System do zarządzania identyfikacjami między domenami, znany również jako SCIM, zapewnia automatyczne udostępnianie i zarządzanie użytkownikami w subskrypcjach Miro Enterprise za pośrednictwem dostawcy tożsamości (IdP).
Dostępność: Wersja Enterprise
Konfigurują: administratorzy firmy.
Ważne informacje
- SSO oparte na SAML musi być poprawnie skonfigurowane i działać w planie Enterprise, zanim zaczniesz konfigurować automatyczne zarządzanie administracją.
Zobacz przewodnik po konfigurowaniu SAML SSO. -
Wszystkie przypisane grupy muszą istnieć w subskrypcji Miro jako zespoły pod identycznymi nazwami przed połączeniem.
Zespoły mogą być tworzone i zarządzane za pomocą interfejsu Teams API.
Jeśli chcesz mieć różne nazwy grup i zespołów, możesz zmienić nazwę jednej lub obu tych grup po ustanowieniu synchronizacji. -
Zmiany hasła nie są obsługiwane.
Nie ma natychmiastowych planów rozpoczęcia obsługi tej zmiany. - Jeśli użytkownik jest członkiem co najmniej dwóch kont Enterprise, nie można aktualizować jego nazwy użytkownika (adresu e-mail): aby uniknąć konfliktów z zasadami udostępniania.
Aby zaktualizować użytkownika, upewnij się, że został on najpierw usunięty z drugiego konta. Jeśli potrzebujesz pomocy, skontaktuj się z pomocą techniczną Miro.
Reguły, na podstawie których działa Miro SCIM.
-
Zmiany zsynchronizowane przez SCIM są przede wszystkim stosowane do nowo przypisanych użytkowników. Stan osób, które są już objęte subskrypcją, zostanie uzupełniony, ale może nie zostać nadpisany, ponieważ zmiany są stosowane na poziomie grupy lub zespołu. Na przykład:
a) jeśli użytkownik jest uczestnikiem Team1 po stronie Miro, a dostawca tożsamości wyśle aktualizację w celu dodania go do Team2, jego stan w Team1 pozostaje nienaruszony.
b) Jeśli Twój dostawca tożsamości wyśle aktualizację zawierającą zmiany do użytkownika1, nie wpłynie to na innych uczestników zespołu. Jak wspomniano w sekcji Obsługiwane funkcje > Synchronizuj i wypychaj grupy do nadpisania stanu zespołu i ponownego zsynchronizowania wszystkich użytkowników jednocześnie. Spróbuj i zainicjuj nowe wypychanie.
- Wszyscy użytkownicy zatwierdzeni w ramach SCIM mają przypisaną domyślną licencję subskrypcji:
a) W przypadku subskrypcji Enterprise bez programu elastycznych licencji: pełna licencja. Jeśli skończą się licencje w Twojej subskrypcji, użytkownicy zaczną otrzymywać aprowizowane licencje w ramach bezpłatnej ograniczonej licencji.
b) W przypadku subskrypcji Enterprise z aktywowanym programem elastycznych licencji: Licencja bezpłatna lub bezpłatna z ograniczonym dostępem, zależnie od domyślnej licencji subskrypcji.
- Jeśli chcesz, aby niektórzy użytkownicy byli aprowizowani na podstawie licencji innej niż domyślna:
Jak wspomniano powyżej, wszyscy użytkownicy są aprowizowani z domyślną licencją. Możesz jednak natychmiast zaktualizować wszystkie lub niektóre z nich przy użyciu atrybutu UserType z wartością pełną. Użytkownicy zaktualizowani z użyciem tego atrybutu otrzymają pełną licencję bez przestojów po stronie użytkownika. - Wszyscy użytkownicy zatwierdzeni w ramach SCIM również mają wpływ na funkcję kontroli domeny. Oznacza to, że jeśli użytkownik jest członkiem tylko jednej grupy zabezpieczeń u dostawcy tożsamości, ale ustawienia kontroli domeny definiują zespoły 3 jako wyznaczone, użytkownik zostanie również dodany do tych 3 zespołów.
- Aby chronić usługę, Miro ogranicza liczbę połączeń API dostępnych co 30 sekund:
Typ prośbyPoziom limituGET scim/users
GET scim/users/{userId}
Poziom limitu pierwszej stawki 1
POST scim/users/{userId}
PUT scim/users/{userId}
POPRAWIENIE scim/users/{userId}
USUŃ scim/users/{userId}
Trzeci limit stawki – poziom 3 GET scim/Grupy
POPRAW scim/Groups/{groupId}
Czwarty limit stawki Poziom 4 GET scim/Groups/{groupId}
Trzeci limit stawki Poziom 4
Szczegółowe informacje na temat poziomów limitów można znaleźć tutaj. Jeśli liczba żądań przekroczy limit, Miro zwróci standardowy 429 i zbyt wiele żądań.
Obsługiwane funkcje
Szczegółowy schemat Miro SCIM można znaleźć tutaj.
