Disponível para: plano Enterprise
Função necessária: Admin da empresa
⚠️ O guia fornece etapas para configurar o recurso. Para funcionalidades disponíveis, regras que o Miro SCIM segue e possíveis problemas e como resolvê-los, consulte primeiro aqui.
A documentação do desenvolvedor do Miro para SCIM pode ser encontrada aqui.
Um guia de provisionamento detalhado para clientes que utilizam o Programa de licenças flexíveis pode ser encontrado aqui.
Pré-requisitos
A API Miro SCIM é usada por parceiros de SSO para ajudar a provisionar e gerenciar usuários e times (grupos). O SSO baseado em SAML deve ser configurado corretamente e estar funcional no seu plano Miro Enterprise antes de você começar a configurar o provisionamento automatizado. As instruções sobre como configurar o SSO podem ser encontradas aqui.
Seus grupos de segurança e times do Miro já devem estar criados e nomeados da mesma maneira.
Configurando o provisionamento
Depois que o aplicativo for criado durante a configuração do SSO , você verá suas configurações:
Configurações do aplicativo Miro
- Selecione o itemProvisionamentono painel esquerdo e altereo Modo de Provisionamentode Manual para Automático:
- Forneça credenciais de admin :
a) Use https://miro.com/api/v1/scim/ como URL do locatário
b) Forneça oToken Secreto. Você pode obtê-lo na seção SSO das configurações do Miro , assim:
c) Clique no botãoTestar conexãologo abaixo da caixa de edição Chave secreta .
Se a conexão passar no teste, você receberá a seguinte notificação:
Notificação de teste de conexão bem-sucedido
Se não houver confirmação, verifique novamente a URL do locatárioe certifique-se de que ela não esteja bloqueada por firewalls e quaisquer outros interceptadores de tráfego dentro da sua rede, além de garantir que otoken da APIesteja correto. - Salve a configuração:
Salvando a configuração
mapeamentos
A API Miro SCIM usa uma parte dos metadados que o Entra ID anexa a usuários e grupos. Esta seção explica os mapeamentos necessários entre os atributos da API Miro SCIM e do Entra ID.
Usuários
- Selecione a abaProvisionamentono lado esquerdo e clique emSincronizar usuários do Entra Active Directory com o Miro:
Habilitando a sincronização - Espera-se que os mapeamentos padrão sejam suficientes. No entanto, verifique novamente se a sincronização está habilitada para os usuários e se todos os métodos necessários (Criar, Atualizar, Excluir) estão ATIVADOS:
Mapeamento de atributos
Observe que o Miro reconhecerá os usuários do Entra apenas por seus UPNs para o fluxo iniciado pelo SP.
Para adicionar um dos atributos suportados, clique na opção Mostrar opções avançadas e selecione Editar lista de atributos para Miro:
Opções avançadas
Em seguida, insira o nome do atributo que você deseja mapear e salve-o. Consulte nossa documentação SCIM para ver a lista completa de atributos suportados.
Atributos do usuário Miro
Agora você pode escolher a opção Adicionar novo mapeamento e selecionar o novo atributo que acabamos de adicionar:
Observe que para poder mapear um novo atributo você deve habilitar esta opção acessando o Entra com a seguinte URL:
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
Para obter mais informações sobre como adicionar novos atributos, visite a documentação da Microsoftaqui e aqui.
⚠️ O atributo ProfilePicture não é suportado pelo Entra. Você pode solicitar esse recurso para promover seu desenvolvimento noUser Voice.
Grupos:
- Selecione a guiaProvisionamentoà esquerda e clique emSincronizar grupos do Entra Active Directory com o Miro.
-
Espera-se que os mapeamentos padrão sejam suficientes. Verifique se a sincronização está habilitada para grupos e desmarqueos métodosCriareExcluir- observe que a API Miro SCIM não oferece suporte à criação e exclusão de times.
⚠️ Recomendamos fortemente desmarcar os métodos para evitar alterações não planejadas quando começarmos a oferecer suporte aos métodos.
- Clique em Salvar
Atribuições de usuários e grupos
O Miro SCIM Provisioning ajuda você a provisionar e desprovisionar usuários para sua assinatura Enterprise e distribuí-los automaticamente entre as times.
Usuários ou grupos do Entra Active Directory devem ser atribuídos ao aplicativo Miro SCIM Provisioner para serem gerenciados automaticamente no Miro.
Para atribuir usuários e grupos ao aplicativo, siga as etapas abaixo.
- Selecione a abaProvisionamentoà esquerda. Na seção Configurações , certifique-se de que o escopo esteja definido como aquele que você espera que seja sincronizado com o Miro. Selecione "Sincronizar apenas usuários e grupos atribuídos".
- Selecione as guiasUsuário e gruposno painel esquerdo e clique emAdicionar usuário:
Guia de usuários e grupos - Na telaAdicionar atribuição, escolha a guiaUsuários e grupose selecione usuários e grupos na lista. OBSERVAÇÃO: A API Miro SCIM não cria novas times no Miro. Veja a lista de recursos do SCIM aqui.
- Clique emSelecionare depoisem Atribuirbotões.
- Usuários e grupos atribuídos aparecerão na lista.
