Disponível para: plano EnterpriseConfigurado por:
admin no nível da empresa
⚠️ O guia fornece etapas para configurar a funcionalidade. Para obter a funcionalidade disponível, as regras que a Miro SCIM segue e os possíveis problemas e como resolvê-los, veja primeiro aqui.A documentação para desenvolvedores da Miro
para o SCIM pode ser encontrada aqui.
Um guia de provisionamento detalhado para clientes que utilizam o Programa de licenças flexíveis pode ser encontrado aqui.
Pré-requisitos
A API do SCIM da Miro é usada por parceiros de SSO para ajudar a provisionar, gerenciar usuários e times (grupos). O SSO baseado em Logon único deve estar configurado corretamente e funcionar no seu plano Enterprise da Miro antes de começar a configurar o provisionamento automatizado. As instruções sobre como configurar o Logon único podem ser encontradas aqui.
Seus grupos de segurança e os times da Miro já devem ser criados e nomeados da mesma maneira.
Como configurar o provisionamento
Depois que o aplicativo for criado durante a configuração de SSO, você verá suas configurações:Configurações do aplicativo da Miro
- Escolha o item Provisionamento no painel esquerdo e altere Modo de provisionamento de Manual para Automático:
- Fornecer credenciais de
admin:a) Use https://miro.com/api/v1/scim/ como URL do locatáriob)
Forneça o token secreto. Você pode obtê-lo na seção SSO das suas configurações da Miro por
exemplo:c) Clique em botão Conexão de teste logo abaixo da caixa de edição da chave
secreta.Se a conexão passar do teste, você receberá a seguinte notificação:Notificação de teste de conexão bem-sucedidaSe
não houver confirmação, verifique duas vezes o URL do locatário e certifique-se de que ele não esteja bloqueado por firewalls e outros interceptores de tráfego dentro da sua rede, bem como certifique-se de que o to da API esteja correto. - Salvar a configuração:Como salvar a configuração
Mapeamentos
A API do SCIM da Miro faz uso de uma parte dos metadados do Azure AD anexa a usuários e grupos. Esta seção explica os mapeamentos necessários entre a API SCIM da Miro e os atributos do Azure AD.
Usuários
- Escolha a guia Provisionamento no lado esquerdo e clique em Sincronizar usuários do Active Directory do Azure para a Miro:Como habilitar a sincronização
- Espera-se que os mapeamentos padrão sejam suficientes. No entanto, verifique duas vezes se a sincronização está habilitada para os usuários e todos os métodos necessários (Criar, Atualizar, Excluir) estão ON:Mapeamento de atributos
Observe que a Miro reconhecerá os usuários do Azure somente pelos seus UPNs para o fluxo iniciado pelo SP.
Para adicionar um dos atributos compatíveis, clique na opção Mostrar opções avançadas e selecione Editar lista de atributos para a Miro:
Opções avançadas
Em seguida, digite o nome do atributo que você deseja mapear e salve-o. Consulte a nossa documentação do SCIM para ver a lista completa de atributos compatíveis.
Atributos do usuário da Miro
Agora você pode escolher a opção Adicionar novo mapeamento e selecionar o novo atributo que acabamos de adicionar:
Observe que, para poder mapear um novo atributo, você deve habilitar esta opção acessando o Azure com o seguinte URL:
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
Para mais informações sobre como adicionar novos atributos, visite a documentação da Microsoft aqui e aqui.
⚠️ O atributo ProfilePicture não é compatível com o Azure. Você pode solicitar esta funcionalidade para promover seu desenvolvimento em voz do usuário.
Grupos
- Escolha a guia Provisionamento do lado esquerdo e clique em Sincronizar grupos do Active Directory do Azure para a Miro.
- Espera-se que os mapeamentos padrão sejam suficientes. Verifique se a sincronização está habilitada para grupos e desmarque os métodos Criar e Excluir — observe que a API do SCIM da Miro não é compatível com a criação e exclusão de times.
⚠️ Recomendamos fortemente desmarcar os métodos para evitar alterações não planejadas quando começamos a oferecer suporte aos métodos.
- Clique em Salvar.
Assinaturas de usuário e grupo
O provisionamento do SCIM da Miro pode ajudar você a provisionar e desprovisionar usuários na sua assinatura Enterprise, bem como a distribuí-los automaticamente entre os times. Os usuários ou grupos do Azure Active Directory devem ser atribuídos ao aplicativo SCIM Provisioner da Miro para serem gerenciados automaticamente na Miro. Para atribuir usuários e grupos ao aplicativo, siga as etapas abaixo.
Recomendamos provisionar usuários de usuários por meio de grupos de atribuição. Nesse caso, quando o usuário for removido de todos os grupos atribuídos no Azure AD, o mesmo usuário será removido de todos os times na Miro (observe que ele ainda permanecerá membro da assinatura Enterprise). Para desativar um usuário no seu plano Enterprise, desative-o no Azure AD, que enviará uma solicitação correspondente para a Miro. Para excluir um usuário da Miro, use a página Usuários ativos na Miro.
