도메인 간 신원 관리 시스템(SCIM)은 Miro와 ID 공급자(IdP) 간의 사용자 관리 및 프로비저닝을 자동화합니다.
사용 가능 대상: Enterprise 플랜
설정 담당자: 회사 관리자
중요 사항
-
자동 프로비저닝을 구성하기 전에 SAML 기반 SSO(통합로그인)가 Miro Enterprise 플랜에서 올바르게 설정되어 정상적으로 작동해야 합니다.
SAML SSO 구성에 대한 가이드를 참조하세요. -
IdP 그룹을 Miro 팀과 동기화하는 것은 선택 사항입니다.
선택적으로 IdP 그룹을 Miro 팀에 연결해 동기화할 수 있습니다. IdP로는 팀을 생성하거나 삭제할 수 없습니다. Teams API를 사용해 팀을 생성하고 관리할 수 있습니다. SCIM API가 IdP 그룹 관리를 어떻게 가능하게 하는지에 대한 자세한 내용은 Miro 개발자 문서를 참조하세요. -
SCIM에서 이메일 주소 변경 시 다음 유효성 검사 규칙이 적용됩니다:
- 관리 사용자 확인: 사용자의 현재 도메인이 SCIM 요청을 시작한 조직에 등록되어 있지 않으면 이메일 주소 업데이트가 차단되며 400 오류가 발생합니다.
- 대상 이메일 도메인 확인: 대상 이메일 도메인이 SCIM 요청을 시작한 조직과 다른 조직에 의해 소유되어 있는 경우, 이메일 주소 업데이트는 차단되며 400 오류가 발생합니다. 대상 이메일 도메인이 SCIM 요청을 시작한 조직에 의해 소유되어 있는 경우, 이메일 주소 업데이트는 이메일 확인 없이 허용됩니다. 사용자가 소속된 각 조직의 감사 로그에 해당 업데이트가 기록됩니다.
-
도메인 제어 및 SSO(통합로그인): 도메인 제어(IDC) 또는 SSO(통합로그인)를 통한 도메인 확인 여부에 따라 이메일 주소 업데이트가 허용됩니다. 요청을 시작한 조직이 대상 이메일 도메인을 CD 또는 SSO로 확인한 경우 업데이트를 진행할 수 있습니다.
SCIM 이메일 변경 검증 워크플로 다이어그램
Miro SCIM이 적용되는 규칙
- SCIM으로 동기화된 변경 사항은 주로 새로 할당된 사용자에게 적용됩니다. 이미 구독에 포함된 사용자의 상태는 보완되지만, 변경 사항이 팀 단위로 적용되기 때문에 기존 상태가 덮어써지지 않을 수 있습니다. 예:
a) Miro 쪽에서 사용자가 Team1의 구성원이고 귀하의 IdP가 Team2에 추가하라는 업데이트를 보낸다면, Team1에서의 해당 사용자의 상태는 영향을 받지 않습니다.
b) 귀하의 IdP가 User1에 대한 변경을 포함하는 업데이트를 전송하면, 다른 팀 구성원은 영향을 받지 않습니다. 지원되는 기능 > 그룹 동기화 및 푸시에서 설명한 대로 팀 상태를 덮어쓰고 모든 사용자를 한 번에 다시 동기화하려면 새 푸시를 시작해보세요.
- SCIM으로 프로비저닝된 모든 사용자에게는 구독의 기본 라이선스이 할당됩니다:
a) 플렉시블 라이선싱 프로그램이 적용되지 않는 Enterprise 구독의 경우: 풀 라이선스. 구독의 라이선스가 모두 소진되면 사용자는 제한된 무료 라이선스로 프로비저닝되기 시작합니다.
b) Enterprise 구독에 플렉시블 라이선싱 프로그램이 활성화된 경우: 기본 구독 라이선스에 따라 Free 또는 제한된 무료 라이선스가 할당됩니다.
- 기본 라이선스와 다른 라이선스로 일부 사용자를 프로비저닝해야 하는 경우:
위에서 언급한 대로 모든 사용자는 기본 라이선스로 프로비저닝됩니다. 그러나 UserType 속성을 Full 값으로 설정하면 모두 또는 일부를 즉시 업데이트할 수 있습니다. 해당 속성으로 업데이트된 사용자는 사용자 측에서 다운타임 없이 Full 라이선스로 업그레이드됩니다. - SCIM으로 프로비저닝된 모든 사용자에게는 도메인 제어 기능도 적용됩니다. 즉, 사용자가 ID 공급자에서 하나의 보안 그룹에만 속해 있고 도메인 제어 설정에서 지정된 팀이 3개로 정의되어 있다면 해당 사용자는 그 3개 팀에도 자동으로 추가됩니다.
-
서비스를 보호하기 위해 Miro는 30초당 허용되는 API 호출 수를 제한합니다:
요청 유형제한 수준GET scim/users
GET scim/users/{userId}
첫 번째 요청 제한 레벨 1 POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
세 번째 요청 제한 레벨 3 GET scim/Groups
PATCH scim/Groups/{groupId}
네 번째 요청 속도 제한(레벨 4) GET scim/Groups/{groupId}
세 번째 요청 속도 제한(레벨 4)
한도 레벨에 대한 자세한 내용은 여기. 요청 수가 한도를 초과하면 Miro는 표준 429 Too many requests를 반환합니다.
지원되는 기능
자세한 Miro SCIM 스키마는 여기에서 확인할 수 있습니다.
Miro는 다음 프로비저닝 기능을 지원합니다:
-
새 사용자 생성
IdP에서 Miro 애플리케이션에 할당된 새 사용자는 Miro Enterprise 구독에 Enterprise 멤버로 생성됩니다. 동일한 이름으로 Miro 팀과 동기화된 IdP 그룹에 추가된 사용자는 해당 팀에 팀 멤버로 추가됩니다. -
사용자 프로필 업데이트 푸시
지원되는 속성 및 변경 사항은 아래를 참조하세요.
-
동기화 및 푸시 IdP 그룹
그 구성원을 포함한 IdP 그룹을 Miro Enterprise 구독의 팀으로 동기화해 사용자 멤버십을 자동으로 관리합니다. 지속적인 동기화는 IdP 그룹의 사용자에 대한 특정 업데이트를 동기화된 Miro 팀으로 전송하고, 푸시는 IdP 그룹을 신뢰 원본으로 간주해(회사 관리자가 Miro 측에서 수동으로 변경한 내용이 있는 경우) 팀 상태를 덮어씁니다.
-
IdP 그룹/Miro 팀 이름 분리
Miro는 IdP 그룹과 Miro 팀을 이름으로 동기화하므로 정확히 같은 이름이어야 합니다. 그러나 초기 동기화가 생성된 이후에는 둘 중 하나 또는 둘 모두에게 편리한 이름을 지정할 수 있습니다. 분리 예시는 여기에서 확인할 수 있습니다. -
IdP 그룹/Miro 팀에서 사용자 제거(Enterprise 구독에서는 제외, 아래 참조)
IdP 그룹에서 사용자를 제거하면 다음 그룹 푸시 시 동기화된 Miro 팀에서도 해당 사용자가 제거됩니다 -
사용자 비활성화
사용자를 비활성화하거나 삭제하거나 애플리케이션에 대한 접근을 IdP에서 비활성화하면 Miro Enterprise 플랜에서 해당 사용자가 비활성화됩니다. 상황에 따라 사용자를 비활성화하면 해당 사용자의 콘텐츠가 가장 오래된 팀 관리자에게 재할당될 수 있습니다:
- 만약 사용자를 IdP단, Miro 앱에 계속 할당된 상태로 남아 있더라도, Miro 측의 팀 멤버십은 변경되지 않고 콘텐츠도 재할당되지 않습니다 - 단순히 Active에서 Deactivated 상태(및 사용자 섹션)로 이동하며 라이선스 사용을 중지합니다.
- 비활성화를 트리거하려면 사용자를 IdP에서 삭제하거나 Miro 앱에서 할당 해제하면, 사용자가 일부 동기화된 팀의 멤버인 경우 사용자는 추가로 해당 Miro 팀에서 제거되며 해당 팀의 콘텐츠는 가장 오래된 팀 관리자에게 재할당됩니다.
- 비활성화를 트리거하려면 IdP에서 사용자를 삭제하거나 IdP Miro 앱에서 할당 해제할 경우 해당 사용자가 어떤 동기화된 팀의 회원이 아닐 경우 사용자의 팀 소속은 변경되지 않으며 콘텐츠도 재할당되지 않습니다.
사용자 제거는 Enterprise 구독에서 지원되지 않습니다 기본적으로. 다만, API를 사용해 해당 기능을 수동으로 추가하면 사용자를 비활성화 상태로 설정하는 대신 구독에서 완전히 제거할 수 있습니다. 이 경우 콘텐츠는 해당 팀 구성원들에게 재할당됩니다. 자동으로 재할당된 콘텐츠의 소유권을 어떤 관리자에게 부여할지 지정할 수 없습니다. 하지만 이 설정은 Miro 설정에서 사용자를 수동으로 비활성화할 때 지정할 수 있습니다. -
사용자 재활성화
애플리케이션에 사용자를 다시 할당하거나 IdP에서 사용자 프로필을 재활성화하면 해당 사용자가 이전에 프로비저닝되어 비활성화된 경우 Miro Enterprise 구독에서 재활성화됩니다. -
결제 그룹 자동 할당
SCIM을 사용해 신규 사용자를 결제 그룹에 자동 할당합니다. ID 공급자(IdP) 설정이 완료되면 비용 센터를 결제 그룹에 연결하세요. 이렇게 하면 해당 비용 센터에 속한 현재 및 향후 모든 사용자가 자동으로 올바른 결제 카테고리에 분류됩니다.
직접 삭제 API 호출을 보내 Enterprise 플랜에서 사용자를 제거할 수도 있습니다. 자세한 문서는 여기를 참조하세요. 단, 사용자를 실제로 삭제하는 것은 직접 호출만 가능합니다. 삭제 이벤트가 IdP에서 시작된 경우에는 비활성화 요청으로 처리됩니다.
지원되는 속성
⚠️ 주의:
- 이메일 / 주요 파라미터 / 고유 식별자 / 사용자 이름)은 Miro에서 요구하는 유일한 값이며 이메일 형식이어야 합니다.
- 이메일 업데이트는 이미 동기화된 사용자에게만 가능합니다. 즉, 최초 동기화 시 IdP와 Miro의 이메일이 같아야 하며, 그렇지 않으면 Miro가 사용자를 인식하지 못해 새 이메일로 중복된 Miro 프로필이 생성됩니다.
- 이메일 업데이트는 할당 목록이 아닌 사용자 IdP 프로필에서만 이루어져야 합니다.
- 다른 속성과 달리, 사용자의 이메일을 업데이트하면 알림 이메일이 발송됩니다: 이전 이메일 주소와 새 이메일 주소 모두로 메일이 전송되어 앞으로 새 이메일 주소로 Miro에 로그인해야 함을 알려드립니다.
속성 이름 |
SCIM 속성(클레임) |
|---|---|
이메일 |
사용자명. 필수이며 이메일 형식이어야 합니다 |
| 아래에 나열된 속성은 필수 항목이 아니며, 제공될 경우 Miro에서 허용됩니다. Miro로 전송된 다른 속성은 무시됩니다. | |
전체 이름 |
displayName; formatted; givenName + " " + familyName; userName |
사용자 유형 |
userType 지원되는 값: "Full" |
활성 |
active 지원되는 값: "true" 또는 "false" |
프로필 사진 |
photos.^[type=='photo'].value 또는 이미지의 텍스트 URL이어야 합니다. 지원되는 파일 형식: jpg, jpeg, bmp, png, gif
|
사용자 역할 |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) 지원 값: |
직원 번호 |
employeeNumber |
비용 센터 |
costCenter |
| 조직 | organization |
| 사업부 | division |
| 부서 | department |
관리자 이름 |
manager.displayName |
매니저 ID |
manager.value SCIM 표준에서 "value" 필드는 String 타입이지만 managerId |
⚠️ 비밀번호 변경은 지원되지 않으며, 현재로서는 이를 지원할 계획이 없습니다.
⚠️ Username, UserType 및 roles.value는 비활성화된 사용자에 대해 업데이트할 수 없습니다.
내보낸 CSV 사용자 목록에는 모든 속성이 표시되며, 활성 사용자 섹션에서 다운로드할 수 있습니다.
사용자 목록 다운로드 옵션
SCIM 구성
1단계: Miro에서 SCIM 옵션 활성화
Miro Enterprise 플랜에서 SCIM을 활성화하려면 Company 설정 > Enterprise integrations, SCIM Provisioning 기능을 사용 설정하세요. 거기에서 IdP 구성에 필요한 Base URL과 API 토큰을 확인할 수 있습니다.
2단계: ID 공급자 구성
구성 방법은 사용 중인 ID 공급자에 따라 달라집니다. Miro는 사전 구성된 Okta와 Entra ID를 지원하지만, SCIM 설정을 지원하는 다른 ID 공급자도 사용할 수 있습니다.
OKTA - 설정 안내는 여기에서 확인하세요.
Entra ID - 설정 안내는 여기에서 확인하세요.
새 토큰 생성
1. 다음 위치로 이동하세요: Company 설정 > Enterprise integrations.
2. SCIM Provisioning 섹션에서 새 토큰 생성을 클릭합니다.
2. 새 SCIM 토큰 생성 창에서 생성을 클릭합니다.
3. 새 토큰을 생성한 후, 해당 토큰을 IdP 공급자에 구성해야 합니다.
발생할 수 있는 문제와 해결 방법
1. 허용 목록 오류로 인해 사용자가 프로비저닝되지 않습니다.
사용자의 도메인 주소가 허용 목록에 추가되어 있는지 보안 설정에서 확인하세요.
2. 최종 사용자를 하나의 아이덴티티 솔루션(IDP1)으로 인증하지만 다른 솔루션(IDP2)을 통해 SCIM을 활성화하려는 경우, 다음 두 가지 조건을 충족해야 합니다:
- IDP2 가 베어러 토큰으로 API 호출을 수행할 수 있어야 합니다.
- 두 ID 공급자가 동기화되어 있어야 합니다. 즉 SCIM으로 프로비저닝된 사용자가 IDP1에도 존재해 Miro에 인증할 수 있어야 합니다.