Configurando o provisionamento automatizado com OKTA

Disponível para: plano Enterprise
Configurado por: admin de nível empresarial
 

⚠️ O guia fornece etapas para configurar o recurso. Para funcionalidades disponíveis, regras que o Miro SCIM segue e possíveis problemas e como resolvê-los, consulte primeiro aqui.
A documentação do desenvolvedor do Miro para SCIM pode ser encontrada aqui.

Leia nosso guia detalhado de provisionamento para clientes que utilizam o Programa de licenças flexíveis. 

Pré-requisitos

O SSO baseado em SAML deve ser configurado corretamente e estar funcional no seu plano Miro Enterprise antes de você começar a configurar o provisionamento automatizado. As instruções sobre como configurar o SSO podem ser encontradas aqui. 

Ao chamar a API do SCIM, você precisará fornecer um token de API. Habilite a opção SCIM nas configurações Integrações Enterprise > SSO > SCIM para ver o token.

Antes de sincronizar, consulte Importante saber e Regras sob as quais o Miro opera para evitar erros durante a conexão. 

Configuração

1. Na página de configurações do aplicativo, alterne paraoProvisionamento aba. Então clique Configurar integração de API:
   
   Guia de provisionamento no aplicativo da Miro pré-configurado
   
   
2. Marque a caixa de seleçãoHabilitar integração de APIe forneçaa URL base(https://miro.com/api/v1/scim/) e seutoken de APIexclusivo (disponível na seção Segurança das configurações do Miro ) nos respectivos campos. Depois disso, clique em Testar credenciais da API.
   Se a conexão passar no teste, você receberá a notificação dizendo "O Miro foi verificado com sucesso": 
   
   Guia Provisionamento, seção integração
   Se não houver confirmação, verifique novamente aURL basehttps://miro.com/api/v1/scim/e certifique-se de que ela não esteja bloqueada por firewalls e quaisquer outros interceptadores de tráfego dentro da sua rede, bem como certifique-se de que otoken da APIesteja correto.
3. Salve a configuração.

Para mapeamentos de aplicativos

A API Miro SCIM usa uma parte dos metadados que o OKTA anexa a usuários e grupos. Esta seção explica os mapeamentos necessários entre os atributos da API Miro SCIM e do OKTA.

1. Na página de configurações do aplicativo, alterne para a guia Provisionamento > Para aplicativo . Clique em Editar e ative as caixas de seleção ao lado das seções Criar usuários, Atualizar atributos do usuário e Desativar usuários .
   
   Para a guia Aplicativo no aplicativo da Miro pré-configurado
   

Role para baixo e verifique se o Nome de usuário está definido como Configurado nas Configurações de login: 

Guia de mapeamentos de atributos no aplicativo da Miro pré-configurado

Para adicionar um dos atributos suportados, clique na opção Ir para o Editor de Perfile selecione Adicionar Atributo:

A lista de atributos ativos no editor de perfil

Visite nossa documentação do SCIM para ver a lista completa de atributos suportados.

Atribuições e grupos de push

O provisionamento do Miro SCIM pode ajudar você a provisionar usuários para seu plano Miro Enterprise , bem como distribuí-los automaticamente entre times e desativá-los, se necessário. 

⚠️ Os grupos do OKTA devem ser atribuídos ao aplicativo Miro (mesmo que o grupo contenha os usuários que já foram atribuídos diretamente como Usuários)e também devem ser adicionados aos Grupos Push do aplicativo. 

1) Use a guia Atribuições para atribuir grupos ao aplicativo Miro . Todos os usuários atribuídos poderão se autenticar via Miro SSO neste momento, mas não serão colocados em nenhuma times Miro . 

2) Depois disso, configure os Grupos Push para sincronizar seus grupos Okta com suas times Miro . 

• Selecione a aba Push Groupsna página de configurações do aplicativo e clique em Atualizar grupos de aplicativos:
  
  Grupos de push no aplicativo da Miro pré-configurado 
  
  Isso permitirá que o Okta saiba quais times existem na sua assinatura da Miro para poder sincronizá-las posteriormente. Pode levar alguns minutos para baixar a lista de times , dependendo do número delas.
• Clique em Grupos Push > Encontrar grupos por nome:Configurando grupos enviados
  
  Digite o nome de um grupo OKTA em uma caixa de pesquisa rápida e escolha-o na lista de sugestões automáticas. O OKTA mostrará o grupo que tem uma partida com o respectivo time do Miro (de acordo com a lista baixada anteriormente).Vinculando grupos OKTA e times Miro
  
  Se o OKTA mostrar a opção de vincular manualmente o grupo, certifique-se de que a time Miro com o nome do grupo exista no lado do Miro . É melhor clicar em Atualizar grupos de aplicativos novamente para que o sistema sincronize as entidades e, em seguida, tentar pesquisar novamente pelo nome do grupo. 
• Se você já tiver alguns usuários adicionados ao seu plano Miro Enterprise diretamente, em vez de serem provisionados pelo Okta, vá para a guia Importar e clique em Importar agora. Isso importará as informações sobre seus usuários existentes do Miro para o Okta. A partir daí você pode escolher como processar os usuários importados:
  
  Como resultado, você garantirá que não haja usuários incompatíveis entre os sistemas e, portanto, incapazes de efetuar login após habilitar o SSO.
• Salveas alterações e pronto! Será exibida a lista dos grupos que agora foram enviados ao Miro e o status da sincronização, que deve ser Ativo (em verde). Neste ponto, todos os usuários dos grupos escolhidos serão colocados na respectiva time Miro e terão acesso aos boards compartilhados com a time. Eles serão então atualizados continuamente.