- Escolha a guia Provisionamento no lado esquerdo. Na seção Configurações, certifique-se de que o escopo esteja definido como o que você espera que seja sincronizado com a Miro. Escolha "Sincronizar somente usuários e grupos atribuídos".
- Escolha as guias Usuário e grupos no painel esquerdo e clique em Adicionar usuário:usuário
e grupos - Na tela Adicionar atribuição , escolha guia Usuários e grupos e selecione usuários e grupos da lista. NOTA: a API do SCIM da Miro não cria novos times na Miro. Veja a lista de funcionalidades do SCIM aqui.
- Clique em Selecionar, em seguida Botões de Assign.
- Os usuários e grupos assinados aparecerão na lista.
Como habilitar e desabilitar o provisionamento
Quando a configuração inicial estiver concluída, alterne Status de provisionamento para habilitar o provisionamento.
- Escolha a guia Provisionamento no lado esquerdo.
- Clique em opção na opção Status de provisionamento.Status de provisionamento
- Pressione Salvar. Isso iniciará o provisionamento inicial, que pode levar algum tempo. Volte em cerca de 20 minutos e verifique o status na parte inferior da página.
Sempre que necessário, escolha a opção Desabilitar para desabilitar o provisionamento. Observe que o Azure atualiza os dados intermitentemente, portanto, se você precisar de uma atualização urgente, Parar o provisionamento e depois Iniciar novamente. O Resync será imediato e também levará as atualizações.
Como desacoplar grupos e times
Para habilitar o SCIM e sincronizar seus grupos com os times da Miro, eles devem ser nomeados da mesma forma, porque a Miro realiza a sincronização com base no valor do nome. No entanto, se você precisar ter um nome diferente para eles, pode alterar os nomes de qualquer um deles após a sincronização. Veja o exemplo abaixo.
O resultado planejado: no Azure há um grupo chamado sfo_hq_eng_support, enquanto na Miro há um time chamado Suporte de engenharia e a sincronização é realizada entre os dois.
Rode o comando ondulação para listar todos os grupos de segurança (não se esqueça de substituir os espaços reservados pelos seus valores exclusivos):
ondulado
\-H "Accept: application/json"
\-H "Content-Type: application/json"
\-H "Authorization: Bearer SCIM_API_TOKEN"
\-X GET https://miro.com/api/v1/scim/Groups
Resposta da amostra:
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:Group"
],
"id": "3074457345618261605",
"displayName": "YourMiroTeamName",
"members": [],
"meta": {
"resourceType": "Group",
"location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
}
]}
Neste momento na Miro existe o time da Miro chamado Suporte de engenharia e o grupo de segurança da Miro Suporte de engenharia (com id 3074457345618261605). Eles são mapeados 1:1.
O objetivo agora é modificar o nome do suporte de engenharia do grupo de segurança para sfo_hq_eng_support, mantendo o nome do time inalterado. Para conseguir isso, corra o comando de ondulação:
ondulação
\-H "Accept: application/json"
\-H "Content-Type: application/json"
\-H "Authorization: Bearer SCIM_API_TOKEN"
\-X PATCH https://miro.com/api/v1/scim/Groups/30744570018261605
\-d '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operações": [
{
"op": "Replace",
"path": "displayName",
"value": "YourSegurançaGroupName"
}
]}'
Esta alteração será exibida imediatamente na página dos times da empresa da Miro.
O Azure realiza a sincronização em segundo plano a cada 40 minutos. Na próxima sincronização, o Azure verá o grupo de segurança sfo_hq_eng_support na Miro e o associará automaticamente ao respectivo grupo no Azure.
Neste ponto, você conectou seu grupo de segurança a um dos seus times da Miro e fez com que eles fossem nomeados de forma diferente.
Possíveis problemas e como resolvê-los
Problemas com a alteração de e-mails do usuário
Se você atualizou alguns dos e-mails dos usuários, mas não vir a alteração no lado da Miro, veja que o atributo esperado é atualizado. Este problema geralmente pode surgir se você usar e-mails[tipo de eq "trabalho"].
emails[type eq "work"] o atributo é um padrão no Azure, portanto, a Miro oferece suporte, mas apenas porque é somente leitura e é gerado dinamicamente a partir do nome de usuário.
Ao ler os usuários, retornamos:
Como os e-mails[tipo de eq "trabalho"] são somente leitura do nosso lado, a Miro ignorará quaisquer tentativas de modificá-la. Isso ocorre porque na Miro um e-mail do usuário é o ID primário do usuário; é por isso que reconhecemos os usuários, portanto, não oferecemos suporte a e-mails extras. Mas a estrutura do SCIM requer um array de e-mail, portanto, oferecemos suporte à sua existência.
Para modificar os e-mails do usuário, a atualização deve ser enviada para Nome de usuário, não para os e-mails[tipo de eq "trabalho"].
Falha ao atualizar o erro do usuário
Os logs do Azure mostram o status com falha com:
Motivo do status — "Falha ao atualizar o usuário: os e-mails de atributos não têm um valor multi-valor ou complexo"ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatível