利用可能なプラン: Enterprise プラン
設定者:会社の管理者
⚠️ このガイドでは、機能を設定する手順をご説明します。利用可能な機能、Miro SCIM が従うルール、起こりうる問題とその解決方法については、こちらをご覧ください。
Miro の SCIM 開発者向けのドキュメントはこちらでご覧になれます。
フレキシブル ライセンス プログラムをご利用のお客様向けの詳細なプロビジョニング ガイドについては、こちらでご覧いただけます。
前提条件
Miro SCIM API は、SSO パートナーのプロビジョンをサポートし、ユーザーとチーム(グループ)を管理するために使用されます。自動プロビジョニングの設定を始める前に、SAML ベースの SSO が正しく設定され、Miro Enterprise プランで正常に機能している必要があります。SSO の設定手順については、こちらをご覧ください。
セキュリティーグループと Miro のチームは、あらかじめ同じ命名規則で作成しておく必要があります。
プロビジョニングの設定手順
SSO 設定中にアプリケーションが作成されると、設定が表示されます:
Miro アプリケーションの設定
- 左側のパネルでプロビジョニングするアイテムを選択し、[プロビジョニング モード] を [手動] から [自動] に変更します。
- 管理者の認証情報を提供します:
a)https://miro.com/api/v1/scim/をテナント URLとして使用します。
b)シークレットトークンを提供します。 トークンは、Miro の設定の SSO セクションで取得できます:
c) シークレットキー編集ボックスのすぐ下にある [Test Connection](接続テスト)ボタンをクリックします。
接続テストに成功すると、以下に示すメッセージが表示されます。
接続テスト成功のメッセージ
接続が確認できない場合は、テナント URL や API トークンが間違っていないか、ファイアウォールなどのトラフィック インターセプターによるブロックがないかなどを再度確認します。 - 設定を保存します。
設定の保存
マッピング
Miro SCIM API は、Entra ID がユーザーとグループに付加するメタデータの一部を利用します。このセクションでは、Miro SCIM API と Entra ID 属性間の必要なマッピングについて説明します。
ユーザー
- 左サイドバーの [プロビジョニング] タブを選択し、[Synchronize Entra Active Directory Users to Miro:](Entra アクティブ ディレクトリーのユーザーを Miro と同期する)をクリックします。
同期を有効にする - デフォルトのマッピング設定で十分とは思いますが、念のため、ユーザーに対しての同期が有効で、必要なメソッドの設定(作成、更新、削除)がすべてオンになっていることを再度確認しておきます。
属性マッピング
Miro は、SP-initiated フローの UPN によってのみ Entra ユーザーを認識できます。
対応する属性を追加するには、[Show advanced options](詳細オプションを表示)のボックスをチェックし、[Edit attribute list for Miro](Miro の属性リストを編集)を選択します。
詳細オプション
次に、マッピングしたい属性名を入力し、保存します。対応する属性の全リストについては、SCIM ドキュメントを参照してください。
Miro のユーザー属性
これで、[Add New Mapping](新しいマッピングを追加)を選択し、先ほど追加した新しい属性を選択することができます。
新しい属性をマッピングするには、次の URL で Entra にアクセスしてこのオプションを有効にする必要があります:
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
新しい属性の詳細な追加手順については、Microsoft のこちらとこちらのドキュメントをご覧ください。
⚠️ ProfilePicture 属性は Entra ではサポートされていません。この機能の追加をするよう、User Voice に提案することができます。
グループ
- 左サイドバーの [プロビジョニング] タブを選択し、[Synchronize Entra Active Directory Groups to Miro](Entra アクティブ ディレクトリー グループを Miro と同期する)をクリックします。
-
デフォルトのマッピング設定で十分とは思いますが、グループに対して同期が有効になっていることを確認し、作成メソッドと削除メソッドのチェックを外します(Miro SCIM API はチームの作成と削除に対応していません)。
⚠️ メソッドのサポートを開始する際に、想定外の変更を防ぐため、メソッドのチェックをはずしておくことを強くお勧めします。
- [保存] をクリックします。
ユーザーとグループの割り当て
Miro SCIM プロビジョニングは、Enterprise サブスクリプションへのユーザーのプロビジョニングとプロビジョニング解除を支援し、複数チーム間でユーザーを自動的に分配します。
Miro で Miro SCIM Provisioner アプリが自動的に管理されるには、Entra Active Directory のユーザーまたはグループを割り当てる必要があります。
ユーザーとグループをアプリケーションに割り当てるには、以下の手順に従います。
- 左側の [プロビジョニング] のタブを選択します。「設定」セクションで、スコープが Miro と同期させたいものと一致していることを確認します。[Sync only assigned users and groups](割り当てられたユーザーとグループのみを同期する)を選択します。
- 左側のパネルで [User and groups](ユーザーとグループ) を選択し、[Add user](ユーザーを追加)をクリックします。
ユーザーとグループのタブ - 「割り当て追加」画面で、[Users and groups](ユーザーとグループ)タブを選択し、リストからユーザーとグループを選択します。 注記: Miro SCIM API は Miro に新しいチームを作成しません。SCIM の機能の一覧についてはこちらをご覧ください。
- [選択]、[割り当て] の順にクリックします。
- 割り当てられたユーザーとグループが一覧で表示されます。
Entra ID でユーザーをダウングレード
ユーザーをダウングレードするには、Full のアプリロールが割り当てられている Entra ID グループからユーザーを削除します。次に、そのユーザが、User のアプリロールが割り当てられているグループのメンバーであることを確認します。Miro で、そのライセンスを制限付き無料ライセンスに更新してください。
⚠️ Miro アプリケーションに割り当てられているすべての Entra ID グループからユーザーを削除すると、そのユーザーは Miro で非アクティブになり、Miro アプリケーションにアクセスできなくなります。ダウングレード対象のユーザーが引き続き制限付き無料ライセンスで Miro を利用する必要がある場合は、そのユーザーが User のロールが割り当てられている Entra ID グループのメンバーであることを確認してください。
✏️ SCIM プロビジョニングによるフルライセンスから制限付き無料ライセンスへのユーザのダウングレードにはまだ対応していません。
プロビジョニングの有効化と無効化
初期設定が完了したら、プロビジョニング ステータスのトグルを切り替えてプロビジョニングを有効化します。
- 左側の [プロビジョニング] のタブを選択します。
- プロビジョニング ステータスのトグルをオンにします。
プロビジョニング ステータス - [保存] を押します。これで初期プロビジョニングが開始され、終了するまでの間しばらく時間がかかります。約 20 分後にページの一番下にあるステータスを確認します。
この設定をオフに切り替えれば、いつでもプロビジョニングを無効化できます。Entra は断続的にデータを更新するため、緊急の更新が必要な場合は、プロビジョニングを停止し、再度開始してください。プロビジョニングを再開させた後、同期はすぐに再開し、データ更新も並行して実行されます。
グループとチームのデカップリング
SCIM を有効化して、グループを Miro のチームと同期するには、同じ名前の値を持っている必要があります。これは、Miro の同期が名前の値を基に実行されるためです。そのため、グループとチームで名前を分ける必要がある場合は、同期した後にいずれかの名前を変更します。 以下にその実施例を示します。
見込まれる結果:Entra には sfo_hq_eng_support というグループ、Miro には Engineering Support というチームがあり、二者間で同期が実施される。
curl コマンドを実行して、すべてのセキュリティーグループをリスト化します(必ずプレースホルダーを固有の値に置き換えてください)。
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization:Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups
応答例:
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults":1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:Group"
],
"id":"3074457345618261605",
"displayName":"YourMiroTeamName",
"members": [],
"meta": {
"resourceType":"Group",
"location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
}
}
]
}
この段階で Miro には、Engineering Support という Miro チームと、Engineering Support(ID:3074457345618261605)という Miro セキュリティーグループが存在しています。このチームとグループは一対一でマッピングされています。
ここでは、チーム名を変更せずに、セキュリティーグループのグループ名を Engineering Support から、sfo_hq_eng_support に変更します。そのために以下の curl コマンドを実行します:
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization:Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op":"Replace",
"path": "displayName",
"value":"YourSecurityGroupName"
}
]
}'
このコマンドによる変更は、Miro の会社チームページにすぐに反映され、表示されます。
Entra は 40 分ごとにバックグラウンドでスケジュールされた同期を実行します。次の同期で、Entra は Miro の sfo_hq_eng_support セキュリティーグループを確認し、Entra の該当のグループと自動的に紐付けます。
この時点で、セキュリティーグループは Miro チームの 1 つに接続され、別の名前が付けられています。
起こり得る問題とその解決方法
ユーザーのメールアドレスの変更によって生じる問題
一部のユーザーのメールアドレスの更新内容を Miro 側で確認できない場合、想定される属性が更新されていることを確認します。この問題は、emails[type eq "work"] を使用している場合に発生する可能性があります。
emails[type eq "work"] 属性は Entra のデフォルトなので、Miro は対応しています。ただし、読み取り専用で、userName から動的に生成される場合に限ります。
ユーザーを読み取ると、次のように返します。
こちらからは emails[type eq "work"] は読み取り専用なので、Miro はそれを変更しようとしても無視します。これは、Miro では、ユーザーのメールアドレスがユーザーのプライマリー ID であるためです。ユーザー認識の手段であるため、追加のメールアドレスには対応していません。しかし、SCIM の構造上メールアドレスの配列が必要なので、存在は認識します。
ユーザーのメールアドレスを変更するには、emails[type eq "work"] ではなく、userName に対して更新を送信する必要があります。
ユーザーの更新に失敗エラー
Entra のログに Failed のステータスが次と共に表示されます:
ステータス理由 -「ユーザーの更新に失敗しました:属性のメールアドレスは、多値または複雑な値を持っていません」
エラーコード - SystemForCrossDomainIdentityManagementServiceIncompatible