Fazendo downgrade de um usuário no Entra ID
Para fazer downgrade um usuário, remova usuário do grupo Entra ID onde a função de aplicativo Completo está atribuída. Em seguida, certifique-se de que o usuário seja membro de um grupo ao qual a função de aplicativo Usuário esteja atribuída. No Miro, atualize sua licença para Free Restricted.
⚠️ Se você remover qualquer usuário de todos os grupos de ID Entra atribuídos ao aplicativo Miro , o usuário será desativado no Miro e perderá o acesso ao aplicativo Miro . Se o usuário que você está fazendo downgrade precisar continuar acessando o Miro com uma licença Free Restricted , certifique-se de que o usuário seja membro de um grupo de ID Entra ao qual a função Usuário esteja atribuída.
✏️ O downgrade de um usuário de uma licença Completa para uma Licença Restrita Free por meio do provisionamento SCIM ainda não é suportado.
Habilitando e desabilitando o provisionamento
Quando a configuração inicial estiver concluída, alterne o status de provisionamento para habilitar o provisionamento.
- Selecione a abaProvisionamentoà esquerda.
- Cliquena opção Ativarno botão de alternância status de provisionamento.
status de provisionamento - Clique em Salvar. Isso iniciará o provisionamento inicial, o que pode levar algum tempo. Volte em cerca de 20 minutos e verifique o status na parte inferior da página.
Sempre que necessário, escolha a opçãoDesligadopara desabilitar o provisionamento. Observe que o Entra atualiza os dados intermitentemente, portanto, se você precisar de uma atualização urgente, pare o provisionamento e reinicie. A ressincronização será imediata e também carregará as atualizações.
Desvinculando grupos e equipes
Para habilitar o SCIM e sincronizar seus grupos com suas times Miro, eles devem ser nomeados da mesma forma, porque o Miro realiza a sincronização com base no valor do nome. No entanto, se você precisar nomeá-los de forma diferente, poderá alterar os nomes de qualquer um deles após a sincronização ser realizada. Veja o exemplo abaixo.
O resultado planejado: no Entra há um Grupo chamado sfo_hq_eng_support enquanto no Miro há uma Team chamada Suporte de Engenharia e a sincronização é realizada entre os dois.
Execute o comando curl para listar todos os Grupos de Segurança (não se esqueça de substituir os espaços reservados pelos seus valores exclusivos):
enrolar \
-H "Aceitar: application/json" \
-H "Tipo de conteúdo: application/json" \
-H "Autorização: Portador SCIM_API_TOKEN" \
-X OBTER https://miro.com/api/v1/scim/Groups
Exemplo de resposta:
"esquemas": [
"urna:ietf:params:scim:api:mensagens:2.0:ListResponse"
"totalResultados": 1.
Recursos
"esquemas": [
"urn:ietf:params:scim:schemas:core:2.0:Grupo"
id 3074457345618261605.
displayName; "NomeDoSeuEquipeMiro",
membros
"meta": {
"Tipo de recurso": Agrupar
"localização": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
Neste momento na Miro existe a time Miro chamadaSuporte de Engenharia e o grupo Miro Security Suporte de Engenharia (com id 3074457345618261605). Eles são mapeados 1:1.
O objetivo agora é modificar o nome do Suporte de Engenharia do Grupo de Segurança para sfo_hq_eng_support , mantendo o nome da Team inalterado. Para fazer isso, execute o comando curl:
enrolar \
-H "Aceitar: application/json" \
-H "Tipo de conteúdo: application/json" \
-H "Autorização: Portador SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
D
"esquemas": [
"urna:ietf:params:scim:api:mensagens:2.0:PatchOp"
Operações
"op": substituir
"caminho": "displayName",
"valor": "NomeDoSeuGrupoDeSegurança"
Essa alteração será exibida imediatamente na página das equipes da Miro times .
O Entra executa a sincronização agendada em segundo plano a cada 40 minutos. Com a próxima sincronização, o Entra verá o Grupo de Segurança sfo_hq_eng_support no Miro e o vinculará automaticamente ao respectivo Grupo no Entra.
Neste ponto, você conectou seu Grupo de Segurança a uma de suas times Miro e deu a elas nomes diferentes.
Possíveis problemas e como resolvê-los
Problemas com a alteração de e-mails de usuário
Se você atualizou alguns e-mails dos usuários, mas não vê a alteração no Miro , veja se o atributo esperado foi atualizado. Esse problema geralmente pode surgir se você usa e-mails [digite eq "trabalho"].
O atributo emails[type eq "work"] é padrão no Entra, então o Miro o suporta - mas apenas no sentido de que é somente leitura e é gerado dinamicamente a partir de userName.
Ao ler usuários, retornamos:
Como emails[type eq "work"] é somente leitura do nosso lado, o Miro ignorará qualquer tentativa de modificá-lo. Isso ocorre porque no Miro o e-mail do usuário é o ID principal do usuário; é por isso que reconhecemos os usuários, por isso não oferecemos suporte a e-mails extras . Mas a estrutura SCIM requer uma matriz de e-mail, então apoiamos sua existência.
Para modificar os e-mails dos usuário , a atualização deve ser enviada para userName, não emails[type eq "work"].
Falha ao atualizar erro do usuário
Os logs Entra mostram o status Falha com:
Motivo do status - "Falha ao atualizar o usuário: O atributo emails não possui um valor multivalorado ou complexo"
Código de erro - SystemForCrossDomainIdentityManagementServiceIncompatível