SCIM と略されるクロスドメイン ID 管理システムを利用すると、ID プロバイダー(IdP)を通じて、Miro Enterprise サブスクリプションで自動プロビジョニングやユーザー管理が実施できます。
利用可能なプラン:Enterprise プラン
設定者:会社の管理者
重要事項
- 自動プロビジョニングの設定開始前に、SAML ベースの SSO が正しく設定され、Enterprise プランで正常に機能していることが必要です。
SAML SSO の設定ガイドをご覧ください。 リンクする前に、指定されたすべてのグループが、同じ名称でチームとして Miro のサブスクリプションに存在していることが必要です。
Teams API を使って、チームを作成し、管理することができます。
グループとチームに別の名称を付ける必要がある場合は、同期の確立後に、いずれかまたは両方の名称を変更することができます。パスワードは変更できません。
当面はパスワードの変更に対応する予定はありません。- もしもユーザーが 2 つ以上の Enterprise アカウントのメンバーである場合、ユーザー 名(メールアドレス)を更新することはできません。これは、確立された共有ポリシーとの不一致を避けるためです。
ユーザーを更新するには、まず、2 番目のアカウントからこのユーザーを必ず削除してください。サポートが必要な場合は、Miro サポートにご連絡ください。
Miro の SCIM 運用ルール
- SCIM の同期による変更は、主に新たに割り当てられたユーザーに適用されます。すでにサブスクリプションに参加しているユーザーのステータスは補足されますが、グループ/チームレベルで変更が適用されるため、上書きされない場合があります。例えば以下の通りです:
a)あるユーザーが Miro 側のチーム 1 のメンバーであり、IdP がチーム 2 にそのユーザーを追加する更新情報を送信した場合、チーム 1 でのステータスは変更されません。
b)IdP が、ユーザー 1 に対する変更を含む更新情報を送信した場合、他のチームメンバーには変更はありません。対応している機能 > グループの同期とプッシュで説明しているように、一括してチームのステータスを上書きし、すべてのユーザーを再同期するには、新たなプッシュを試みてください。 - SCIM でプロビジョニングされたユーザーには、サブスクリプションのデフォルトのライセンスが割り当てられます。
a)フレキシブル ライセンス プログラムが有効でない Enterprise サブスクリプションの場合:フルライセンス。サブスクリプションのライセンスが不足した場合、ユーザーは、制限付き無料ライセンスでプロビジョニングされます。
b)フレキシブル ライセンス プログラムを有効化した Enterprise サブスクリプションの場合:デフォルトのサブスクリプション ライセンスに応じて、無料ライセンスまたは制限付き無料ライセンス。
ー デフォルトとは異なるライセンスで一部のユーザーをプロビジョニングする必要がある場合:
上記で説明したように、すべてのユーザーはデフォルトのライセンスでプロビジョニングされます。ただし、UserType 属性に Full 値を指定すれば、ユーザーの一部または全員を即座に更新することができます。この属性で更新されたユーザーは、ユーザー側でダウンタイムが生じることなく、フルライセンスにアップグレードされます。 - SCIM でプロビジョニングされたすべてのユーザーは、ドメイン管理機能の影響も受けます。つまり、ユーザーが、ID プロバイダーの 1 つのセキュリティー グループのみでメンバーだったとしても、ドメイン管理設定で 3 つのチームが指定されていた場合、このユーザーはこの 3 つのチームにも追加されることになります。
- サービス保護のため、Miro は 30 秒ごとに利用可能な API コール数を制限します。リクエスト種別制限レベル
GET scim/users
GET scim/users/{userId}
第 1 レート制限レベル 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
第 3 レート制限レベル 3 GET scim/Groups
PATCH scim/Groups/{groupId}
第 4 レート制限レベル 4 GET scim/Groups/{groupId}
第 3 レート制限レベル 4
制限レベルの詳細については、こちらをご覧ください。リクエスト数が制限を超えた場合、Miro は、標準の 429 Too many requests(リクエストの回数が多すぎます)のエラーメッセージを返答します。
対応している機能
Miro の SCIM スキーマの詳細についてはこちらをご覧ください。
Miro は、以下のプロビジョニング機能をサポートしています。
- 新規ユーザーの作成
IdP で Miro のアプリケーションに割り当てられた新規ユーザーは、Enterprise メンバーとして、Miro の Enterprise サブスクリプションに作成されます。同じ名称の Miro のチームに同期されたユーザーグループに追加されたユーザーは、チームメンバーとしてチームに追加されます。 - ユーザープロフィール更新のプッシュ
サポート対象の属性や変更については、以下をご覧ください。 - グループの同期とプッシュ
IdP グループとそのメンバーを Miro Enterprise サブスクリプションのチームに同期し、ユーザーのメンバーシップを自動的に管理します。継続的な同期により、同期された Miro のチームにはグループのユーザーに関する特定の更新情報が送信され、また、プッシュ通知により、グループを信頼できる情報源とするようチームの状態が上書きされます(会社の管理者による手動の変更が Miro 側であった場合) - グループ/チーム名の切り離し
Miro では、グループとチームを名称で同期するので、名称は完全に一致しなければなりません。ただし、最初の同期実行後は、いずれか 1 つ、または両方に任意の名称を付けることができるようになります。切り離しの例については、こちらをご覧ください。 - グループ/チームからのユーザー削除(Enterprise アカウントからの削除ではありません。下記参照)
グループからユーザーを削除すると、同期された Miro チームから(次のグループプッシュ時に)ユーザーを削除することになります。 - ユーザーの非アクティブ化
ユーザーを非アクティブ化/削除するか、IdP でユーザーのアプリケーションへのアクセス権を無効にすると、ユーザーは Miro Enterprise アカウントにおいて非アクティブ化されます。ユーザーを非アクティブ化すると、状況に応じて、非アクティブ化されたユーザーのコンテンツは最も古いチームの管理者に再割り当てされる場合があります。