Miro obsługuje następujące funkcje obsługi administracyjnej:
-
Tworzenie nowych użytkowników
Nowi użytkownicy przypisani do aplikacji Miro w usługach IdP będą tworzeni w ramach subskrypcji Miro Enterprise jako uczestnicy klasy Enterprise. Użytkownicy, którzy zostali dodani do grupy użytkowników zsynchronizowanej z zespołem Miro o tej samej nazwie, zostaną dodani do zespołu jako uczestnicy zespołu. -
Wysyłanie aktualizacji profilu użytkowników
Informacje o obsługiwanych atrybutach i zmianach znajdują się poniżej
-
Synchronizuj i wypychaj grupy
Synchronizuj grupy IDP i ich uczestników z zespołami w ramach subskrypcji Miro Enterprise, aby automatycznie zarządzać członkostwem użytkowników. Trwająca synchronizacja spowoduje wysłanie określonych aktualizacji dotyczące użytkowników grupy do zsynchronizowanego zespołu Miro, podczas gdy naciśnięcie zastąpi stan zespołu traktujący grupę jako źródło prawdy (jeśli nastąpiły ręczne zmiany wprowadzone przez administratorów firmy na końcu Miro).
-
Oddziel nazwy grup/zespołów
Miro synchronizuje grupy i zespoły po nazwie, dlatego muszą mieć taką samą nazwę. Jednak po utworzeniu początkowej synchronizacji będziesz mógł nadać jednemu lub obu imionom odpowiednie dla Ciebie nazwy. Przykład oddzielenia można zobaczyć tutaj -
Usuń użytkowników z grupy/zespołu (nie z subskrypcji Enterprise, patrz poniżej).
Usunięcie użytkownika z grupy spowoduje usunięcie go z zsynchronizowanego zespołu Miro (podczas następnego Pusha grupowego). -
Dezaktywuj użytkowników
Dezaktywacja/usunięcie użytkownika lub wyłączenie dostępu użytkownika do aplikacji w ramach usługi IDP spowoduje dezaktywację użytkownika w abonamencie Miro Enterprise. W zależności od obrotów dezaktywacja użytkownika może przypisywać jego zawartość najstarszym administratorom zespołu:
- jeśli dezaktywujesz użytkownika po stronie użytkownika i zachowasz go jako przypisanego do aplikacji Miro, członkostwo jego zespołu po stronie Miro nie zostanie zmienione, a zawartość nie zostanie przypisana - zostaną po prostu przeniesione ze stanu Aktywny do stanu Dezaktywowanego (i odpowiednio do sekcji Użytkownicy) i przestaną korzystać z licencji.
- jeśli aktywujesz dezaktywację, usuwając użytkownika za pomocą IDP lub dezaktywując go z aplikacji Miro, podczas gdy użytkownik jest członkiem niektórych zsynchronizowanych zespołów, użytkownik zostanie dodatkowo usunięty z tych zespołów Miro, a ich treści we wspomnianych zespołach zostaną ponownie przypisane do najstarszych administratorów zespołu.
- jeśli uruchomisz dezaktywację, usuwając użytkownika za pośrednictwem IDP lub dezaktywując go z aplikacji Miro, gdy użytkownik nie jest uczestnikiem żadnego zsynchronizowanego zespołu, członkostwo w zespole użytkownika nie zostanie zmienione, a jego zawartość nie zostanie ponownie podpisana.
Usuwanie użytkownika z subskrypcji Enterprise nie jest domyślnie obsługiwane. Nadal możesz ręcznie dodać funkcje za pomocą interfejsu API, aby użytkownik został całkowicie usunięty z subskrypcji, zamiast ustawiać go na stan dezaktywowany. W tym scenariuszu zawartość jest ponownie przypisywana do odpowiednich członków zespołu. Nie można ustawić, którzy administratorzy otrzymają własność nad automatycznie przypisanymi treściami. Można ją jednak ustawić podczas ręcznej dezaktywacji użytkownika w ustawieniach Miro.
-
Aktywuj ponownie użytkowników
Przypisywanie użytkownika z powrotem do aplikacji lub ponowne aktywowanie profilu użytkownika w usłudze IDP spowoduje ponowną aktywację użytkownika w subskrypcji Miro Enterprise, jeśli został wcześniej aprowizowany i nieaktywowany. -
Automatyzacja przydzielania grup rozliczeniowych
Automatyczne przypisywanie nowych użytkowników do grup rozliczeniowych za pomocą SCIM. Po skonfigurowaniu dostawcy tożsamości (IdP) połącz centra kosztów z grupami rozliczeniowymi. Dzięki temu każdy obecny i przyszły użytkownik z tych centrów kosztów zostanie automatycznie posortowany do odpowiedniej kategorii rozliczeniowej.
Możesz również usunąć użytkowników ze swojego abonamentu Enterprise, wysyłając bezpośrednie połączenie Usuń API – zobacz dokumentację tutaj. Pamiętaj, że tylko bezpośrednie rozmowy spowodują usunięcie użytkowników. Usuwanie zdarzeń zainicjowanych przez rozwiązanie tożsamości będzie traktowane jako prośba o dezaktywację.
