SCIM이라고도 하는 도메인 간 ID 관리 시스템은 ID 공급자(IdP)를 통해 Miro Enterprise 구독에 대한 자동화된 프로비저닝 및 사용자 관리를 제공합니다.
해당 대상: Enterprise 플랜
설정 권한을 가진 사용자: 회사 관리자
알아야 할 중요
- 자동화된 프로비저닝을 구성하기 전에 SAML 기반 SSO가 제대로 설정되어 있고 Enterprise 플랜에서 작동하고 있어야 합니다.
SAML SSO(통합로그인) 구성 가이드를 확인하세요. -
할당된 모든 그룹은 연결하기 전에 동일한 이름으로 Miro 구독에 있는 팀으로 존재해야 합니다.
Teams API를 사용해 팀을 만들고 관리할 수 있습니다.
그룹 및 팀 이름을 다르게 지정해야 하는 경우 동기화가 설정된 후 둘 중 하나 또는 둘 모두의 이름을 변경할 수 있습니다. -
비밀번호 변경 사항은 지원되지 않습니다.
이 변경을 지원할 계획이 즉시 없습니다. - 사용자가 둘 이상의 Enterprise 계정에 속한 경우 사용자 이름(이메일 주소)을 업데이트할 수 없습니다. 이는 설정된 공유 정책과의 충돌을 방지하기 위한 것입니다.
사용자를 업데이트하려면 두 번째 계정에서 먼저 제거되었는지 확인하세요. 지원이 필요한 경우 Miro 지원에 문의하세요.
Miro SCIM이 작동하는 규칙
-
SCIM과 동기화된 변경 사항은 주로 새로 할당된 사용자에게 적용됩니다. 이미 구독을 받고 있는 사용자의 상태는 보완되지만 변경 사항이 그룹/팀 수준에서 적용되어 덮어쓰이지 않을 수 있습니다. 예:
a) 사용자가 Miro 측에서 Team1의 멤버이고 IDP가 Team2에 추가하기 위해 업데이트를 전송하면 Team1의 상태는 영향을 받지 않습니다.
b) IDP가 User1에 변경 사항이 포함된 업데이트를 전송해도 다른 팀 멤버는 영향을 받지 않습니다. 지원되는 기능 > 그룹 동기화 및 푸시 그룹을 동기화해 팀 상태를 덮어쓰고 모든 사용자를 한 번에 다시 동기화하세요.
- SCIM으로 프로비저닝된 모든 사용자는 구독의 기본 라이선스가 할당됩니다.
a) 플렉시블 라이선싱 프로그램이 없는 Enterprise 구독의 경우: 풀 라이선스. 구독에 라이선스가 부족하면 사용자가 제한된 무료 라이선스로 프로비저닝되기 시작합니다.
b) 플렉시블 라이선싱 프로그램이 활성화된 Enterprise 구독의 경우: 기본 구독 라이선스에 따라 무료 또는 제한된 무료 라이선스입니다.
- 일부 사용자가 기본 라이선스와 다른 라이선스로 프로비저닝되어야 하는 경우
위에서 설명한 대로 모든 사용자는 기본 라이선스로 프로비저닝됩니다. 그러나 UserType 속성을 전체 값으로 사용하여 일부 또는 전체를 즉시 업데이트할 수 있습니다. 이 속성으로 업데이트된 사용자는 사용자 측에 가동 중지 시간 없이 풀 라이선스로 업그레이드됩니다. - SCIM으로 프로비저닝된 모든 사용자는 도메인 제어 기능의 영향을 받습니다. 즉, 사용자가 ID 공급자에서 하나의 보안 그룹에 속해 있지만 도메인 제어 설정이 지정된 3개 팀을 지정한 팀으로 정의하면 해당 3개 팀에도 추가됩니다.
- 서비스를 보호하려면 Miro는 30초마다 사용 가능한 API 호출 수를 제한합니다.
요청 유형제한 레벨SCIM/사용자 가져오기
GET scim/users/{userId}
첫 번째 속도 한도 레벨 1
POST scim/users/{userId}
PUT scim/users/{userId}
패치 scim/users/{userId}
DELETE scim/users/{userId}
세 번째 속도 한도 레벨 3 GET scim/그룹
패치 scim/Groups/{groupId}
네 번째 속도 한도 레벨 4 GET scim/Groups/{groupId}
세 번째 속도 한도 레벨 4
한도 레벨에 대한 자세한 내용은 여기를 참고하세요. 요청 수가 한도를 초과하면 Miro는 표준 429 요청이 너무 많다는 응답을 반환합니다.