Possíveis problemas e como resolvê-los

1. Os usuários não são enviados para o Miro.
   Verifique se o grupo enviado no Okta está corretamente atribuído ao aplicativo. Observe que o status ativo do Okta na sincronização do Grupo Push pode, às vezes, apresentar falhas. Para resolver erros de sincronização, tente desatribuir o grupo, removê-lo dos Grupos de Push e, em seguida, recriar a conexão de sincronização atribuindo o grupo novamente e adicionando-o aos Grupos de Push novamente. Mesmo que a configuração não tenha sido alterada, o processo de recriação da conexão de sincronização pode ser necessário para resolver os problemas.
2. Os usuários não estão sendo excluídos.
   Observe que os processos SCIM não incluem exclusãode usuário . Para remover o acesso de um usuário, desativá-lo no OKTA ou desatribuir um usuário do aplicativo no lado do Okta, o que enviará uma solicitação correspondente ao Miro e definirá o usuário para o status Desativado. Consulte nosso guia sobre como excluir um usuário.
3. Os dados do usuário não estão sendo atualizados.
   Observe que o atributo Nome de usuário NÃO deve ser atualizado em Aplicativo > Atribuições:
   
   O atributo de nome de usuário (assim como outros atributos) deve ser atualizado na opção Editar no perfil do usuário :
   
4. Os usuários não são provisionados devido a "Conflito". Erros relatados pelo servidor remoto: "DomainAddress não está na lista de permissões".
   
   Certifique-se de que o endereço de domínio do usuário seja permitido de acordo com sua política de compartilhamento. 
5. Depois de usar a opção Push Now, alguns dos nossos boards e projetos foram reatribuídos aos admins do time. 
   Com esta opção, o Okta inicia uma Solicitação de PATCH para substituir todos os membros da sua assinatura (ou seja, sincronizar a lista de usuários no Miro com a lista de usuário no Okta). Se ocorrer um tempo limite até que o processo seja concluído, o Miro ficará apenas com os usuários disponíveis até o tempo limite ocorrer. Já que no Miro isso resulta na remoção de usuários de suas times, os boards e projetos que eles possuíam anteriormente são reatribuídos aos respectivos admins do time.
6. O número de usuários digitalizados fornecido pela opção Importar agora não corresponde ao número de usuários que tenho na minha assinatura da Miro. 
   Observe que esse número não inclui usuários desativados e usuários que não fazem parte da equipe. Também notamos que os resultados podem ser diferentes se o Okta incluir algumas alterações recentes que ocorreram desde a última importação (por exemplo, como a alteração "1 usuário removido" mostrada na captura de tela abaixo). Para obter o número real, tente executar o comando Importar pelo menos 2 vezes. 
   

7. Meus usuários não são atualizados com alguns dados.
   Verifique se todos os atributos que você configurou, especialmente se forem personalizados, como ProfilePicture ou UserType, estão presentes e preenchidos na página de perfil do usuário:
   
   altmceclip0.png/span>

8. As alterações não são enviadas ao Miro devido ao tempo limite do Link/Push Group:
   "Falha em 14/06/2021 12:16:29PM UTC: Não é possível atualizar o grupo de aplicativos de destino do mapeamento de push de grupo <Nome do grupo>: Erro ao criar o grupo de usuário <Nome do grupo>: Tempo limite de leitura esgotado".
   

   
   Este erro de tempo limite pode aparecer ao tentar vincular grupos existentes ou enviar um novo grupo com um grande número de membros.

   Se você estiver enviando um novo grupo, verifique se a solicitação SCIM do Okta atingiu o tempo limite antes ou depois que o grupo de destino foi criado no Miro.

   Se o grupo de destino não foi criado no Miro, você pode tentar novamente a operação "Push Group":
   

   Se você estava vinculando grupos existentes ou o grupo de destino foi criado no Miro após a operação de envio inicial, você precisa restaurar o vínculo entre os grupos no Okta e no Miro. Para fazer isso, você pode tentar os seguintes passos:

   
   - Desvincular grupo enviado (marque Sair do grupo no aplicativo de destino na janela modal):
   
   
   
   
   - Clique no botão Atualizar grupos de aplicativos para permitir que o Okta extraia a lista de grupos no Miro:
   
   
   
   - Clique no botão Push Groups e selecione a opção Localizar grupos pelo nome.
   - Encontre o grupo que você está tentando promover digitando seu nome na caixa de pesquisa e selecione-o no menu suspenso. O Okta deve exibi-lo com a opção Link Group desabilitada, assim:
   
   
   
   Clique em Salvar. O Okta tentará sincronizar o grupo de destino usando solicitações PATCH /Groups SCIM.
   - Se nem todos os membros do grupo Okta foram atribuídos à respectiva time no Miro, você pode verificar a aba "Diretório → Tarefas" no Okta e tentar novamente as operações com falha: