O sistema para gerenciamento de identidade entre domínios (SCIM) permite automatizar o provisionamento e o gerenciamento de usuários entre a Miro e seu provedor de identidade (IdP).
Disponível para: Enterprise plano
Configurado por: Admins da empresa
Importante saber
-
O logon único baseado em SAML deve estar configurado corretamente e em funcionamento no seu plano Enterprise antes de você começar a configurar o provisionamento automatizado.
Veja o guia para configurar o logon único por SAML. -
Sincronizar grupos do IdP com times na Miro é opcional.
Você pode vincular e sincronizar opcionalmente seus grupos do IdP com times na Miro. Não é possível criar ou excluir times usando o IdP. Você pode criar e gerenciar times usando a Teams API. Para mais informações sobre como a SCIM API permite gerenciar grupos do IdP, consulte a Documentação para desenvolvedores da Miro. -
As alterações de endereço de e-mail no SCIM incluem as seguintes regras de validação:
- Verificação de usuário gerenciado: Se o domínio atual do usuário não for reivindicado pela organização que iniciou a solicitação SCIM, a atualização do e-mail é bloqueada e retorna um erro 400.
- Verificação do domínio de e-mail de destino: Se o domínio de e-mail de destino estiver reivindicado por uma organização diferente daquela que iniciou a solicitação SCIM, a atualização do e-mail é bloqueada e retorna um erro 400. Se o domínio de e-mail de destino estiver reivindicado pela organização que iniciou a solicitação SCIM, a atualização do e-mail é permitida sem exigir confirmação por e-mail. Os logs de auditoria registram a atualização em cada organização da qual o usuário é membro.
-
Controle de domínio e logon único: Atualizações de e-mail são permitidas com base na verificação de domínio por meio do Controle de domínio (IDC) ou do logon único (SSO). Se o domínio de e-mail de destino for verificado por CD ou SSO pela organização que inicia a solicitação, a atualização pode prosseguir.
Um diagrama do fluxo de trabalho de validação de alteração de e-mail do SCIM
Regras sob as quais o SCIM da Miro opera
- As alterações sincronizadas pelo SCIM são aplicadas principalmente a usuários recém-atribuídos. O status daqueles que já estão sob sua assinatura será complementado, mas não poderá ser substituído, pois as alterações são aplicadas no nível do grupo ou time. Por exemplo:
a) se um usuário for membro do Time1 no lado da Miro e seu IdP enviar uma atualização para adicioná-lo ao Time2, seu status no Time1 permanecerá inalterado.
b) se o seu IdP enviar uma atualização contendo alterações no Usuário1, os outros membros do time não serão afetados. Conforme mencionado em Funcionalidades suportadas > Sincronizar e enviar grupos para substituir o status do time e sincronizar novamente todos os usuários de uma só vez, tente iniciar um novo push.
- Todos os usuários provisionados via SCIM recebem a licença padrão da sua assinatura:
a) Para assinaturas Enterprise sem o Programa de licenças flexíveis: uma licença completa. Se sua assinatura ficar sem licenças, os usuários começarão a ser provisionados com a licença gratuita limitada.
b) Para assinaturas Enterprise com Programa de licenças flexíveis ativado: Free ou licença gratuita limitada dependendo da licença padrão da sua assinatura.
- Se precisar que alguns usuários sejam provisionados com uma licença diferente da padrão:
Conforme declarado acima, todos os usuários recebem a licença padrão. No entanto, você pode atualizar imediatamente todos ou alguns deles usando o UserType com valor Full. Os usuários atualizados com esse atributo terão a licença completa sem tempo de inatividade para o usuário. - Todos os usuários provisionados via SCIM também são afetados pela funcionalidade Controle de domínio. Isso significa que, se um usuário for membro de apenas um grupo de segurança no seu provedor de identidade, mas suas configurações de Controle de domínio definirem 3 times como designados, o usuário também será adicionado a esses 3 times.
-
Para proteger o serviço, a Miro limita o número de chamadas de API disponíveis a cada 30 segundos:
Tipo de solicitaçãoNível de limiteGET scim/users
GET scim/users/{userId}
Primeiro limite de taxa nível 1 POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Terceiro limite de taxa nível 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Quarto limite de taxa Nível 4 GET scim/Groups/{groupId}
Terceiro limite de taxa Nível 4
Para detalhes sobre os níveis de limite, consulte aqui. Se o número de solicitações exceder o limite, a Miro retornará o erro padrão 429 Too many requests.
Funcionalidades suportadas
O esquema SCIM detalhado da Miro pode ser encontrado aqui.
A Miro é compatível com as seguintes funcionalidades de provisionamento:
-
Criar novos usuários
Novos usuários atribuídos ao aplicativo da Miro no IdP serão criados na sua assinatura Enterprise da Miro como membros Enterprise. Usuários que forem adicionados a um grupo do IdP sincronizado com um time da Miro com o mesmo nome serão adicionados ao time como membros do time. -
Enviar atualizações do perfil do usuário
Para os atributos e alterações suportados, veja abaixo.
-
Sincronizar e fazer push de grupos do IdP
Sincronize seus grupos do IdP e seus membros com os times dentro da sua assinatura Enterprise da Miro para gerenciar automaticamente a associação de usuários. A sincronização contínua enviará atualizações específicas sobre os usuários do seu grupo do IdP para o time sincronizado da Miro, enquanto um push substituirá o status do time, tratando o grupo do IdP como fonte da verdade (se houver alterações manuais por parte dos Admins da empresa no lado da Miro).
-
Desacoplar os nomes do grupo IdP/time do Miro
A Miro sincroniza IdP grupos e os times do Miro por nome, portanto eles devem ter exatamente o mesmo nome. No entanto, depois que a sincronização inicial for criada, você poderá dar a um ou a ambos os nomes que forem mais convenientes para você. Você pode ver um exemplo do desacoplamento aqui -
Remover usuários do grupo IdP/time do Miro (não da assinatura Enterprise, veja abaixo)
Remover um usuário de um grupo IdP fará com que o usuário seja removido do time sincronizado da Miro (durante o próximo Group Push) -
Desativar usuários
Desativar ou excluir um usuário ou desabilitar o acesso de um usuário ao aplicativo no IdP irá desativar o usuário no seu plano Enterprise da Miro. Dependendo da situação, desativar um usuário pode reatribuir seu conteúdo aos admins do time mais antigos:
- se você desativar o usuário no IdP mas mantê-los atribuídos ao aplicativo da Miro, a associação ao time no lado da Miro não é alterada, e seu conteúdo não é reatribuído - eles são simplesmente movidos do status Ativo para Desativado (e seção de usuários, respectivamente) e deixam de consumir uma licença.
- se você acionar a desativação excluindo o usuário no IdP ou desatribuindo-o do aplicativo da Miro, enquanto o usuário for membro de alguns sincronizados times, o usuário também será removido desses esses times da Miro e o conteúdo nesses times será reatribuído aos admins do time mais antigos.
- se você acionar a desativação por excluindo o usuário no IdP ou desassociando-o do app Miro, quando o usuário não for membro de nenhum time sincronizado, sua associação ao time não será alterada e o conteúdo não será reatribuído.
A remoção de um usuário da assinatura Enterprise não é suportada por padrão. Ainda assim, você pode adicionar manualmente a funcionalidade usando a API para remover completamente o usuário da assinatura, em vez de configurá-lo para o status Desativado. Neste cenário, o conteúdo é reatribuído aos respectivos membros do time. É impossível definir quais admins terão a titularidade sobre o conteúdo reatribuído automaticamente. Mas isso pode ser definido quando você desativar manualmente um usuário nas configurações da Miro. -
Reativar usuários
Atribuir um usuário de volta ao aplicativo ou reativar o perfil de usuário no IdP reativará o usuário na sua assinatura Enterprise da Miro se ele tiver sido provisionado e desativado anteriormente. -
Automatizar a alocação de grupos de cobrança
Atribuir automaticamente novos usuários a grupos de cobrança usando SCIM. Depois que seu provedor de identidade (IdP) estiver configurado, vincule seus centros de custo aos seus grupos de cobrança. Isso garante que todos os usuários atuais e futuros desses centros de custo sejam automaticamente classificados na categoria de cobrança correta.