지원되는 기능
자세한 Miro SCIM 스키마는 여기에서 찾을 수 있습니다.
Miro는 다음과 같은 프로비저닝 기능을 지원합니다.
-
새 사용자 만들기
IdP에서 Miro 애플리케이션에 할당된 새 사용자가 Miro Enterprise 구독에서 Enterprise 멤버로 생성됩니다. 동일한 이름의 Miro 팀에 동기화된 사용자 그룹에 추가된 사용자가 팀 멤버로 팀에 추가됩니다 -
사용자 프로필 업데이트 푸시
지원되는 속성 및 변경 사항은 아래를 참조하십시오
-
그룹 동기화 및 푸시 그룹
IDP 그룹과 해당 멤버를 Miro Enterprise 구독 내의 팀에 동기화해 사용자 멤버십을 자동으로 관리하세요. 진행 중인 동기화가 그룹 사용자에 대한 특정 업데이트를 동기화된 Miro 팀에 전송되고 팀 상태가 그룹을 진실의 소스로 간주되는 경우 푸시가 이루어지면 팀 상태가 덮어쓰여집니다.
-
그룹/팀 이름 분리
Miro는 그룹 및 팀을 이름으로 동기화하므로 정확한 이름이 같아야 합니다. 그러나 초기 동기화가 생성된 후에는 둘 중 하나 또는 둘 모두에게 편리한 이름을 지정할 수 있습니다. 여기에서 분리 예제를 볼 수 있습니다 -
그룹/팀에서 사용자 제거(Enterprise 구독이 아닌 아래 참조)
그룹에서 사용자를 제거하면 동기화된 Miro 팀에서 제거됩니다(다음 그룹 푸시 중). -
사용자 비활성화
IDP에서 사용자 비활성화 / 삭제 또는 사용자의 애플리케이션 액세스를 비활성화하면 Miro Enterprise 플랜에서 사용자가 비활성화됩니다. 사용자를 비활성화하면 가장 오래된 팀 관리자에게 콘텐츠를 다시 할당할 수 있습니다.
- IDP 끝에서 사용자를 비활성화했지만 Miro 앱에 할당된 상태로 유지한 경우 Miro 끝의 팀 멤버십이 변경되지 않고 콘텐츠가 재할당되지 않은 경우 활성 상태에서 비활성화 상태(사용자 섹션)로 이동하고 라이선스 사용을 중지하면 됩니다.
- 사용자가 일부 동기화된 팀의 구성원인 동안 IDP에서 사용자를 삭제하거나 Miro 앱에서 사용자를 삭제해 비활성화하는 경우 해당 사용자가 해당 Miro 팀에서 추가로 제거되고 해당 팀의 콘텐츠가 가장 오래된 팀 관리자에게 재할당됩니다.
- IDP에서 사용자를 삭제하거나 Miro 앱에서 사용자를 분리해 비활성화하면 사용자가 동기화된 팀의 구성원이 아닌 경우 사용자의 팀 멤버십이 변경되지 않고 콘텐츠가 감소되지 않습니다.
Enterprise 구독에서 사용자 제거는 기본적으로 지원되지 않습니다. 하지만 API를 사용해 수동으로 기능을 추가해 사용자가 비활성화 상태로 설정되는 대신 구독에서 완전히 제거되도록 할 수 있습니다. 이 시나리오에서는 각 팀 멤버에게 콘텐츠가 다시 할당됩니다. 관리자가 자동으로 할당된 콘텐츠에 대한 소유권을 설정할 수는 없습니다. 그러나 Miro 설정에서 사용자를 수동으로 비활성화할 때 설정할 수 있습니다.
-
사용자 재활성화
사용자를 애플리케이션에 할당하거나 IDP에서 사용자 프로필을 다시 활성화하면 이전에 프로비저닝되고 비활성화된 경우 Miro Enterprise 구독에서 다시 활성화됩니다. -
결제 그룹 할당 자동화
SCIM을 사용하여 새 사용자를 결제 그룹에 자동 할당하세요. ID 공급자(IdP)가 설정되면 비용 센터를 결제 그룹에 연결하세요. 이를 통해 비용 센터의 모든 현재 및 향후 사용자가 적절한 결제 범주로 자동 정렬될 수 있습니다.
직접 API 통화를 보내 Enterprise 플랜에서 사용자를 제거할 수도 있습니다. 여기에서 문서를 참고하세요. 직접 통화만 사용자가 제거됩니다. ID 솔루션에 의해 시작된 삭제 이벤트는 비활성화 요청으로 처리됩니다.
