Deutsch English (US) Español Français 日本語 한국어(대한민국) Português do Brasil

Artykuły w tej sekcji

Konfiguracja automatycznego udostępniania z Entra ID

  • Zaktualizowano

Dostępne dla: Plan Enterprise
Wymagana rola: Administrator firmy
 

⚠️ Przewodnik zawiera kroki konfiguracji funkcji. Aby zapoznać się z dostępną funkcjonalnością, zasadami, które Miro SCIM stosuje, oraz możliwymi problemami i sposobami ich rozwiązania proszę najpierw zobaczyć tutaj.
Dokumentacja deweloperska Miro dla SCIM dostępna jest tutaj.

Szczegółowy przewodnik po provisioning dla klientów korzystających z programu elastycznych licencji (FLP) można znaleźć tutaj

Wymagania wstępne

Miro SCIM API jest używane przez partnerów SSO do pomagania w tworzeniu, zarządzaniu użytkownikami i zespołami. SSO oparte na SAML musi być poprawnie skonfigurowane i funkcjonalne w Twoim abonamencie Miro Enterprise zanim zaczniesz konfigurować automatyczne działanie. Instrukcje dotyczące konfiguracji SSO można znaleźć tutaj

Twoje grupy zabezpieczeń i zespoły Miro muszą już być utworzone i nazwane w ten sam sposób.

Konfiguracja Provisioning

Po utworzeniu aplikacji podczas konfiguracji SSO zobaczysz jej ustawienia:
Miro_app_settings.jpg
Ustawienia aplikacji Miro

  1. Wybierz pozycję Provisioning na lewym panelu, a następnie zmień Tryb Provisioning z Manual na Automatic:
  2. Podaj dane dostępowe administratora:
    a) Użyj https://miro.com/api/v1/scim/ jako URL dzierżawy
    b) Podaj Secret Token. Możesz go uzyskać z sekcji SSO w ustawieniach Miro w następujący sposób:
    c) Kliknij przycisk Testuj połączenie tuż poniżej pola edycji Secret Key.
    Jeśli połączenie jest poprawne, otrzymasz następujące powiadomienie:
    mceclip0.png
    Powiadomienie o pomyślnym teście połączenia
    Jeśli brak potwierdzenia, sprawdź ponownie URL dzierżawy i upewnij się, że nie jest zablokowany przez zapory sieciowe i inne przechwytywacze ruchu w Twojej sieci, a także upewnij się, że Token API jest poprawny.
  3. Zapisz konfigurację:
    save_configuration.jpg
    Zapisywanie konfiguracji

Mapowania

Miro SCIM API korzysta z części metadanych, które Entra ID przypisuje użytkownikom i grupom. Ta sekcja wyjaśnia wymagane mapowania między atrybutami Miro SCIM API i Entra ID.

Użytkownicy

  1. Wybierz kartę Provisioning po lewej stronie, a następnie kliknij Synchronizuj użytkowników Entra Active Directory z Miro:
    synchronize_users.jpg
    Włączanie synchronizacji
  2. Domyślne mapowania powinny być wystarczające. Jednak sprawdź, czy synchronizacja jest włączona dla użytkowników oraz czy wszystkie wymagane metody (Utwórz, Aktualizuj, Usuń) są AKTYWNE:
    attribute_mapping.jpg
    Mapowanie atrybutów

Proszę zauważyć, że Miro rozpozna użytkowników Entra tylko po ich UPN w przypadku przepływu zainicjowanego przez usługę 

Aby dodać jeden z obsługiwanych atrybutów, kliknij opcję Pokaż zaawansowane opcje i wybierz Edytuj listę atrybutów dla Miro:

attribute_mappings.jpg
Zaawansowane opcje

Następnie wprowadź nazwę atrybutu, który chcesz zmapować i zapisz go. Zapoznaj się z naszą dokumentacją SCIM, aby zobaczyć pełną listę obsługiwanych atrybutów.

