Deutsch English (US) Español Français 日本語

Artigos nessa seção

Logon único (SSO)

Sean
  • Atualizado

Com o logon único (SSO) baseado em SAML, os usuários podem acessar a Miro por meio de um provedor de identificação (IdP) de sua escolha.

Disponível para: planos Enterprise, Business
Configurado por: Admins da empresa

Como funciona o SSO por SAML

  1. Quando um usuário da Miro tenta fazer login na Miro usando SSO, a Miro envia uma solicitação SAML (Linguagem de marcação de asserção de segurança) para o provedor de identificação (IdP)
  2. O provedor de identificação valida as credenciais do usuário e envia uma resposta de volta à Miro para confirmar a identificação do membro
  3. A Miro reconhece a resposta e concede acesso, permitindo que o membro faça login em sua conta da Miro

O que acontece após a ativação do SSO?

Como ativar o SSO pela primeira vez

Na primeira vez que você configurar o SSO, os usuários existentes podem continuar trabalhando na Miro sem interrupção. No entanto, da próxima vez que eles saírem, sua sessão expirar ou eles tentarem fazer login a partir de um novo dispositivo, eles precisarão fazer login por SSO. 

Outras opções de login serão desabilitadas para usuários, incluindo login padrão + senha, Google, Facebook, Slack, AppleID e O365.

Tempo limite da sessão ociosa

Se você tiver habilitado o tempo limite da sessão ociosa, os usuários serão desconectados automaticamente do seu perfil da Miro e precisarão autorizar por SSO novamente. 

Vários times e organizações

Se seus usuários tiverem vários times ou organizações da Miro, você pode configurá-los para usar o mesmo provedor de identificação (IdP) para autenticação.

Quem terá e quem não terá que fazer login com o SSO

O login pelo SSO é necessário para usuários ativos que fazem parte da sua assinatura Enterprise e têm um domínio listado nas configurações do SSO.

  • Os usuários que acessam a Miro a partir de domínios não adicionados nas suas configurações de SSO não precisam fazer login com o SSO e devem fazer login usando os métodos de login padrão.
  • Os usuários de um domínio verificado que não são membros da sua assinatura Enterprise da Miro não precisam fazer login por SSO.
    ⚠️ Se um usuário for membro de um time da Miro fora da sua assinatura Enterprise, ainda será solicitado que faça login por SSO. No entanto, eles poderão acessar outros times. Se você quiser impedir o acesso a outros times, recomendamos Controle de domínio.

Como gerenciar os detalhes do usuário

Os dados do usuário são atribuídos automaticamente na Miro pelo seu provedor de identificação após o sucesso do login. Alguns parâmetros como nome e senha não podem ser alterados. Outros parâmetros, como fotos do departamento e do perfil, são opcionais.  

  • Os nomes de usuário da Miro são atualizados após cada autenticação de sucesso do usuário. Para mais informações sobre como configurar os nomes de usuários da Miro, consulte as configurações avançadas de SSO. Se você precisar alterar o endereço de e-mail de um usuário, pode fazer isso apenas por meio do SCIM. Se você não usar o SCIM, entre em contato com a equipe de suporte.

Allowed-Email-Domains-Image1.pngDomínios nas configurações de SSO

💡 Para evitar um bloqueio, crie um usuário emergencial para "quebrar a barreira" com um e-mail que tenha um domínio fora do domínio listado nas configurações de SSO, como acmequebrabarreira@gmail.com. Caso contrário, você pode entrar em contato com o suporte e eles podem desabilitar o SSO para toda a organização.

Como configurar o SSO

Provedores de identificação (IdP)

Use qualquer provedor de identificação de sua escolha. Abaixo estão as plataformas do provedor de identificação mais populares:

Como configurar seu IdP

1. Vá para a seção de configuração do seu provedor de identificação e siga as instruções do provedor para configurar o logon único.

2. Adicione os seguintes metadados. Recomendamos pular quaisquer campos opcionais e deixar quaisquer valores padrão como eles estão. 

Especificações (metadados)

Protocolo SAML 2.0
Ligação  Redirecionamento HTTP para SP para IdP
Post HTTP para IdP para SP

O URL do serviço (URL iniciado pelo SP)

Também conhecido como URL de lançamento, URL de resposta, URL do serviço SSO de terceira parte confiável, URL de destino, URL de login do SSO, ponto de extremidade do provedor de identificação, etc.

 https://miro.com/sso/saml

URL de serviço ao consumidor da asserção


Também conhecido como URL de retorno de chamada permitido, URL do ACS personalizado, URL de resposta

 https://miro.com/sso/saml

ID da entidade


Também conhecido como Identificador, identificador de confiança de terceira parte confiável

 https://miro.com/
Estado de retransmissão padrão deve ser deixado vazio na sua configuração
Requisito de assinatura

Uma resposta SAML não assinada com uma asserção assinada


Uma resposta SAML assinada com uma asserção assinada
SubjectConfirmation Method "urn:oasis:names:tc:SAML:2.0:cm:bearer"

A resposta SAML do provedor de identificação deve conter certificado x509 de chave pública emitido pelo provedor de identificação.

