SCIM と略されるクロスドメイン ID 管理システムを利用すると、ID プロバイダー(IdP)を通じて、Miro Enterprise サブスクリプションで自動プロビジョニングやユーザー管理が実施できます。
利用可能なプラン:Enterprise プラン
設定者:会社の管理者
重要事項
- 自動プロビジョニングの設定開始前に、SAML ベースの SSO が正しく設定され、Enterprise プランで正常に機能していることが必要です。
SAML SSO の設定ガイドをご覧ください。 リンクする前に、指定されたすべてのグループが、同じ名称でチームとして Miro のサブスクリプションに存在していることが必要です。
Teams API を使って、チームを作成し、管理することができます。
グループとチームに別の名称を付ける必要がある場合は、同期の確立後に、いずれかまたは両方の名称を変更することができます。パスワードは変更できません。
当面はパスワードの変更に対応する予定はありません。
Miro の SCIM 運用ルール
- SCIM の同期による変更は、主に新たに割り当てられたユーザーに適用されます。すでにサブスクリプションに参加しているユーザーのステータスは補足されますが、グループ / チームレベルで変更が適用されるため、上書きされない場合があります。例えば以下の通りです。
a)あるユーザーが Miro 側のチーム 1 のメンバーであり、IdP がチーム 2 にそのユーザーを追加する更新情報を送信した場合、チーム 1 でのステータスは変更されません。
b)IdP が、ユーザー 1 に対する変更を含む更新情報を送信した場合、他のチームメンバーには変更はありません。対応している機能 > グループの同期とプッシュで説明しているように、一括してチームのステータスを上書きし、すべてのユーザーを再同期するには、新たなプッシュを試みてください。 - SCIM でプロビジョニングされたユーザーには、サブスクリプションのデフォルトのライセンスが割り当てられます。
a)フレキシブル ライセンス プログラムが有効でない Enterprise サブスクリプションの場合:フルライセンス。サブスクリプションのライセンスが不足した場合、ユーザーは、制限付き無料ライセンスでプロビジョニングされます。
b)フレキシブル ライセンス プログラムを有効化した Enterprise サブスクリプションの場合:デフォルトのサブスクリプション ライセンスに応じて、無料ライセンスまたは制限付き無料ライセンス。
ー デフォルトとは異なるライセンスで一部のユーザーをプロビジョニングする必要がある場合:
上記で説明したように、すべてのユーザーはデフォルトのライセンスでプロビジョニングされます。ただし、UserType 属性に Full 値を指定すれば、ユーザーの一部または全員を即座に更新することができます。この属性で更新されたユーザーは、ユーザー側でダウンタイムが生じることなく、フルライセンスにアップグレードされます。 - SCIM でプロビジョニングされたすべてのユーザーは、ドメイン管理機能の影響も受けます。つまり、ユーザーが、ID プロバイダーの 1 つのセキュリティー グループのみでメンバーだったとしても、ドメイン管理設定で 3 つのチームが指定されていた場合、このユーザーはこの 3 つのチームにも追加されることになります。
- サービス保護のため、Miro は 30 秒ごとに利用可能な API コール数を制限します。リクエスト種別制限レベル
GET scim/users
GET scim/users/{userId}
第 1 レート制限レベル 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
第 3 レート制限レベル 3 GET scim/Groups
PATCH scim/Groups/{groupId}
第 4 レート制限レベル 4 GET scim/Groups/{groupId}
第 3 レート制限レベル 4
制限レベルの詳細については、こちらをご覧ください。リクエスト数が制限を超えた場合、Miro は、標準の 429 Too many requests(リクエストの回数が多すぎます)のエラーメッセージを返答します。
対応している機能
Miro の SCIM スキーマの詳細についてはこちらをご覧ください。
Miro は、以下のプロビジョニング機能をサポートしています。
- 新規ユーザーの作成
IdP で Miro のアプリケーションに割り当てられた新規ユーザーは、Enterprise メンバーとして、Miro の Enterprise サブスクリプションに作成されます。同じ名称の Miro のチームに同期されたユーザーグループに追加されたユーザーは、チームメンバーとしてチームに追加されます。 - ユーザープロフィール更新のプッシュ
サポート対象の属性や変更については、以下をご覧ください。 - グループの同期とプッシュ
IdP グループとそのメンバーを Miro Enterprise サブスクリプションのチームに同期し、ユーザーのメンバーシップを自動管理します。継続的な同期により、同期された Miro のチームにはグループのユーザーに関する特定の更新情報が送信され、また、プッシュ通知により、グループを信頼できる情報源とするようチームの状態が上書きされます(会社の管理者による手動の変更が Miro 側であった場合) - グループ / チーム名の切り離し
Miro では、グループとチームを名称で同期するので、名称は完全に一致しなければなりません。ただし、最初の同期実行後は、いずれか 1 つ、または両方に任意の名称を付けることができるようになります。切り離しの例については、こちらをご覧ください。 - グループ / チームからユーザーを削除(Enterprise サブスクリプションからの削除ではありません。以下参照。)
グループからユーザーを削除すると、同期された Miro チームから(次のグループプッシュ時に)ユーザーを削除することになります。 - ユーザーの非アクティブ化
ユーザーを非アクティブ化 / 削除、または IdP でユーザーのアプリケーションへのアクセス権を無効にすると、ユーザーは Miro Enterprise プランにおいて非アクティブ化されます。SCIM によってユーザーを非アクティブ化した場合、Miro 側のチームメンバーは変更されず、コンテンツの再割り当ては行われません。アクティブな状態から非アクティブな状態(およびユーザーセクション)にユーザーを移行するだけで、ライセンスの使用を停止しすることができます。
Enterprise サブスクリプションからのユーザーの削除には、デフォルトでは対応していませんが、API を使用して手動で機能を追加し、ユーザーを非アクティブ状態に設定するのではなく、サブスクリプションから完全に削除することができます。このシナリオでは、コンテンツは、チームメンバーに再割り当てされます。自動的に再割り当てされたコンテンツに対して所有権を取得する管理者を設定することはできません。ただし、Miro の設定でユーザーを手動で非アクティブ化する場合には、これを設定することができます。 - ユーザーの再アクティブ化
アプリケーションにユーザーを再度割り当てるか、IdP におけるユーザープロフィールを再アクティブ化すると、以前にプロビジョニングされ、非アクティブ化されていた場合、Miro Enterprise サブスクリプションでユーザーが再アクティブ化されます。 - メールの更新(プライマリー識別子)
ドメイン名を変更した場合、または一部のエンドユーザーが名前の変更などにより、メールの更新を必要とする場合、ユーザー ディレクトリーから Miro に変更をプッシュすることができます。新しいメールアドレスを使用して Miro にログインすることをユーザーに知らせる通知が、新旧両方のメールアドレスに送信されます。⚠️ 割り当てリストではなく、ユーザーのプロフィールでメールアドレスの更新を行う必要があります。
直接削除 API コールを送信することにより、Enterprise プランからユーザーを削除することもできます。こちらの資料をご覧ください。ただし、ユーザーを削除できるのは直接コールのみです。ID ソリューションが起動した削除イベントは、非アクティブ化のリクエストとして扱われます。
対応している属性
⚠️ プライマリー パラメーター / 一意の識別子(ID プロバイダーサービスでは、ユーザー名としてマークされる可能性が高い)は、Miro が必要とする唯一の値であり、メール形式であることが必要です。
以下のリストの属性は必須ではなく、存在すれば受け入れます(Miro に送信された他の属性は無視されます)。
属性名
|
SCIM 属性(クレーム)
|
---|---|
メール |
userName. |
フルネーム |
displayName; formated; givenName + " " + familyName; userName |
ユーザータイプ |
userType |
アクティブ |
active |
|
|
プロフィール写真 |
photos.^[type=='photo'].value もしくは 画像に対しテキスト URL である必要があります。 対応しているファイル形式:jpg、jpeg、bmp、png、gif
|
ユーザーの役割 |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Azure) サポート値: |
従業員番号 |
employeeNumber |
コストセンター |
costCenter |
組織 | organization |
課 | division |
部署 | department |
マネージャー名 |
manager.displayName |
マネージャー ID |
value 「value」フィールドは、SCIM 標準で文字列型になっていますが、 |
⚠️ パスワードは変更できません。また、当面は対応予定はありませんのでご了承ください。
属性は全て、エクスポートされた CSV ユーザーリストに表示され、アクティブなユーザーのセクションからダウンロードできます。
ユーザーリストをダウンロードするオプション
SCIM の設定
ステップ 1:Miro の SCIM オプションを有効にする
Miro Enterprise プランの SCIM を有効にするには、[会社の設定] > [Enterprise のインテグレーション] で、SCIM プロビジョニング機能を有効にします。そこで、IdP を構成するベース URL と API トークンを入手することができます。
Miro での SCIM 設定
ステップ 2:ID プロバイダーを設定する
この設定は、使用する ID プロバイダーによって異なります。Miro は、あらかじめ設定された Okta と Azure AD に対応していますが、SCIM の設定が可能であれば、任意の ID プロバイダーを使用することができます。
起こり得る問題とその解決方法
1. 許可リストエラーにより、ユーザーがプロビジョニングされない。
Okta ID プロバイダーのエラー例
セキュリティ設定の許可リストに、ユーザーのドメインアドレスが追加されていることを確認してください。
2. ある ID ソリューション(IdP1)でエンドユーザーを認証しながら、別の ID ソリューション(IdP2)を介して SCIM を有効にしたい場合、次の 2 つの条件を満たすことでそれが可能になります。
- IdP2 が、ベアラートークンを使用して、API コールを行うことができる。
- 両方の ID プロバイダーが同期している(つまり、SCIM でプロビジョニングされたユーザーは IdP1 にも存在するので、Miro で認証することができる)。
詳細については、Miro のサポートチームにご連絡ください。