認してください:
属性マッピング
Miro は、SP-initiated フローにおいて、UPN によってのみ Entra ユーザーを認識できることに注意してください。
サポートされている属性を追加するには、詳細オプションを表示を選択し、Miro の属性リストを編集:を選択します。
詳細オプション
次に、マッピングしたい属性名を入力し、保存してください。サポートされている属性の完全なリストについては、SCIM ドキュメントをご参照ください。
Miro のユーザー属性
これで、新しいマッピングを追加のオプションを選択し、先ほど追加した新しい属性を選択することができます。
新しい属性をマッピングするためには、以下のURLでEntraにアクセスしてこのオプションを有効にする必要があります。
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
新しい属性の追加に関する詳細は、Microsoft の文書をこちらおよびこちらをご覧ください。
⚠️ ProfilePicture 属性は Entra ではサポートされていません。この機能の開発を促進するためには、User Voiceでリクエストすることができます。
グループ
- 左のプロビジョニングタブを選択し、Entra Active Directory グループを Miro と同期をクリックします。
-
デフォルトのマッピング設定で十分です。グループに対して同期が有効になっていることを確認し、チェックを外し作成および削除メソッドのチェックを外してください(Miro SCIM API はチームの作成と削除をサポートしていません)。
⚠️ メソッドのサポートを開始する際、予定外の変更を防ぐためにメソッドのチェックを外すことを強くお勧めします。詳細はこちらをご覧ください。
- 保存をクリックします。
ユーザーとグループの割り当て
Miro SCIM プロビジョニングは、Enterprise サブスクリプションへのユーザーのプロビジョニングとプロビジョニング解除を支援し、複数チーム間でユーザーを自動的に分配します。
Entra Active Directory のユーザーまたはグループを Miro SCIM Provisioner アプリケーションに割り当てる必要があります。そうすることで、Miro で自動的に管理されます。
ユーザーとグループをアプリケーションに割り当てるには、以下の手順に従います。
- 左側のプロビジョニングタブを選択します。設定セクションで、スコープが Miro と同期させたいものと一致していることを確認し、「割り当てられたユーザーとグループのみを同期する」を選択してください。
- 左側のパネルでユーザーとグループタブを選択し、ユーザーを追加をクリックします:
ユーザーとグループのタブ - 割り当て追加画面で、ユーザーとグループタブを選択し、リストからユーザーとグループを選びます。注記: Miro SCIM API は Miro に新しいチームを作成しません。SCIM の機能一覧はこちらをご覧ください。
- 選択ボタンをクリックし、それから割り当てボタンをクリックします。
- 割り当てられたユーザーとグループが一覧で表示されます。
✏️ Entra ID からグループの割り当てを解除しても、Miro で同期されているチームからユーザーが削除されることはなく、非アクティブ化されません。ユーザーを正しく削除するには、Miro に接続されているすべての Entra ID グループから削除してください。
ユーザーのダウングレード
ユーザーをダウングレードするには、次の手順に従ってください。
- Entra ID で以下の手順を実行してください。
- ユーザーを Full アプリロールが割り当てられているグループから削除します。
- ユーザーが User ロールが割り当てられている別のグループのメンバーであることを確認します。
- Miro で、そのユーザーのライセンスを 制限付き無料 に更新します。
⚠️ Miro アプリケーションに割り当てられているすべての Entra ID グループからユーザーを削除すると、そのユーザーは Miro で非アクティブ化され、Miro アプリケーションにアクセスできなくなります。ダウングレード対象のユーザーが 制限付き無料 ライセンスで引き続き Miro を利用する必要がある場合は、そのユーザーが User ロールが割り当てられている Entra ID グループのメンバーであることを確認してください。
✏️ SCIM プロビジョニングによるフルライセンスから制限付き無料ライセンスへのユーザーのダウングレードにはまだ対応していません。
プロビジョニングの有効化と無効化
初期設定が完了したら、プロビジョニング ステータスのトグルを切り替えてプロビジョニングを有効化します。
- 左側のプロビジョニングタブを選択します。
- プロビジョニング ステータスのトグルをオンにします。
プロビジョニングステータス - 保存をクリックします。これで初期プロビジョニングが開始され、終了するまでの間しばらく時間がかかります。約20分後にページの一番下にあるステータスを確認します。
必要に応じて、オフオプションを選択してプロビジョニングを無効化できます。Entraは断続的にデータを更新するため、緊急の更新が必要な場合は、プロビジョニングを停止し、再度開始してください。再同期は即座に行われ、更新も並行して実施されます。
グループとチームの分離
SCIM を有効化して、グループを Miro のチームと同期するには、同じ名前の値を持っている必要があります。これは、Miro の同期が名前の値を基に実行されるためです。 そのため、グループとチームで名前を分ける必要がある場合は、同期した後にいずれかの名前を変更します。以下にその実施例を示します。
見込まれる結果:Entra には sfo_hq_eng_support というグループ、Miro には Engineering Support というチームがあり、二者間で同期が実施される。
curl コマンドを実行して、すべてのセキュリティーグループをリスト化します(必ずプレースホルダーを固有の値に置き換えてください)。
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups
応答例:
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:Group"
],
"id": "3074457345618261605",
"displayName": "YourMiroTeamName",
"members": [],
"meta": {
"resourceType": "Group",
"location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
}
}
]
}この段階でMiroには、Engineering SupportというMiroチームと、MiroセキュリティーグループEngineering Support(ID:3074457345618261605)が存在しています。これらは一対一でマッピングされています。
ここでの目的は、チーム名を変更せずに、セキュリティーグループの名前Engineering Supportをsfo_hq_eng_supportに変更することです。そのために以下のcurlコマンドを実行します:
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "YourSecurityGroupName"
}
]
}'
この変更は Miro の 会社チーム ページにすぐに表示されます。
Entra は 40 分ごとにバックグラウンドでスケジュールされた同期を実行します。次の同期で、Entra は Miro の sfo_hq_eng_support セキュリティーグループを確認し、Entra の該当のグループと自動的に紐付けます。
この時点で、セキュリティーグループは Miro チームの 1 つに接続され、別の名前が付けられています。
起こり得る問題とその解決方法
ユーザーのメールアドレスの変更によって生じる問題
一部のユーザーのメールアドレスの更新内容を Miro 側で確認できない場合、想定される属性が更新されていることを確認します。この問題は emails[type eq "work"] を使用している場合に発生する可能性があります。
emails[type eq "work"] 属性は Entra のデフォルトなので、Miro は対応しています。ただし、読み取り専用であり、userName から動的に生成されます。
ユーザーを読み取ると、次のように返します。
こちらからはemails[type eq "work"]は読み取り専用なので、Miroはそれを変更しようとしても無視します。これは、MiroにおいてユーザーのメールアドレスがユーザーのプライマリIDだからです。我々がユーザーを認識する時はこれに基づいているので、追加のメールをサポートすることはできません。しかし、SCIMの構造上、メールの配列が必要とされているため、その存在は認識しています。
ユーザーのメールアドレスを変更するには、emails[type eq "work"]ではなくuserNameに対して更新を送信する必要があります。
ユーザーの更新に失敗エラー
EntraのログにFailedのステータスが表示されます:
ステータス理由 -「ユーザーの更新に失敗しました:属性のメールアドレスには、複数の値または複雑な値がありません」
エラーコード - SystemForCrossDomainIdentityManagementServiceIncompatible