SCIM と略されるクロスドメイン ID 管理システムを利用すると、ID プロバイダー(IdP)を通じて、Miro Enterprise サブスクリプションで自動プロビジョニングやユーザー管理が実施できます。
利用可能なプラン: Enterprise
設定者:会社の管理者
重要事項
-
自動プロビジョニングの設定開始前に、SAML ベースの SSO が正しく設定され、Enterprise プランで正常に機能していることが必要です。
SAML SSO の設定ガイドをご覧ください。/strong> -
リンクする前に、指定されたすべてのグループが、同じ名称でチームとして Miro のサブスクリプションに存在していることが必要です。
チームはTeams APIを使用して作成および管理できます。
グループとチームの名前を変更する必要がある場合は、同期を確立した後で、どちらか一方または両方の名前を変更できます。 -
SCIM における電子メールアドレスの変更には、以下の検証ルールが含まれます:
-
管理ユーザーチェック:ユーザーの現在のドメインが、SCIMリクエストを開始した組織によってクレームされていない場合、電子メールの更新はブロックされ、400エラーがスローされます。
- ターゲット電子メールドメインの検証:ターゲットの電子メールドメインがSCIMリクエストを開始した組織以外の組織によって主張されている場合、電子メールの更新はブロックされ、400エラーがスローされます。ターゲットの電子メールドメインがSCIM要求を開始した組織によって主張されている場合、電子メールの確認は必要なく、電子メールの更新が許可されます。監査ログは、ユーザーがメンバーである各組織の更新を記録します。
-
ドメイン制御とSSO:電子メールの更新は、ドメイン制御(IDC)またはシングルサインオン(SSO)によるドメイン認証に基づいて許可されます。ターゲットメールドメインが、CDまたはSSOによって開始組織によって検証された場合、更新を続行できます。
SCIM電子メール変更検証ワークフローの図
-
-
もしもユーザーが 2 つ以上の Enterprise アカウントのメンバーである場合、ユーザー名(メールアドレス)を更新することはできません。これは、確立された共有ポリシーとの不一致を避けるためです。
ユーザーを更新するには、まず、2 番目のアカウントからこのユーザーを必ず削除してください。サポートが必要な場合は、Miro サポート/span>にご連絡ください。
Miro の SCIM 運用ルール
-
SCIM の同期による変更は、主に新たに割り当てられたユーザーに適用されます。すでにサブスクリプションに参加しているユーザーのステータスは補足されますが、グループ/チームレベルで変更が適用されるため、上書きされない場合があります。例えば
a) ユーザーがMiro側でTeam1のメンバーであり、IDPがそのユーザーをTeam2に追加する更新を送信した場合、Team1のステータスは影響を受けません。
b) IDPがUser1に変更を含む更新を送信した場合、他のチームメンバーは影響を受けません。対応している機能/span> > グループの同期とプッシュで説明しているように、一括してチームのステータスを上書きし、すべてのユーザーを再同期するには、新たなプッシュを試みてください。
- SCIM の下でプロビジョニングされたすべてのユーザーには、サブスクリプションのデフォルトのライセンスが割り当てられます:
a) フレキシブル ライセンス プログラムを使用しない Enterprise サブスクリプションの場合:フル ライセンス。サブスクリプションのライセンスがなくなると、制限付き無料ライセンスでユーザーのプロビジョニングが開始されます。
b)フレキシブル ライセンス プログラムが有効になっている Enterprise サブスクリプションの場合:デフォルトのサブスクリプションライセンスに応じて、無料または制限付き無料ライセンス。
- 一部のユーザーをデフォルトとは異なるライセンスでプロビジョニングする必要がある場合:
上記のように、すべてのユーザはデフォルトのライセンスでプロビジョニングされます。ただし、UserType 属性に Full 値を指定すれば、ユーザーの一部または全員を即座に更新することができます。この属性で更新されたユーザーは、ユーザー側でダウンタイムが生じることなく、フルライセンスにアップグレードされます。 - SCIM でプロビジョニングされたすべてのユーザーは、ドメイン管理機能の影響も受けます。つまり、ユーザーが、ID プロバイダーの 1 つのセキュリティー グループのみでメンバーだったとしても、ドメイン管理設定で 3 つのチームが指定されていた場合、このユーザーはこの 3 つのチームにも追加されることになります。
- サービス保護のため、Miro は 30 秒ごとに利用可能な API コール数を制限します。
リクエスト種別制限レベルGET scim/users
GET scim/users/{userId}
第 1 レート制限レベル 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
第 3 レート制限レベル 3 GET scim/Groups
PATCH scim/Groups/{groupId}
第 4 レート制限レベル 4 GET scim/Groups/{groupId}
第 3 レート制限レベル 4
制限レベルの詳細については、こちらをご覧ください。リクエスト数が制限を超えた場合、Miro は、標準の 429 Too many requests(リクエストの回数が多すぎます)のエラーメッセージを返答します。
対応している機能
Miro の SCIM スキーマの詳細についてはこちらをご覧ください。
Miro は、以下のプロビジョニング機能をサポートしています。
-
新規ユーザーの作成
IdPでMiroアプリケーションに割り当てられた新しいユーザーは、EnterpriseメンバーとしてMiro Enterpriseサブスクリプションに作成されます。同じ名称の Miro のチームに同期されたユーザーグループに追加されたユーザーは、チームメンバーとしてチームに追加されます。 -
ユーザープロファイルのプッシュ更新
サポートされる属性と変更については、以下を参照してください。
-
グループの同期とプッシュ
IdP グループとそのメンバーを Miro Enterprise サブスクリプションのチームに同期し、ユーザーのメンバーシップを自動管理します。/strong>継続的な同期により、同期された Miro のチームにはグループのユーザーに関する特定の更新情報が送信され、また、プッシュ通知により、グループを信頼できる情報源とするようチームの状態が上書きされます(会社の管理者による手動の変更が Miro 側であった場合)
-
グループ名/チーム名の分離
Miroは名前によってグループとチームを同期させるので、それらは完全に同じ名前でなければなりません。ただし、最初の同期実行後は、いずれか 1 つ、または両方に任意の名称を付けることができるようになります。切り離しの例については、こちらをご覧ください。 -
グループ / チームからユーザーを削除(Enterprise サブスクリプションからの削除ではありません。以下参照。)
グループからユーザーを削除すると、同期された Miro チームから(次のグループプッシュ時に)ユーザーを削除することになります。 -
ユーザーを非アクティブにする
ユーザーを非アクティブ化 / 削除、または IdP でユーザーのアプリケーションへのアクセス権を無効にすると、ユーザーは Miro Enterprise プランにおいて非アクティブ化されます。/strong>ユーザーを非アクティブ化すると、状況に応じて、非アクティブ化されたユーザーのコンテンツは最も古いチームの管理者に再割り当てされる場合があります。
- IdP 側でユーザーを非アクティブ化する一方、Miro アプリへの割り当ては維持する場合、そのユーザーの Miro 側でのチームメンバーシップは変更されず、コンテンツは再割り当てされません。ユーザーは、アクティブから非アクティブの状態に切り替わるだけで(ユーザーセクションも同様)、ライセンスの消費は停止します。
- 同期されたチームのメンバーである IDP 内のユーザーを削除、あるいは Miro アプリから割り当てを解除して非アクティブ化する場合、ユーザーは同期された Miro チームからも削除され、該当チーム内のコンテンツは最も古いチームの管理者に再割り当てされます。
- ユーザーが同期されたチームのメンバーではない場合に IDP 内のユーザーを削除するか、Miro アプリから割り当てを解除して非アクティブ化した場合、ユーザーのチームメンバーシップは変更されず、コンテンツは再割り当てされません。
Enterprise サブスクリプションからのユーザーの削除は、デフォルトでは対応していませんが、API を使用して手動で機能を追加/em>し、ユーザーを非アクティブ状態に設定するのではなく、サブスクリプションから完全に削除することができます。このシナリオでは、コンテンツは、チームメンバーに再割り当てされます。自動的に再割り当てされたコンテンツに対して所有権を取得する管理者を設定することはできません。ただし、Miro の設定でユーザーを手動で非アクティブ化する場合には、これを設定することができます。
-
ユーザーの再アクティブ化