지원되는 속성
⚠️ 참고:
- 이메일 / 기본 매개 변수 / 고유 식별자 / 사용자 이름)은 Miro에서 필요한 유일한 값이며 이메일 형식이어야 합니다.
- 이미 동기화된 사용자만 이메일 업데이트가 가능합니다. 즉, IdP와 Miro의 이메일이 동일한 경우 첫 번째 동기화가 이루어져야 하며, 그렇지 않으면 Miro가 사용자를 인식하지 못하고 새 이메일 아래에 중복된 Miro 프로필이 생성됩니다.
- 이메일 업데이트는 할당 목록이 아닌 사용자의 IdP 프로필에서 이루어져야 합니다.
- 다른 속성과 달리 사용자의 이메일을 업데이트하면 이전 이메일 주소와 새 이메일 주소가 모두 새 이메일 주소를 사용해 Miro에 로그인한다는 사실을 알리는 편지를 받게 됩니다.
|
속성 이름
|
SCIM 속성(클레임)
|
|---|---|
|
이메일 |
사용자 이름. |
| 아래 나열된 속성은 필수 속성이 아니며 Miro가 있는 경우 수락됩니다(Miro에 전송된 다른 속성은 무시됨). | |
|
전체 이름 |
displayName; 형식; givenName + " " + familyName; userName |
|
사용자 유형 |
userType |
|
활성 |
활성 |
|
프로필 사진 |
photos.^[type=='photo'].value 또는 이미지의 텍스트 URL이어야 합니다. 지원되는 파일 유형: jpg, jpeg, bmp, png, gif
|
|
사용자 역할 |
roles.^[primary==true].value roles[primary eq "True"].value (Azure) 지원되는 값: |
|
직원 번호 |
직원 번호 |
|
비용 센터 |
costCenter |
| 조직 | 조직 |
| 부문 | 구분 |
| 부서 | 부서 |
|
관리자 이름 |
manager.displayName |
|
관리자 ID |
manager.value "값" 필드에 SCIM 표준의 문자열 유형이 있지만 managerId |
⚠️ 비밀번호 변경은 지원되지 않으며 이 변경을 지원할 계획이 즉시 없습니다.
⚠️ 비활성화된 사용자에 대해서는 사용자 이름, 사용자 유형 및 역할.값은 업데이트할 수 없습니다.
모든 속성은 활성 사용자 섹션에서 다운로드할 수 있는 내보낸 CSV 사용자 목록에 표시됩니다.
사용자 목록 다운로드 옵션
SCIM 구성
1단계: Miro에서 SCIM 옵션 활성화
Miro Enterprise 플랜에 SCIM을 활성화하려면 회사 설정 > 엔터프라이즈 통합으로 이동하여 SCIM 프로비저닝 기능을 활성화하세요. IdP를 구성하기 위한 기본 URL과 API 토큰을 얻을 수 있습니다.
Miro 설정의 SCIM
2단계: ID 공급자 구성
설정은 사용하는 ID 공급자에 따라 달라집니다. Miro는 사전 구성된 Okta 및 Azure AD를 지원하지만 SCIM을 설정할 수 있는 경우 원하는 ID 공급자를 사용할 수 있습니다.
OKTA - 여기에서 설정 지침을 확인하세요.
Azure AD - 여기에서 설정 지침을 확인하세요.
새 토큰 생성
1. 회사 설정 > Enterprise 통합으로 이동하세요.
2. SCIM 프로비저닝 섹션에서 새 토큰 생성을 클릭하세요.
Miro 설정의 SCIM
2. 새 SCIM 토큰 생성 창에서 생성을 클릭하세요.
3. 새 토큰을 생성한 후 IDP 공급자에서 새 토큰을 구성해야 합니다.
발생 가능한 문제 및 해결 방법
1. 허용 목록 오류로 인해 사용자가 프로비저닝되지 않습니다.
Okta ID 공급자의 오류 예
보안 설정에서 사용자의 도메인 주소가 허용 목록에 추가되었는지 확인하세요.
2. 단일 ID 솔루션(IDP1)으로 최종 사용자를 인증했지만 다른 IDP2를 통해 SCIM을 활성화하려면 다음 두 가지 조건에서 가능합니다.
- IDP2는 베어러 토큰으로 API 호출을 수행할 수 있습니다.
- 두 ID 공급자가 동기화 중(SCIM으로 프로비저닝된 사용자가 IDP1에도 존재하므로 Miro에서 인증할 수 있음).
자세한 내용은 Miro 지원팀에 문의하세요.