Canvas 26 Don’t wait for the recap. Catch Miro’s latest launches from the Canvas 26 keynote, streaming live on May 19. Register now →
Deutsch English (United States) Español Français 日本語 한국어(대한민국) Português do Brasil

Artykuły w tej sekcji

SCIM

  • Zaktualizowano

System zarządzania tożsamościami między domenami (SCIM) umożliwia automatyzację obsługi administracyjnej i zarządzania użytkownikami między Miro a dostawcą tożsamości (IdP).

Dostępne w: Enterprise abonamencie
Konfigurowane przez: administratorów firmy

Ważne informacje

  • SSO oparte na SAML musi być poprawnie skonfigurowane i działać w Twoim abonamencie Enterprise, zanim zaczniesz konfigurować automatyczną obsługę administracyjną. 
    Zobacz przewodnik dotyczący konfigurowania SSO opartego na SAML.
  • Synchronizacja grup IdP z zespołami Miro jest opcjonalna. 
    Możesz opcjonalnie powiązać i synchronizować grupy IdP z zespołami w Miro. Nie możesz tworzyć ani usuwać zespołów za pomocą IdP. Zespoły możesz tworzyć i nimi zarządzać za pomocą Teams API. Aby uzyskać więcej informacji o tym, jak API SCIM umożliwia zarządzanie grupami IdP, zobacz dokumentację deweloperską Miro.
  • Zmiany adresu e-mail w SCIM podlegają następującym zasadom weryfikacji:
    • Weryfikacja użytkownika zarządzanego: Jeśli bieżąca domena użytkownika nie jest przypisana do organizacji inicjującej prośbę SCIM, aktualizacja adresu e-mail zostaje zablokowana i zwraca błąd 400.
    • Weryfikacja docelowej domeny e-mail: Jeśli docelowa domena e-mail jest przypisana do organizacji innej niż ta, która inicjuje prośbę SCIM, aktualizacja adresu e-mail zostaje zablokowana i zwraca błąd 400. Jeśli docelowa domena e-mail jest przypisana do organizacji inicjującej prośbę SCIM, aktualizacja adresu e-mail jest dozwolona bez konieczności potwierdzenia adresu e-mail. Dzienniki audytu odnotowują tę aktualizację w każdej organizacji, której użytkownik jest członkiem.
    • Zarządzanie domeną i SSO: Aktualizacje adresów e-mail są dozwolone na podstawie weryfikacji domeny przez zarządzanie domeną (IDC) lub SSO. Jeśli organizacja inicjująca zweryfikowała docelową domenę e-mail za pomocą CD lub SSO, aktualizacja może zostać przeprowadzona.
      scim-diagram-2.png
      Schemat przepływu walidacji zmiany adresu e-mail w SCIM

Zasady działania SCIM w Miro

  • Zmiany zsynchronizowane przez SCIM są stosowane przede wszystkim do nowo przypisanych użytkowników. Stan tych, którzy już znajdują się w Twojej subskrypcji, zostanie uzupełniony, ale może nie zostać nadpisany, ponieważ zmiany są stosowane na poziomie zespołu. Na przykład: 
    a) jeśli użytkownik jest członkiem Team1 po stronie Miro i Twój dostawca tożsamości wysyła aktualizację, która dodaje go do Team2, jego stan w Team1 pozostanie niezmieniony. 
    b) jeśli Twój dostawca tożsamości wysyła aktualizację zawierającą zmiany dla User1, inni członkowie zespołu nie zostaną dotknięci. Jak wspomniano w Obsługiwane funkcjeSynchronizuj i wyślij grupy, aby nadpisać stan zespołu i ponownie zsynchronizować wszystkich użytkowników jednocześnie, spróbuj zainicjować nowe wysłanie.
     
  • Wszyscy użytkownicy provisionowani w ramach SCIM otrzymują domyślną licencję w ramach Twojej subskrypcji:
    a) W subskrypcjach Enterprise bez programu elastycznych licencji: pełna licencja. Jeśli w Twojej subskrypcji zabraknie licencji, użytkownicy zaczynają być provisionowani z przypisaną bezpłatną ograniczoną licencją.
    b) W subskrypcjach Enterprise z aktywowanym programem elastycznych licencji: licencja Free lub bezpłatna ograniczona, w zależności od domyślnej licencji subskrypcji.
    - Jeśli chcesz, aby niektórzy użytkownicy otrzymali licencję inną niż domyślna:
    Jak wspomniano powyżej, wszyscy użytkownicy otrzymują domyślną licencję. Jednak możesz natychmiast zaktualizować wszystkich lub niektórych z nich, używając atrybutu UserType z wartością Full. Użytkownicy zaktualizowani za pomocą tego atrybutu zostaną uaktualnieni do pełnej licencji bez przerw w działaniu po stronie użytkownika.
  • Wszyscy użytkownicy provisionowani przez SCIM są także objęci funkcją Zarządzanie domeną. Oznacza to, że jeśli użytkownik jest członkiem tylko jednej grupy zabezpieczeń u Twojego dostawcy tożsamości, ale ustawienia zarządzania domeną określają trzy zespoły jako przypisane, użytkownik zostanie również dodany do tych trzech zespołów. 

  • Aby chronić usługę, Miro ogranicza liczbę wywołań API dostępnych co 30 sekund:

     

        Typ żądania
        Poziom limitu

      GET scim/users

      GET scim/users/{userId}

    		     Pierwszy poziom limitu (poziom 1)

      POST scim/users/{userId}

      PUT scim/users/{userId}

      PATCH scim/users/{userId}

      DELETE scim/users/{userId}

    		      Trzeci poziom limitu (poziom 3)

      GET scim/Groups

      PATCH scim/Groups/{groupId}

    		     Czwarty poziom ograniczeń (poziom 4)

      GET scim/Groups/{groupId}

    		     Trzeci poziom ograniczeń (poziom 4)


    Szczegóły dotyczące poziomów limitów znajdziesz tutaj. Jeśli liczba żądań przekroczy limit, Miro zwróci standardowy błąd 429 Too many requests.  

Obsługiwane funkcje

Szczegółowy schemat SCIM Miro można znaleźć tutaj.

Miro obsługuje następujące funkcje obsługi administracyjnej:

  • Tworzenie nowych użytkowników
    Nowi użytkownicy przypisani do aplikacji Miro u dostawcy tożsamości zostaną utworzeni w Twojej subskrypcji Miro Enterprise jako członkowie Enterprise. Użytkownicy dodani do grupy dostawcy tożsamości, która jest synchronizowana z zespołem w Miro o tej samej nazwie, zostaną dodani do tego zespołu jako członkowie zespołu.
  • Przesyłanie aktualizacji profili użytkowników
    Szczegóły obsługiwanych atrybutów i zmian znajdziesz poniżej.
     
  • Synchronizuj i wypchnij grupy dostawcy tożsamości
    Synchronizuj swoje grupy dostawcy tożsamości i ich członków z zespołami w subskrypcji Miro Enterprise, aby automatycznie zarządzać członkostwem użytkowników. Ciągła synchronizacja będzie przesyłać konkretne aktualizacje dotyczące użytkowników z grupy dostawcy tożsamości do zsynchronizowanego zespołu w Miro, natomiast operacja push nadpisze stan zespołu, traktując grupę dostawcy tożsamości jako źródło prawdy (jeżeli administratorzy firmy dokonali ręcznych zmian po stronie Miro).
     
  • Rozdziel nazwy grup dostawcy tożsamości (IdP) i zespołów Miro
    Miro synchronizuje grupy dostawcy tożsamości (IdP) i zespoły Miro na podstawie nazwy, więc muszą mieć dokładnie taką samą nazwę. Jednak po utworzeniu początkowej synchronizacji będzie można nadać dowolnej z nich (lub obu) nazwy, które będą dla Ciebie wygodne. Przykład rozdzielenia nazw znajdziesz tutaj
  • Usuń użytkowników z grupy dostawcy tożsamości (IdP)/zespołu Miro (nie z subskrypcji Enterprise, zobacz poniżej)
    Usunięcie użytkownika z grupy dostawcy tożsamości (IdP) spowoduje usunięcie tego użytkownika z zsynchronizowanego zespołu Miro (przy następnym Group Push)
  • Dezaktywacja użytkowników
    Dezaktywacja lub usunięcie użytkownika albo wyłączenie jego dostępu do aplikacji u dostawcy tożsamości spowoduje dezaktywację użytkownika w abonamencie Miro Enterprise. W zależności od okoliczności dezaktywacja użytkownika może spowodować przypisanie jego zawartości do najdłużej pełniących funkcję administratorów zespołu:
    - jeśli dezaktywujesz użytkownika u dostawcy tożsamości— jeśli dezaktywujesz dostęp, ale pozostawisz ich przypisanych do aplikacji Miro, ich członkostwo w zespole po stronie Miro nie ulega zmianie, a ich zawartość nie jest przekazywana - są po prostu przenoszeni ze stanu Aktywnego do stanu Dezaktywowanego (oraz w odpowiedniej sekcji użytkowników) i przestają zajmować licencję.
    - jeśli dezaktywacja nastąpi przez usunięcie użytkownika u dostawcy tożsamości lub odebranie mu przypisania do aplikacji Miro, gdy użytkownik jest członkiem niektórych zsynchronizowanych zespołów, to użytkownik zostanie dodatkowo usunięty z tych zespołów Miro, a ich zawartość w tych zespołach zostanie przypisana najstarszym administratorom tych zespołów. 
    - jeśli spowodujesz dezaktywację przez usunięcie użytkownika u dostawcy tożsamości lub odłączenie użytkownika od aplikacji Miro, gdy użytkownik nie należy do żadnych zsynchronizowanych zespołów, członkostwo w zespołach nie ulegnie zmianie, a zawartość nie zostanie ponownie przypisana. 
    Usunięcie użytkownika z subskrypcji Enterprise nie jest obsługiwane domyślnie.Możesz jednak ręcznie dodać funkcjonalność za pomocą API aby całkowicie usunąć użytkownika z subskrypcji zamiast ustawiać jego stan na Dezaktywowany. W takim przypadku zawartość zostanie przekazana odpowiednim członkom zespołu. Nie można określić, którym administratorom zostanie przypisana własność automatycznie przekazanej zawartości. Można to jednak ustawić, gdy ręcznie dezaktywujesz użytkownika w ustawieniach Miro.
  • Reaktywacja użytkowników
    Przypisanie użytkownika ponownie do aplikacji lub reaktywowanie jego profilu u dostawcy tożsamości (IdP) spowoduje jego przywrócenie w subskrypcji Miro Enterprise, jeśli wcześniej został utworzony i dezaktywowany.
  • Automatyczne przypisywanie do grup rozliczeniowych 
    Automatycznie przypisuj nowych użytkowników do grup rozliczeniowych za pomocą SCIM. Po skonfigurowaniu dostawcy tożsamości (IdP) powiąż centra kosztów z grupami rozliczeniowymi. Dzięki temu każdy obecny i przyszły użytkownik z tych centrów kosztów zostanie automatycznie przypisany do właściwej kategorii rozliczeniowej.

Możesz także usunąć użytkowników z abonamentu Enterprise, wysyłając bezpośrednie wywołanie API Delete - zobacz dokumentację tutaj. Pamiętaj, że tylko bezpośrednie wywołania usuną użytkowników. Zdarzenia Delete zainicjowane przez Twoje rozwiązanie tożsamości będą traktowane jako żądanie Dezaktywacji

Obsługiwane atrybuty

⚠️ Uwaga:
- E-mail / parametr podstawowy / unikatowy identyfikator / nazwa użytkownika) to jedyna wartość wymagana przez Miro i musi mieć formę adresu e-mail.
- aktualizacja adresu e-mail jest możliwa tylko dla już zsynchronizowanych użytkowników. Innymi słowy, pierwsza synchronizacja musi nastąpić, gdy ich adres e-mail w IdP i w Miro jest taki sam, w przeciwnym razie Miro nie rozpozna użytkownika i zostanie utworzony duplikat profilu Miro pod nowym adresem e-mail.
- aktualizacja adresu e-mail musi zostać dokonana w profilu użytkownika w IdP, a nie na liście przypisań.
- W odróżnieniu od innych atrybutów, aktualizacja e-maila użytkownika spowoduje wysłanie powiadomienia: zarówno stary, jak i nowy adres e-mail otrzymają wiadomość informującą, że od teraz należy używać nowego adresu e-mail do logowania do Miro.

    Nazwa atrybutu
    Atrybut SCIM (Claim)

    E-mail

     Nazwa użytkownika. 
      Musi być podany i mieć format adresu e-mail
Poniżej wymienione atrybuty nie są obowiązkowe i zostaną zaakceptowane przez Miro, jeśli będą obecne (inne atrybuty przesłane do Miro zostaną zignorowane). 

    Pełne imię i nazwisko

    displayName;

    formatted;

    givenName + " " + familyName;

    userName

    Typ użytkownika

     userType
      obsługiwana wartość: "Full"

    Aktywny

     active
      obsługiwana wartość: "true" lub "false"

    Zdjęcie profilowe

    photos.^[type=='photo'].value lub
    photos.^[type==photo].value (Okta)
    photos[type eq "photo"].value (Entra)

      Musi to być tekstowy URL do obrazu.

      Obsługiwane typy plików: jpg, jpeg, bmp, png, gif


      Aby określić typ pliku, adres URL powinien zawierać rozszerzenie pliku        (np. https://host.com/avatar_user1.jpg) lub żądanie do tego adresu URL powinno zwrócić wraz z zawartością pliku nagłówek Content-Type (np. Content-Type = 'image/jpeg')


      Maksymalny rozmiar pliku do pobrania wynosi: 31457280 bajtów

 

    Rola użytkownika 

    roles.^[primary==true].value (Okta)

    roles[primary eq "True"].value (Entra)

      obsługiwane wartości: 
ORGANIZATION_INTERNAL_ADMIN
ORGANIZATION_INTERNAL_USER

    Numer pracownika

     employeeNumber

    Centrum kosztów

     costCenter
    Organizacja     organization
    Dywizja     division
    Dział     department

    Imię i nazwisko przełożonego

     manager.displayName

    Identyfikator managera

    manager.value 

      Pole "value" ma typ String w standardzie SCIM, ale
      wewnętrzne pole managerId w Miro ma typ Long. Jeśli
      atrybut "value" nie jest wartością liczbową, ignorujemy go

⚠️ Zmiany hasła nie są obsługiwane i nie planujemy ich obsługi w najbliższym czasie.
⚠️ Username, UserType i roles.value nie mogą być aktualizowane dla użytkowników dezaktywowanych

Wszystkie atrybuty będą widoczne na wyeksportowanej liście użytkowników w formacie CSV, którą możesz pobrać z sekcji Aktywni użytkownicy.

download_as_CSV_in_company_settings.jpg
Opcja pobrania listy użytkowników

mceclip3.png

Konfiguracja SCIM

Krok 1: Włącz opcję SCIM w Miro

Aby włączyć SCIM dla abonamentu Enterprise w Miro, przejdź do Company ustawień > Enterprise integrations, włącz funkcję SCIM Provisioning. Tam możesz pobrać Base URL i API Token do skonfigurowania dostawcy tożsamości (IdP).

Krok 2: Skonfiguruj dostawcę tożsamości

Konfiguracja zależy od używanego dostawcy tożsamości. Miro obsługuje wstępnie skonfigurowane Okta i Entra ID, jednak możesz użyć dowolnego dostawcy tożsamości, o ile pozwala on na skonfigurowanie SCIM.

OKTA - zobacz instrukcję konfiguracji tutaj.

Entra ID - zobacz instrukcję konfiguracji tutaj. 

Generuj nowy token 

1. Przejdź do Ustawienia firmy > Integracje Enterprise.

2. W sekcji SCIM Provisioning kliknij Generuj nowy token

2. W oknie Wygeneruj nowy token SCIM kliknij Generuj

3. Po wygenerowaniu nowego tokenu musisz skonfigurować go u swojego dostawcy tożsamości

Możliwe problemy i ich rozwiązania

1. Użytkownicy nie są automatycznie dodawani z powodu błędu na liście dozwolonych.

Upewnij się, że adres domeny użytkownika jest dodany do Twojej listy dozwolonych w Ustawieniach zabezpieczeń

2. Jeśli uwierzytelniasz swoich użytkowników końcowych za pomocą jednego dostawcy tożsamości (IDP1), ale chcesz włączyć SCIM przy użyciu innego (IDP2), jest to możliwe pod dwoma warunkami:

  1. IDP2 może wykonywać wywołania API przy użyciu tokenu typu Bearer.
  2. oba dostawcy tożsamości są zsynchronizowani (więc użytkownicy provisionowani przez SCIM istnieją również w IDP1 i mogą się w związku z tym uwierzytelniać w Miro). 
Więcej informacji o błędach SCIM znajdziesz w naszej dokumentacji. Jeśli problem będzie się utrzymywał, możesz skontaktować się z zespołem pomocy Miro.
Czy ten artykuł był pomocny?
Tak, dziękuję Nie bardzo
Przykro nam... Dlaczego artykuł nie był pomocny?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Wróć do początku

Powiązane artykuły