Visualizar exemplos detalhados de SAML. Baixe o arquivo de metadados da Miro SP (XML). 
⚠️ A criptografia e o logout único não são compatíveis.

Credenciais do usuário

Quaisquer campos adicionais fora do campo abaixo não são necessários. Recomendamos pular quaisquer campos opcionais e deixar quaisquer valores padrão como eles estão. 

Atributos de credenciais do usuário necessários

NameID (é igual ao endereço de e-mail de um usuário)

Também conhecido como SAML_Subject, chave primária, nome de logon, formato de nome de usuário do aplicativo, etc.

<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

 

(Não confunda com o atributo 'EmailAddress', que geralmente é um atributo separado)

Atributos opcionais para serem enviados com a asserção

(atualizado a cada nova autenticação por SSO, usado quando presente/disponível)

mceclip0.png


Como habilitar o SSO nas suas configurações da Miro

✏️ A ativação do SSO nas suas configurações não habilita imediatamente o SSO para usuários. O login do SSO só estará disponível após seus domínios terem sido verificados. 
Plano Business Plano Enterprise
1. Vá para suas configurações da empresa > Autenticação > Logon único
2. Alternar em SSO/SAML

authentication_sso_enable.png
⚠️ Recomendamos fortemente trabalhar com duas janelas abertas: teste o procedimento de login no modo de navegação anônima enquanto você mantém as configurações abertas na janela padrão do navegador. Desta forma, você pode facilmente desligar a autorização de SSO no caso de algo estar configurado incorretamente. Se você quiser configurar uma instância de teste antes de ativar o SSO na produção, entre em contato com a equipe de suporte para assistência. 

Como habilitar o SSO nas suas configurações da Miro

Depois de alternar na funcionalidade SSO/SAML nas configurações de logon único, preencha os campos abaixo:

  1. URL de login do SAML (na maioria dos casos, ele abre a página do seu provedor de identificação, onde seus usuários finais devem inserir suas credenciais)
  2. Certificado x.509 de chave pública (emitido pelo seu provedor de identificação)
  3. Todos os domínios e subdomínios permitidos ou necessários ACME.com ou ACME.dev.com) para autenticar por meio do seu servidor SAML

sso_auth_settings.pngConfigurações de SSO da Miro

Como verificar seus domínios SSO

Configurado por: Admins da empresa

💡 Os domínios já verificados por Controle de domínio não precisam ser verificados novamente. 

Depois de inserir um nome de domínio, você precisará verificá-lo. Até que o domínio seja adicionado à lista de domínios nas configurações de SSO e depois verificado, o SSO não estará disponível para seus usuários. Se um domínio não for verificado, você verá a nota VERIFICAR E-MAIL nas suas configurações de SSO.

sso_verify_email.pngDomínio não verificado nas configurações de SSO da Miro

Requisitos para o sucesso da verificação de domínio

  • A pessoa que realiza a verificação deve ser um Admin da empresa. Se você for um Admin da empresa e quiser enviar o e-mail de verificação para alguém que não seja um Admin da empresa, eles podem encaminhar o e-mail de verificação com o link de confirmação para você para concluir o processo.
  • O endereço de e-mail usado deve ser real (capaz de receber o e-mail de verificação).
  • Domínios públicos (por exemplo, @gmail.com, @outlook.com, etc.) não são permitidos.
  • A funcionalidade SSO deve estar habilitada e o nome de domínio adicionado nas configurações de SSO.

Como verificar seus domínios

  1. Depois de adicionar um domínio, um pop-up será aberto pedindo que você insira um endereço de e-mail para verificar o domínio. Digite o endereço de e-mail usando o mesmo domínio que você adicionou nas suas configurações de SSO para provar que você representa esse domínio
  2. Clique em Enviar verificação 
  3. Você receberá o e-mail de verificação em 15 minutos
  4. Você precisará clicar no link de verificação no e-mail. Para concluir esta etapa, você deve ser um Admin da empresa
  5. Para concluir, clique no botão Salvar 
  6. Os usuários do domínio verificado agora podem fazer login com SSO

domain_confirmation_modal.jpg
Pop-up de verificação de domínio SSO

💡 Se você gerenciar vários domínios e subdomínios (os subdomínios são reconhecidos como nomes separados e exigem verificação separada), verifique primeiro pelo menos um nome de domínio e então envie uma solicitação para o time de suporte com uma lista completa dos domínios (devem ser separados por vírgula) para podermos confirmá-los de uma só vez para você. Se você tiver mais de 10 domínios, a Miro verificará eles para você. As organizações com menos de 10 domínios devem verificar por si mesmas.  Apenas três domínios podem ser verificados por organização no plano Business.

Configurações de SSO avançadas opcionais

A seção de configurações opcionais é usada por usuários avançados que estão familiarizados com a configuração de SSO. 

Sempre aplique a autenticação no IdP (versão Beta privada)

Esta configuração permite que os admins reforcem a segurança sempre que precisarem — como em espaços públicos ou ao trabalhar com informações altamente confidenciais.

Quando você ativar esta opção, o sistema que gerencia a autenticação SSO IdP ignorará quaisquer logins anteriores e permitirá o usuário fazer login novamente.

always_enforce_authentication.pngComo impor a autenticação 

Provisionamento just-in-time para novos usuários

Facilite para seus usuários começarem a usar a Miro imediatamente, sem ter que esperar por um convite ou passar por um longo processo de integração. E certifique-se de que os times gratuitos não sejam criados fora da sua assinatura gerenciada (requer controle de domínio). O SSO é necessário para habilitar o provisionamento just-in-time (JIT) de novos usuários. Todos os usuários provisionados em JIT têm a licença padrão da sua assinatura:

Tipo de assinatura Tipo de licença Comportamento quando as licenças terminam
Plano Business Licença completa Os usuários não são adicionados automaticamente; a funcionalidade JIT deixa de funcionar.
Plano Enterprise (sem programa de licenças flexíveis) Licença completa Usuários provisionados em Licença gratuita limitada
Plano Enterprise (com o programa de licenças flexíveis ativado) Licença gratuita ou licença gratuita limitada Depende das configurações de licença padrão

 

Como habilitar o provisionamento just-in-time

Quando você ativar o provisionamento just-in-time, ele se aplicará automaticamente a todos os novos usuários que se registram na Miro. No entanto, os usuários da Miro existentes ainda precisarão de um convite para participar do seu plano. 

  1. Vá para suas configurações de SSO 
  2. Marque a caixa Adicione automaticamente todos os usuários recém-registrados dos domínios listados à sua conta Enterprise
  3. Escolha um time padrão para usuários recém-registrados no menu suspenso 
  4. Clique em Salvar

Quando você lista domínios específicos nas configurações de logon único (SSO), quaisquer usuários que se registram com esses domínios serão adicionados automaticamente à sua assinatura Enterprise. Eles serão atribuídos para o time que você selecionou nas suas configurações just-in-time (JIT).

Cópia de user_provisioning_jit_provisioning.pngHabilite a funcionalidade de provisionamento just-in-time na página de integrações do Enterprise

Todos usuários recém-registrados dos domínios que você lista nas configurações serão adicionados automaticamente em seu EnterpriseGuarda-chuva para este time específico quando se inscreverem na Miro.

⚠️ No plano Enterprise, este time também será mostrado na lista de times detectáveis se você habilitar a descoberta do time.

Como definir DisplayName como o nome de usuário padrão

Por padrão, a Miro usará os atributos FirstName + LastName. Como alternativa, você pode solicitar para usar DisplayName. Neste caso, a Miro usará DisplayName quando ele estiver presente na resposta SAML do usuário. 

Se o DisplayName não estiver presente, mas FirstName + LastName estiverem, a Miro usará FirstName + LastName. Entre em contato com o suporte da Miro para tornar o DisplayName seu nome de usuário SSO preferido.

Se nenhum dos três atributos estiver presente na sua comunicação SAML, a Miro mostrará o endereço de e-mail do usuário como Nome de usuário

Como configurar Nome de usuário padrão
Nome de usuário da Miro FirstName + LastName
Configuração alternativa DisplayName (se presente na solicitação SAML do usuário)
Alternativa FirstName + LastName (se DisplayName não estiver presente)
Nome de usuário SSO preferido DisplayName (entre em contato com o suporte da Miro)
Nenhum atributo presente Endereço de e-mail exibido como Nome de usuário

Se você vir algo diferente do esperado, pode ser necessário autenticar por SSO ou é possível que a resposta SAML não contenha os valores necessários para atualizar.

Como sincronizar fotos do perfil do usuário a partir do IdP

⚠️ Geralmente é recomendado habilitar esta opção se você não habilitar o SCIM ou seu IdP não oferecer suporte ao atributo ProfilePicture (por exemplo, ProfilePicture não é compatível com o Azure). Em outros casos, é recomendado passar ProfilePicture por SCIM com atualizações imediatas.

Quando esta configuração estiver ativada:

  • a imagem do perfil definida no lado do IDP será definida como a imagem do perfil no perfil da Miro do usuário
  • os usuários não conseguirãoremover sua imagem do perfil

Como com o atributo de nome de usuário, os usuários não poderão alterar seus dados no lado da Miro imediatamente, mas a sincronização de dados não é imediata, o lado IDP envia a atualização para a Miro apenas com a próxima autenticação SSO do usuário (desde que a configuração “Sincronizar fotos do perfil do usuário do IDP” ainda esteja ativa nesse ponto).

Se a imagem do perfil estiver definida no IDP e você quiser que o atributo seja examinado na comunicação SAML, a Miro esperará o seguinte esquema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

SSO com residência de dados

Se você usar o suporte da residência de dados da Miro e tiver um URL dedicado (workspacedomain.miro.com), então você deve ajustar a configuração do seu provedor de identificação.

Para fazer isso, você precisará adicionar seu [ORGANIZATION_ID] ao URL.

Você pode encontrar seu ORGANIZATION_ID no painel da Miro clicando no seu perfil no canto superior direito > Configurações > é mostrado no URL na barra de endereços.

  Valor padrão Valor em Residência de dados
URL de serviço ao consumidor de asserção (também conhecido como URL de retorno de chamada permitido, URL do ACS personalizado, URL de resposta): https://miro.com/sso/saml https://workspace-domain.miro.com/
sso/saml/ORGANIZATION_ID
ID da Entidade (Identificador, identificador de confiança de terceira parte confiável): https://miro.com/ https://miro.com/ https://workspace-domain.miro.com/
ORGANIZATION_ID

Como configurar a autenticação multifator (2FA) para usuários fora do SSO

A autenticação de dois fatores (2FA) fornece uma camada adicional de segurança. Com a 2FA, os usuários são obrigados a concluir uma etapa extra durante o login para verificar sua identificação. Esta medida adicional garante que apenas indivíduos autorizados possam acessar sua assinatura.
Saiba mais em nosso guia de admin de autenticação de dois fatores.

Possíveis problemas e como resolvê-los

Meus endereços de domínio não são aceitos nas configurações de SSO — mensagem `DomainName está indisponível`.
Por razões de segurança, oferecemos suporte aos domínios de uma organização em um guarda-chuva da empresa apenas (assinatura Enterprise). É possível que seus domínios já estejam configurados em outro plano Business ou plano Enterprise, impedindo que você ative o SSO com o domínio desejado. Você pode querer verificá-lo com seus colegas de antemão.
Eu sigo o link no e-mail de verificação de domínio, mas a verificação não é concluída.
O link deve enviar você para página de integrações Enterprise. Se esse não for o destino, verifique se você está usando qualquer software anti-phishing que possa quebrar o fluxo. Certifique-se também de que você seja um Admin da empresa da Miro no momento em que clicar no link. Apenas Admins da empresa têm permissão para acessar as páginas de configurações. 
Precisamos alterar os endereços de e-mail de nossos usuários finais/Alteramos os e-mails de nossos usuários e agora eles não podem acessar seus boards.
Se sua empresa estiver alterando seu nome de domínio e, portanto, os endereços de e-mail dos usuários finais é necessário uma alteração de suas credenciais SSO, entre em contato com nossa equipe de suporte para assistência.
Gostaríamos de usar um gateway separado (por exemplo, MFA, como Duo Dag) para o procedimento SSO.
Você certamente pode fazer isso. A Miro oferecerá suporte à sua solução preferida enquanto ela funcionar em SAML 2.0.
Habilitamos o SSO, mas os dados dos perfis de usuário (nomes, fotos de perfil — se suportado pelo seu IdP) na Miro não são sincronizados com aqueles no IdP.
O nome de usuário da Miro e a imagem do perfil são atualizados após cada autenticação de usuário bem-sucedida se SAMLResponse contiver novos valores não vazios. Para mais informações sobre como configurar o nome de usuário da Miro, consulte as configurações avançadas de SSO opcional.

Se um ou todos os seus usuários encontrarem um erro ao tentar fazer login na Miro, verifique esta lista de erros comuns e como resolvê-los.

Was this article helpful?
Yes, thanks Not really
Sorry about that! Why wasn't the article helpful?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Voltar ao topo

Artigos relacionados