Obsługiwane atrybuty
⚠️ Pamiętaj, że:
– E-mail / parametr podstawowy / unikalny identyfikator / nazwa użytkownika) to jedyna wartość wymagana przez Miro i musi mieć postać wiadomości e-mail.
- aktualizacja e-mail jest możliwa tylko dla już zsynchronizowanych użytkowników. Innymi słowy, pierwsza synchronizacja musi nastąpić, gdy ich adres e-mail w usłudze IdP i Miro jest taki sam. W przeciwnym razie Miro nie rozpozna użytkownika, zostanie utworzony duplikat profilu Miro pod nowym adresem e-mail.
- aktualizacja e-mail musi mieć miejsce w profilu IdP użytkownika, a nie na liście przypisów.
W przeciwieństwie do innych atrybutów, aktualizacja wiadomości e-mail użytkownika wyśle mu powiadomienie: zarówno stary, jak i nowy adres e-mail otrzymają list informujący użytkownika, że chce użyć nowego adresu e-mail do zalogowania się w Miro.
|
Nazwa atrybutu
|
Atrybut SCIM (roszczenie)
|
|---|---|
|
|
Nazwa użytkownika. |
| Atrybuty wymienione poniżej nie są wymagane i zostaną zaakceptowane przez Miro, jeśli są obecne (inne atrybuty wysłane do Miro zostaną zignorowane). | |
|
Pełna nazwa |
displayName; sformatowany; givenName + " " + familyName; Nazwa użytkownika |
|
Typ użytkownika |
userType |
|
Aktywni |
aktywny |
|
Obraz profilowy |
zdjęcia.^[type=='photo'].wartość lub Musi być tekstowym adresem URL do obrazu. Obsługiwane typy plików: jpg, jpeg, bmp, png, gif
|
|
Rola użytkownika |
role.^[podstawowy ==true].value (Okta) role[primary eq "True"].value (Azure) Obsługiwane wartości: |
|
Numer pracownika |
pracownikNumer |
|
Centrum kosztów |
costCenter |
| Organizacja | organizacja |
| Podział | podział |
| Dział | dział |
|
Nazwa menedżera |
manager.displayName |
|
Identyfikator menedżera |
manager.value Pole "value" ma typ ciągu znaków w standardzie SCIM, ale menedżerId |
⚠️ Zmiany hasła nie są obsługiwane i nie ma natychmiastowych planów rozpoczęcia obsługi tej zmiany.
⚠️ Nazwa użytkownika, Typ użytkownika i roles.value nie mogą być aktualizowane dla dezaktywowanych użytkowników.
Wszystkie atrybuty będą wyświetlane na liście wyeksportowanych użytkowników CSV, którą można pobrać z sekcji Aktywni użytkownicy.
Opcja pobrania listy użytkowników
Konfigurowanie SCIM
Krok 1: Włącz opcję SCIM w Miro
Aby włączyć SCIM dla abonamentu Miro Enterprise, przejdź do ustawień firmy > Integracje Enterprise włącz funkcję obsługi administracyjnej SCIM. Tam możesz uzyskać podstawowy adres URL i token API do konfigurowania IdP.
SCIM w ustawieniach Miro
Krok 2: Skonfiguruj dostawcę tożsamości
Konfiguracja będzie zależeć od używanego dostawcy tożsamości. Miro obsługuje wstępnie skonfigurowane Okta i Azure AD, ale możesz używać dowolnego dostawcy tożsamości przez okres umożliwiający konfigurowanie SCIM.
OKTA – zobacz instrukcję konfiguracji tutaj.
Azure AD– zobacz instrukcję konfiguracji tutaj.
Generuj nowy token
1. Przejdź do ustawień firmy > Integracje Enterprise.
2. W sekcji Obsługa administracyjna SCIM kliknij Generuj nowy token.
SCIM w ustawieniach Miro
2. W oknie Generuj nowy token SCIM kliknij Generuj.
3. Po wygenerowaniu nowego tokena musisz skonfigurować nowy token w swoim dostawcy tożsamości.
Możliwe problemy i sposób ich rozwiązania
1. Użytkownicy nie otrzymują aprowizowanych z powodu błędu listy dozwolonych.
Przykład błędu dostawcy tożsamości o dostawcy tożsamości
Upewnij się, że adres domeny użytkownika został dodany do listy dozwolonych w ustawieniach zabezpieczeń.
2. Jeśli uwierzytelniasz użytkowników końcowych za pomocą jednego rozwiązania identyfikacyjnego (IDP1), ale chcesz włączyć SCIM za pomocą innego (IDP2), jest to możliwe pod dwoma warunkami:
- identyfikator IDP2 może wykonywać wywołania API za pomocą tokena okaziciela.
- obaj dostawcy tożsamości są zsynchronizowani (więc użytkownicy zaprowizowani przez SCIM również istnieją w IDP1, dzięki czemu mogą się uwierzytelniać w Miro).
Aby uzyskać więcej informacji, skontaktuj się z zespołem pomocy technicznej Miro.