Miro_user_attrbutes.jpg
Atrybuty użytkowników Miro

Teraz możesz wybrać opcję Dodaj nowe mapowanie i zaznaczyć nowy atrybut, który właśnie dodaliśmy:

edit_attribute.jpg

Pamiętaj, że aby mapować nowy atrybut, powinieneś włączyć tę opcję przez dostęp do Entra za pomocą poniższego URL:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Aby uzyskać więcej informacji na temat dodawania nowych atrybutów, odwiedź dokumentację Microsoft tutaj i tutaj.

⚠️ Atrybut ProfilePicture nie jest obsługiwany przez Entra. Możesz zgłosić zapotrzebowanie na rozwój tej funkcji na User Voice.

Grupy

  1. Wybierz kartę Provisioning z lewej strony, a następnie kliknij Synchronizuj grupy Entra Active Directory z Miro.

  2. Domyślne mapowania są zwykle wystarczające. Sprawdź, czy synchronizacja jest włączona dla grup i odznacz metody Utwórz i Usuń - należy zwrócić uwagę, że interfejs API SCIM Miro nie obsługuje tworzenia i usuwania zespołów.
     

    ⚠️ Zdecydowanie zalecamy odznaczenie tych metod, aby zapobiec nieplanowanym zmianom jeśli zaczniemy wspierać te metody. 

    mceclip0.png

  3. Kliknij Zapisz.

Użytkownik i Przypisania grup

Provisioning SCIM w Miro umożliwia nadawanie i odbieranie użytkownikom dostępu do subskrypcji Enterprise oraz automatyczne rozdzielenie ich pomiędzy zespoły. 

Użytkownicy lub grupy z Entra Active Directory muszą być przypisani do aplikacji Miro SCIM Provisioner, aby mogli być automatycznie zarządzani w Miro. 

Aby przypisać użytkowników i grupy do aplikacji, wykonaj poniższe kroki.

  1. Wybierz kartę Provisioning po lewej stronie. W sekcji Ustawienia upewnij się, że zakres jest ustawiony na ten, który ma być synchronizowany z Miro. Wybierz opcję "Synchronizuj tylko przypisanych użytkowników i grupy".
  2. Wybierz karty Użytkownicy i grupy w lewym panelu, a następnie kliknij Dodaj użytkownika:
    user_and_groups.jpg
    Karta Użytkownicy i grupy
  3. Na ekranie Dodaj przypisanie wybierz kartę Użytkownicy i grupy, a następnie zaznacz użytkowników i grupy z listy. UWAGA: API SCIM Miro nie tworzy nowych zespołów w Miro. Zapoznaj się z listą funkcji SCIM tutaj.
  4. Kliknij przyciski Wybierz, a następnie Przypisz.
  5. Przypisani użytkownicy i zespoły pojawią się na liście.

✏️ Usunięcie przypisania zespołów w Entra ID nie usuwa użytkowników z zespołu zsynchronizowanego z Miro i nie dezaktywuje ich. Aby pomyślnie usunąć użytkowników, usuń ich ze wszystkich grup Entra ID połączonych z Miro.

Zmiana użytkownika na niższą wersję

Aby zmienić użytkownika na niższą wersję, wykonaj te kroki:

  1. W Entra ID wykonaj te kroki:
    1. Usuń użytkownika z grupy, gdzie przypisana jest rola Full.
    2. Upewnij się, że użytkownik jest członkiem innej grupy, gdzie przypisana jest rola User.
  2. W Miro, zaktualizuj jego licencję na Free Restricted.

⚠️ Jeśli usuniesz użytkownika ze wszystkich grup Entra ID przypisanych do aplikacji Miro, użytkownik zostanie dezaktywowany w Miro i straci dostęp do aplikacji Miro. Jeśli użytkownik, którego licencję zmienisz na niższą wersję, musi dalej mieć dostęp do Miro z licencją Free Restricted, upewnij się, że jest członkiem grupy Entra ID, gdzie przypisana jest rola User.

✏️ Zmiana na niższą wersję licencji użytkownika z Pełnej na Bezpłatną - Ograniczoną poprzez SCIM provisioning nie jest jeszcze wspierana.

Włączanie i wyłączanie provisioning

Gdy początkowa konfiguracja zostanie ukończona, przełącz status Provisioning Status, aby włączyć provisioning.