アプリケーションにユーザーを再度割り当てるか、IdP におけるユーザープロフィールを再アクティブ化すると、以前にプロビジョニングされ、非アクティブ化されていた場合、Miro Enterprise サブスクリプションでユーザーが再アクティブ化されます。/strong> -
支払いグループ割り当ての自動化
SCIMを使用して新規ユーザーを支払いグループに自動割り当て。ID プロバイダー(IdP)が設定されたら、コストセンターを支払いグループにリンクします。 これにより、これらのコストセンターの現在および将来のユーザーが、適切な支払いカテゴリーに自動的に分類されます。
直接削除 API コールを送信することにより、Enterprise プランからユーザーを削除することもできます。こちらの資料をご覧ください。ただし、ユーザーを削除できるのは直接コールのみです。ID ソリューションが起動した削除イベントは、非アクティブ化のリクエストとして扱われます。
対応している属性
⚠️ 注意してください:
- 電子メール/ プライマリ・パラメータ / 固有識別子 /U名前)はMiroが必要とする唯一の値であり、Eメールの形式でなければなりません。
- メールの更新は、すでに同期されたユーザーに対してのみ可能です。つまり、IdP と Miro のメールアドレスが同じ場合、最初の同期を実行しなければなりません。そうしないと、Miro はユーザーを認識せず、新しいメールアドレスの下に重複した Miro プロフィールが作成されることになります。
- メールの更新は、ユーザーの IdP プロフィールで行われ、割り当てリストには表示されません。
- 他の属性とは異なり、ユーザーのメールアドレス/span>を更新すると、ユーザーに通知が届きます。古いメールアドレスと新しいメールアドレスには、Miro にログインするために新しいメールアドレスを使用することをユーザーに知らせるレターが届きます。/span>
⚠️ パスワードは変更できません。また、当面は対応予定はありませんのでご了承ください。
⚠️ 非アクティブ化されたユーザーに対しては、Username、UserType、roles.value の更新はできません。
属性は全て、エクスポートされた CSV ユーザーリストに表示され、アクティブなユーザーのセクションからダウンロードできます。
download_as_CSV_in_company_settings.jpg
/span>ユーザーリストをダウンロードするオプション
mceclip3.png
SCIM の設定
ステップ 1:MiroでSCIMオプションを有効にします。
Miro Enterprise プランの SCIM を有効にするには、[会社の設定] > [Enterprise のインテグレーション] で、SCIM プロビジョニング機能を有効にします。そこで、IdP を構成するベース URL と API トークンを入手することができます。
Miro での SCIM 設定
ステップ 2:アイデンティティ・プロバイダの設定
この設定は、使用する ID プロバイダーによって異なります。Miroは設定済みのOktaとEntra IDをサポートしていますが、SCIMを設定できる限り、お好きなIDプロバイダを使用できます。
OKTA ー こちらの設定手順をご覧ください。
Entra ID - セットアップ手順をご覧ください。 こちら.
新しいトークンを生成する
1. 会社の設定 >Enterpriseインテグレーションに移動します。
2. SCIM Provisioningセクションで、 Generate new tokenをクリックします。
Miro での SCIM 設定
2. 新しい SCIM トークンの生成ウィンドウで、生成をクリックします。
3.新しいトークンを生成したら、IDP プロバイダで新しいトークンを構成する必要があります。
起こり得る問題と解決方法
1. allowlist エラーが原因でユーザがプロビジョニングされません。
Oktaアイデンティティ・プロバイダのエラー例
セキュリティー設定の許可リストに、ユーザーのドメインアドレスが追加されていることを確認してください。
2. 2. ある ID ソリューション(IdP1)でエンドユーザーを認証しながら、別の ID ソリューション(IdP2)を介して SCIM を有効にしたい場合、次の 2 つの条件を満たすことでそれが可能になります。
- IdP2 が、ベアラートークンを使用して、API コールを行うことができる。
- 両方の ID プロバイダーが同期している(つまり、SCIM でプロビジョニングされたユーザーは IdP1 にも存在するので、Miro で認証することができる)。
詳細については、Miro のサポートチームにご連絡ください。