Você também pode remover usuários do seu plano Enterprise enviando uma chamada de API Excluir direta. Consulte a documentação aqui. Observe que apenas chamadas diretas removerão os usuários. Eventos de Excluir iniciados pela sua solução de identidade serão tratados como uma solicitação para Desativar.
Atributos suportados
⚠️ Observe que:
- E-mail / Parâmetro primário / Identificador exclusivo / Nome de usuário) é o único valor exigido pela Miro e deve estar no formato de um e-mail.
- A atualização do e-mail só é possível para usuários já sincronizados. Em outras palavras, a primeira sincronização deve ocorrer quando o e-mail no IdP e na Miro for o mesmo; caso contrário, a Miro não reconhecerá o usuário e um perfil duplicado da Miro com o novo e-mail será criado.
- A atualização do e-mail deve ser feita no perfil IdP do usuário, não na lista de atribuições.
- Diferentemente de outros atributos, atualizar o e-mail do usuário enviará uma notificação: tanto o endereço de e-mail antigo quanto o novo receberão uma mensagem informando ao usuário que agora deve usar o novo endereço de e-mail para fazer login na Miro.
Nome do atributo |
Atributo do SCIM (Reivindicação) |
|---|---|
| Nome de usuário. Deve estar presente e no formato de e-mail |
|
| Os atributos listados abaixo não são necessários e serão aceitos pela Miro se estiverem presentes (outros atributos enviados para a Miro serão ignorados). | |
Nome completo |
displayName; formatted; givenName + " " + familyName; userName |
Tipo de usuário |
userType valor compatível: "Full" |
Ativo |
active valor compatível: "true" ou "false" |
Imagem do perfil |
photos.^[type=='photo'].value ou Deve ser um URL de texto para a imagem. Tipos de arquivo compatíveis: jpg, jpeg, bmp, png, gif
|
Função do usuário |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) Valores suportados: |
Número do funcionário |
employeeNumber |
Centro de custos |
costCenter |
| Organização | organization |
| Divisão | division |
| Departamento | department |
Nome do gerente |
manager.displayName |
ID do gerente |
manager.value O campo "value" tem tipo String no padrão SCIM, mas o campo managerId |
⚠️ Alterações de senha não são suportadas e não há planos imediatos para oferecer suporte a essa alteração.
⚠️ Username, UserType e roles.value não podem ser atualizados em Usuários desativados.
Todos os atributos serão exibidos na lista de usuários exportada em CSV que pode ser baixada na seção Usuários ativos.
A opção de baixar uma lista de usuários
Como configurar o SCIM
Passo 1: Ativar a opção do SCIM na Miro
Para ativar o SCIM no seu plano Enterprise da Miro, vá para as configurações da Empresa > Integrações Enterprise, ative a funcionalidade de provisionamento do SCIM. Lá você pode obter a URL base e o token da API para configurar seu IdP.
Passo 2: Configurar seu provedor de identidade
A configuração dependerá do provedor de identidade que você utilizar. A Miro é compatível com Okta e Entra ID pré-configurados; no entanto, você pode usar qualquer provedor de identidade que permita configurar o SCIM.
Okta - veja as instruções de configuração aqui.
Entra ID - veja as instruções de configuração aqui.
Gerar novo token
1. Vá para as configurações da Empresa > Integrações Enterprise.
2. Na seção Provisionamento SCIM, clique Gerar novo token.
2. Na janela Gerar novo token SCIM, clique em Gerar.
3. Depois de gerar um novo token, você deve configurar o novo token no seu provedor IdP.
Possíveis problemas e como resolvê-los
1. Os usuários não são provisionados devido a um erro na lista de permissões.
Verifique se o domínio do usuário está adicionado à sua lista de permissões nas configurações de Segurança.
2. Se você autenticar seus usuários finais com uma solução de identidade (IDP1), mas quiser habilitar o SCIM por meio de um IDP diferente (IDP2), isso será possível em duas condições:
- o IDP2 pode fazer chamadas de API com o token bearer.
- ambos os provedores de identidade estão sincronizados (para que os usuários provisionados pelo SCIM também existam no IDP1 e, portanto, possam se autenticar na Miro).