  1. Wybierz zakładkę Provisioning po lewej stronie.
  2. Kliknij opcję On na przełączniku statusu Provisioning.
    provisioning_status.jpg
    Status provisioningu
  3. Naciśnij Zapisz. To rozpocznie wstępne provisionowanie, które może potrwać trochę czasu. Wróć za około 20 minut i sprawdź dolną część strony, aby poznać status.

W razie potrzeby, wybierz opcję Off, aby wyłączyć provisionowanie. Zauważ, że Entra aktualizuje dane z przerwami, więc jeśli potrzebujesz pilnej aktualizacji, zatrzymaj provisionowanie i uruchom je ponownie. Resynchronizacja będzie natychmiastowa i uwzględni również aktualizacje.

Rozdzielanie Grup i Zespołów

Aby włączyć SCIM i zsynchronizować swoje grupy z zespołami Miro, muszą one nosić tę samą nazwę, ponieważ Miro wykonuje synchronizację na podstawie wartości nazwy. Jednak jeśli potrzebujesz, aby miały różne nazwy, możesz zmienić nazwy któregokolwiek z nich po wykonaniu synchronizacji. Przykład poniżej.

Planowany wynik: w Entra jest Grupa o nazwie sfo_hq_eng_support, podczas gdy w Miro jest Zespół o nazwie Wsparcie Inżynieryjne i synchronizacja jest przeprowadzana pomiędzy nimi.

Uruchom polecenie curl, aby wylistować wszystkie Grupy Bezpieczeństwa (nie zapomnij zastąpić zastępczych wartości swoimi unikalnymi danymi):

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Przykładowa odpowiedź:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Resources": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

Aktualnie w Miro istnieje zespół Miro o nazwie Engineering Support oraz grupa zabezpieczeń Miro o nazwie Engineering Support (z identyfikatorem 3074457345618261605). Są one mapowane 1:1.

Celem jest teraz zmiana nazwy grupy zabezpieczeń z Engineering Support na sfo_hq_eng_support przy zachowaniu niezmienionej nazwy zespołu. Aby to osiągnąć, uruchom polecenie curl:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Ta zmiana zostanie natychmiast wyświetlona na stronie Zespoły firmy w Miro.

mceclip0.png

Entra wykonuje zaplanowaną synchronizację w tle co 40 minut. Podczas następnej synchronizacji Entra wykryje Grupę Bezpieczeństwa sfo_hq_eng_support w Miro i automatycznie połączy ją z odpowiednią Grupą w Entra.

W tym momencie połączyłeś swoją Grupę Bezpieczeństwa z jednym z zespołów w Miro i nadałeś im różne nazwy. 

Możliwe problemy i ich rozwiązania

Problemy ze zmianą e-maili użytkowników

Jeśli zaktualizowałeś e-maile niektórych użytkowników, ale nie widzisz zmiany w Miro, upewnij się, że oczekiwany atrybut został zaktualizowany. Problem ten może się pojawić, jeśli używasz emails[type eq "work"].

Atrybut emails[type eq "work"] jest domyślny w Entra, więc Miro go obsługuje - ale tylko jako tylko do odczytu i jest dynamicznie generowany z userName
Podczas odczytu użytkowników, zwracamy: 

mceclip1.pngPonieważ emails[type eq "work"] jest tylko do odczytu po naszej stronie, Miro zignoruje każdą próbę jego modyfikacji. To dlatego, że w Miro e-mail użytkownika jest głównym identyfikatorem użytkownika; na tej podstawie rozpoznajemy użytkowników, tak więc nie wspieramy dodatkowych e-maili. Jednak struktura SCIM wymaga tablicy e-maili, więc wspieramy jej istnienie. 

Aby zmienić e-maile użytkowników, aktualizacja musi być wysłana dla userName, a nie emails[type eq "work"]

mceclip0.png

Błąd aktualizacji użytkownika

Dzienniki Entra pokazują status Failed z:

Status przyczyny - „Nie udało się zaktualizować użytkownika: Atrybut e-maile nie ma wartości wielowartościowej ani złożonej”
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible

Czy ten artykuł był pomocny?
Tak, dziękuję Nie bardzo
Przykro nam... Dlaczego artykuł nie był pomocny?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Wróć do początku

Powiązane artykuły