- Idp 側でユーザーを非アクティブ化する一方、Miro アプリへの割り当ては維持する場合、そのユーザーの Miro 側でのチームメンバーシップは変更されず、コンテンツは再割り当てされません。ユーザーは、アクティブから非アクティブの状態に切り替わるだけで(ユーザーセクションも同様)、ライセンスの消費は停止します。
- 同期されたチームのメンバーであるユーザーを IdP で削除、あるいは Miro アプリから割り当てを解除することで非アクティブ化する場合、ユーザーはその同期された Miro チームからも削除され、そのチーム内のコンテンツは最も長くいるチームの管理者に再割り当てされます。
- 同期されたどのチームのメンバーでもないユーザーを IdP で削除、あるいは Miro アプリから割り当てを解除することで、非アクティブ化する場合、ユーザーのチームメンバーシップは変更されず、コンテンツも再割り当てされません。
Enterprise サブスクリプションからのユーザーの削除は、デフォルトでは対応していませんが、API を使用して手動で機能を追加し、ユーザーを非アクティブ状態に設定するのではなく、サブスクリプションから完全に削除することができます。このシナリオでは、コンテンツは、チームメンバーに再割り当てされます。自動的に再割り当てされたコンテンツに対して所有権を取得する管理者を設定することはできません。ただし、Miro の設定でユーザーを手動で非アクティブ化する場合には、これを設定することができます。 - ユーザーの再アクティブ化
ユーザーが以前にプロビジョニングされ、非アクティブ化されていた場合、アプリケーションにユーザーを再度割り当てるか、IdP におけるユーザープロフィールを再アクティブ化すると、Miro Enterprise サブスクリプションでユーザーが再アクティブ化されます。
直接削除 API コールを送信することにより、Enterprise プランからユーザーを削除することもできます。こちらの資料をご覧ください。ただし、ユーザーを削除できるのは直接コールのみです。ID ソリューションが起動した削除イベントは、非アクティブ化のリクエストとして扱われます。
対応している属性
⚠️
メールアドレス / プライマリー パラメーター / 一意の識別子 / ユーザー名は、Miro が必要とする唯一の値であり、メール形式であることが必要です。
- メールの更新は、すでに同期されたユーザーに対してのみ可能です。つまり、IdP と Miro のメールアドレスが同じ場合、最初の同期を実行しなければなりません。そうしないと、Miro はユーザーを認識せず、新しいメールアドレスの下に重複した Miro プロフィールが作成されることになります。
- メールの更新は、ユーザーの IdP プロフィールで行われ、割り当てリストには表示されません。
- 他の属性とは異なり、ユーザーのメールアドレスを更新すると、ユーザーに通知が届きます。古いメールアドレスと新しいメールアドレスには、Miro にログインするために新しいメールアドレスを使用することをユーザーに知らせるレターが届きます。
属性名
|
SCIM 属性(クレーム)
|
|---|---|
メール |
ユーザー名。 |
| 以下のリストの属性は必須ではなく、存在すれば受け入れます(Miro に送信された他の属性は無視されます)。 | |
フルネーム |
displayName; formated; givenName + " " + familyName; userName |
ユーザータイプ |
userType |
アクティブ |
active |
プロフィール写真 |
photos.^[type=='photo'].value もしくは 画像に対しテキスト URL である必要があります。 対応しているファイル形式:jpg、jpeg、bmp、png、gif
|
ユーザーの役割 |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Azure) サポート値:ORGANIZATION_INTERNAL_ADMIN |
従業員番号 |
employeeNumber |
コストセンター |
costCenter |
| 組織 | organization |
| 課 | division |
| 部署 | department |
マネージャー名 |
manager.displayName |
マネージャー ID |
manager.value 「value」フィールドは、SCIM 標準で文字列型になっていますが、 |
⚠️ パスワードは変更できません。また、当面は対応予定はありませんのでご了承ください。
⚠️ 非アクティブ化されたユーザーに対しては、Username、UserType、roles.value の更新はできません。
属性は全て、エクスポートされた CSV ユーザーリストに表示され、アクティブなユーザーのセクションからダウンロードできます。
ユーザーリストをダウンロードするオプション
SCIM の設定
ステップ 1:Miro の SCIM オプションを有効にする
Miro Enterprise プランの SCIM を有効にするには、[会社の設定] > [Enterprise のインテグレーション] で、SCIM プロビジョニング機能を有効にします。そこで、IdP を構成するベース URL と API トークンを入手することができます。
Miro での SCIM 設定
ステップ 2:ID プロバイダーを設定する
この設定は、使用する ID プロバイダーによって異なります。Miro は、あらかじめ設定された Okta と Azure AD に対応していますが、SCIM の設定が可能であれば、任意の ID プロバイダーを使用することができます。
起こり得る問題と解決方法
1. 許可リストエラーにより、ユーザーがプロビジョニングされない。
Okta ID プロバイダーのエラー例
セキュリティ設定の許可リストに、ユーザーのドメインアドレスが追加されていることを確認してください。
2. ある ID ソリューション(IdP1)でエンドユーザーを認証しながら、別の ID ソリューション(IdP2)を介して SCIM を有効にしたい場合、次の 2 つの条件を満たすことでそれが可能になります。
- IdP2 が、ベアラートークンを使用して、API コールを行うことができる。
- 両方の ID プロバイダーが同期している(つまり、SCIM でプロビジョニングされたユーザーは IdP1 にも存在するので、Miro で認証することができる)。
詳細については、Miro のサポートチームにご連絡ください。