Deutsch English (US) Español Français 日本語 한국어(대한민국) Polski (Polska)

Artigos nessa seção

Configurando a atribuição automática com Entra ID

  • Atualizado

Disponível para: Plano Enterprise
Função necessária: Admin da empresa
 

⚠️ O guia fornece etapas para configurar a funcionalidade. Para funcionalidade disponível, regras que o SCIM da Miro segue e possíveis problemas e como resolvê-los, consulte primeiro aqui.
A documentação do desenvolvedor da Miro para SCIM pode ser encontrada aqui.

Um guia detalhado de provisionamento para clientes que utilizam o Programa de licenças flexíveis pode ser encontrado aqui

Pré-requisitos

A API SCIM da Miro é utilizada por parceiros de logon único para ajudar a provisionar e gerenciar usuários e times (grupos). O SSO baseado em SAML deve estar configurado corretamente e funcional no seu plano Enterprise da Miro antes de você começar a configurar o provisionamento automatizado. As instruções sobre como configurar o SSO podem ser encontradas aqui

Seus grupos de segurança e times do Miro já devem estar criados e nomeados da mesma forma.

Configurando o Provisionamento

Uma vez que o aplicativo é criado durante a configuração do logon único, você verá suas configurações:
Miro_app_settings.jpg
Configurações do aplicativo Miro

  1. Escolha o item Provisionamento no painel à esquerda e, em seguida, altere o Modo de Provisionamento de Manual para Automático:
  2. Forneça as credenciais de admin:
    a) Use https://miro.com/api/v1/scim/ como URL do tenant
    b) Forneça o token secreto. Você pode obtê-lo na seção de logon único das configurações da Miro da seguinte forma:
    c) Clique no botão Testar Conexão logo abaixo da caixa de edição de Chave Secreta.
    Se a conexão passar no teste, você verá a seguinte notificação:
    mceclip0.png
    Notificação de teste de conexão bem-sucedido
    Se não houver confirmação, verifique novamente o URL do tenant e certifique-se de que ele não seja bloqueado por firewalls ou outros interceptores de tráfego dentro da sua rede, além de garantir que o token da API esteja correto.
  3. Salve a configuração:
    save_configuration.jpg
    Salvando a configuração

Mapeamentos

A API SCIM da Miro usa parte dos metadados que o Entra ID atribui a usuários e grupos. Esta seção explica os mapeamentos necessários entre a API SCIM da Miro e os atributos do Entra ID.

Usuários

  1. Escolha o guia Provisionamento no lado esquerdo, depois clique em Sincronizar Usuários do Entra Active Directory para a Miro:
    synchronize_users.jpg
    Ativando a sincronização
  2. O mapeamento padrão deve ser suficiente. No entanto, verifique se a sincronização está ativada para usuários e que todos os métodos necessários (Criar, Atualizar, Excluir) estão ATIVADOS:
    attribute_mapping.jpg
    Mapeamento de atributos

Observe que a Miro reconhecerá os usuários do Entra apenas pelos seus UPNs para o fluxo iniciado por SP. 

Para adicionar um dos atributos suportados, clique na opção Mostrar opções avançadas e selecione Editar lista de atributos para Miro:

attribute_mappings.jpg
Opções avançadas

Em seguida, insira o nome do atributo que deseja mapear e salve. Consulte nossa documentação SCIM para ver a lista completa de atributos suportados.

Miro_user_attrbutes.jpg
Atributos de usuário do Miro

Agora você pode escolher a opção Adicionar novo mapeamento e selecionar o novo atributo que acabamos de adicionar:

edit_attribute.jpg

Observe que, para poder mapear um novo atributo, você deve habilitar essa opção acessando o Entra com a seguinte URL:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Para obter mais informações sobre como adicionar novos atributos, visite a documentação da Microsoft aqui e aqui.

⚠️ O atributo ProfilePicture não é compatível com o Entra. Você pode solicitar essa funcionalidade para promover seu desenvolvimento em User Voice.

Grupos

  1. Escolha a guia Provisionamento à esquerda e, em seguida, clique em Sincronizar Grupos do Entra Active Directory com a Miro.

  2. Os mapeamentos padrão são considerados suficientes. Verifique se a sincronização está habilitada para grupos e desmarque os métodos Criar e Excluir - observe que a API SCIM da Miro não suporta a criação e exclusão de times.
     

    ⚠️ Recomendamos fortemente desmarcar os métodos para evitar alterações não planejadas quando começarmos a suportar os métodos. 

    mceclip0.png

  3. Clique em Salvar.

Atribuições de Usuários e Grupos

O provisionamento SCIM da Miro ajuda você a provisionar e desprovisionar usuários para sua assinatura Enterprise, e distribuí-los automaticamente entre times. 

Usuários ou grupos do Entra Active Directory devem ser atribuídos ao aplicativo de provisionador SCIM da Miro para serem geridos automaticamente na Miro. 

Para atribuir usuários e grupos ao aplicativo, siga os passos abaixo.

  1. Escolha a guia de Provisionamento à esquerda. Na seção Configurações, certifique-se de que o escopo está definido para aquele que você espera sincronizar com a Miro. Escolha "Sincronizar apenas usuários e grupos atribuídos".
  2. Escolha as guias Usuários e grupos no painel à esquerda, depois clique em Adicionar usuário:
    user_and_groups.jpg
    Guia de usuários e grupos
  3. Na tela de Adicionar atribuição, escolha a guia Usuários e grupos, depois selecione usuários e grupos da lista. NOTA: A API SCIM da Miro não cria novos times na Miro. Consulte a lista de funcionalidades SCIM aqui.
  4. Clique nos botões Selecionar e depois em Atribuir.
  5. Os usuários e grupos atribuídos aparecerão na lista.

✏️ Remover a atribuição de grupos no Entra ID não remove usuários do time sincronizado no Miro e não os desativa. Para desprovisionar usuários com sucesso, remova-os de todos os grupos do Entra ID conectados ao Miro.

Fazer downgrade de um usuário

Para fazer downgrade de um usuário, siga estas etapas:

  1. No Entra ID, siga estas etapas:
    1. Remova o usuário do grupo onde a função de aplicativo Completa está atribuída.
    2. Certifique-se de que o usuário seja membro de outro grupo onde a função de Usuário está atribuída.
  2. No Miro, atualize a licença deles para Restrito Gratuito.

⚠️ Se você remover qualquer usuário de todos os grupos do Entra ID atribuídos ao aplicativo Miro, então o usuário será desativado no Miro e perderá o acesso ao aplicativo Miro. Se o usuário que você está fazendo downgrade precisar continuar a acessar o Miro com uma licença Restrito Gratuito, certifique-se de que o usuário seja membro de um grupo do Entra ID onde a função de Usuário está atribuída.

✏️ Fazer downgrade de um usuário de uma licença Full para Free Restricted via provisionamento SCIM ainda não é suportado.

Habilitar e desabilitar provisionamento

Quando a configuração inicial for concluída, mude o toggle de Status de Provisionamento para ativar o provisionamento.

  1. Escolha a guia Provisionamento à esquerda.
  2. Clique na opção On no botão de alternância do Status de Provisionamento.
    provisioning_status.jpg
    Status de provisionamento
  3. Aperte Salvar. Isso iniciará o provisionamento inicial, que pode levar algum tempo. Volte em cerca de 20 minutos e verifique na parte inferior da página o status.

Sempre que necessário, escolha a opção Off para desabilitar o provisionamento. Note que a Entra atualiza os dados de forma intermitente, então, se precisar de uma atualização urgente, pare o provisionamento e comece novamente. A resincronização será imediata e também carregará as atualizações.

Desacoplando Grupos e Times

Para ativar SCIM e sincronizar seus grupos com seus times da Miro, eles devem ter o mesmo nome, pois a Miro realiza a sincronização com base no valor do nome. No entanto, se precisar nomeá-los de forma diferente, você pode alterar os nomes de qualquer um deles após a sincronização ser realizada. Veja o exemplo abaixo.

O resultado planejado: no Entra, existe um Grupo chamado sfo_hq_eng_support enquanto na Miro, existe um Time chamado Engineering Support e a sincronização é realizada entre os dois.

Execute o comando curl para listar todos os Grupos de Segurança (não se esqueça de substituir os valores de espaço reservado pelos seus valores únicos):

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Resposta de exemplo:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Recursos": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

Atualmente, na Miro, existe o time Miro chamado Engineering Support e o grupo de segurança da Miro Engineering Support (com id 3074457345618261605). Eles estão mapeados 1:1.

O objetivo agora é modificar o nome do Grupo de Segurança Engineering Support para sfo_hq_eng_support, enquanto mantém o nome do time inalterado. Para conseguir isso, execute o comando curl:

curl 
-H "Accept: application/json" 
-H "Content-Type: application/json" 
-H "Authorization: Bearer SCIM_API_TOKEN" 
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Essa alteração será imediatamente exibida na página times da empresa da Miro.

mceclip0.png

O Entra executa a sincronização agendada em segundo plano a cada 40 minutos. Com a próxima sincronização, o Entra verá o Grupo de Segurança sfo_hq_eng_support no Miro e irá vinculá-lo automaticamente ao respectivo Grupo no Entra.

Neste ponto, você conectou seu Grupo de Segurança a um de seus times do Miro e os nomeou diferentemente.

Possíveis problemas e como resolvê-los

Problemas ao alterar e-mails de usuários

Se você atualizou alguns e-mails de usuários, mas não vê a mudança no lado do Miro, verifique se o atributo esperado foi atualizado. Esse problema pode geralmente surgir se você usa e-mails[type eq "work"].

O atributo e-mails[type eq "work"] é um padrão no Entra, então o Miro o suporta - mas apenas no sentido de que é somente leitura e é gerado dinamicamente a partir de userName.
Ao ler os usuários, retornamos:

mceclip1.pngComo emails[type eq "work"] é apenas para leitura do nosso lado, a Miro ignorará qualquer tentativa de modificá-lo. Isso ocorre porque, na Miro, o e-mail de um usuário é o ID principal do usuário; é assim que reconhecemos os usuários, portanto, não oferecemos suporte a e-mails extras. Mas a estrutura SCIM requer um array de e-mails, então apoiamos sua existência. 

Para modificar e-mails de usuários, a atualização deve ser enviada para userName, e não para emails[type eq "work"]

mceclip0.png

Erro ao falhar na atualização do usuário

Os logs do Entra mostram status Falha com:

Motivo do Status - "Falha ao atualizar usuário: o atributo e-mails não possui um valor multivalorado ou complexo"
Código de Erro - SystemForCrossDomainIdentityManagementServiceIncompatible

Este artigo foi útil?
Sim, eu agradeço Não muito
Ah, que pena! Pedimos desculpas. Por que o artigo não foi útil?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Voltar ao topo

Artigos relacionados