SCIM – Central de ajuda da Miro

O sistema para gerenciamento de identidade entre domínios (SCIM) permite automatizar o gerenciamento e o provisionamento de usuário entre o Miro e seu provedor de identidade (IdP).

Disponível para: plano Enterprise
Configurado por: Admins da empresa

O que você deve saber

O SSO baseado em SAML deve estar configurado corretamente e em funcionamento no seu plano Enterprise antes de você começar a configurar o provisionamento automatizado.
Veja o guia para configurar o SSO por SAML.
Sincronizar grupos com times Miro é opcional.
Opcionalmente, você pode sincronizar seus grupos IdP com times no Miro. No entanto, para evitar problemas em que um grupo IdP é excluído temporariamente ou involuntariamente, o que resulta na desativação de todos os usuários desse grupo no Miro e aciona a reatribuição de boards e espaços, não sincronize grupos IdP com times do Miro . Os times podem ser criados e gerenciados com a API do time. Para obter mais informações sobre como a API SCIM permite que você gerencie grupos, consulte Miro Developers.
As alterações de endereço de e-mail no SCIM incluem as seguintes regras de validação:
- Verificação de usuário gerenciado: Se o domínio atual do usuário não for reivindicado pela organização que inicia a solicitação SCIM, a atualização de e-mail será bloqueada e gerará um erro 400.
- Verificação do domínio do e-mail de destino: Se o domínio de e-mail de destino for reivindicado por uma organização diferente daquela que iniciou a solicitação SCIM, a atualização de e-mail será bloqueada e gerará um erro 400. Se o domínio de e-mail de destino for reivindicado pela organização que inicia a solicitação SCIM, a atualização de e-mail será permitida sem exigir confirmação de e-mail. Os logs de auditoria registram a atualização em cada organização da qual o usuário é membro.
- Controle de Domínio e SSO: As atualizações de e-mail são permitidas com base na verificação de domínio por meio do Controle de Domínio (IDC) ou do Logon Único (SSO). Se o domínio de e-mail de destino for verificado por meio de CD ou SSO pela organização iniciadora, a atualização poderá prosseguir.
  
  Um diagrama do fluxo de trabalho de validação de alterações de e-mail do SCIM
Se um usuário for membro de duas ou mais contas Enterprise, não será possível atualizar seu Nome de usuário (endereço de e-mail). Isso evita conflitos com as políticas de compartilhamento estabelecidas.
Para atualizar o usuário, certifique-se de que primeiro ele seja removido da segunda conta. Se você precisar de ajuda, escreva para o suporte da Miro.

Regras sob as quais o SCIM da Miro opera

As alterações sincronizadas pelo SCIM são aplicadas principalmente a usuários recém-atribuídos. O status daqueles que já estão sob sua assinatura será complementado, mas não poderá ser substituído, pois as alterações serão aplicadas no nível do grupo ou time. Por exemplo:
a) Se um usuário for membro do Time 1 no lado da Miro e seu IDP enviar uma atualização para adicioná-lo ao Time 2, seu status no Time 1 permanecerá inalterado.
b) Se o seu IDP enviar uma atualização contendo alterações no Usuário1, outros membros do time não serão afetados. Conforme mencionado em Funcionalidades compatíveis > Grupos de notificação push e sincronização para substituir o status do time e sincronizar novamente todos os usuários de uma só vez, tente iniciar um novo push.
Todos os usuários provisionados em JIT têm a licença padrão da sua assinatura:
a) Para assinaturas Enterprise sem Programa de licenças flexíveis: uma licença completa. Se sua assinatura ficar sem licenças, os usuários começarão a ser provisionados sob a licença gratuita restrita .
b) Para assinaturas Enterprise com Programa de licenças flexíveis ativado: Licença gratuita limitada ou gratuita restrita, dependendo da licença de assinatura padrão.
- Se você precisar que alguns usuários sejam provisionados sob uma licença diferente da padrão:
conforme declarado acima, todos os usuários recebem a licença padrão. No entanto, você pode atualizar imediatamente todos ou alguns deles usando o atributo UserType com um valor Total. Os usuários atualizados com o atributo receberão o upgrade para a Licença completa, sem tempo de inatividade no usuário final.
Todos os usuários provisionados no SCIM também são afetados pela funcionalidade Controle de domínio. Isso significa que, se um usuário for membro de apenas um grupo de segurança no seu provedor de Identidade, mas suas configurações de Controle de domínio definirem três times como designados, o usuário também será adicionado a esses três times.

Para proteger o serviço, a Miro limita o número de chamadas de API disponíveis a cada 30 segundos:

Tipo de solicitação	Nível de limite
GET scim/users GET scim/users/{userId}	Primeiro limite de taxa nível 1
POST scim/users/{userId} PUT scim/users/{userId} PATCH scim/users/{userId} DELETE scim/users/{userId}	Terceiro limite de taxa Nível 3
GET scim/Groups PATCH scim/Groups/{groupId}	Quarto limite de taxa Nível 4
GET scim/Groups/{groupId}	Terceiro limite de taxa Nível 4

Para mais informações sobre os níveis de limite, consulte aqui. Se o número de solicitações exceder o limite, a Miro retornará o padrão 429 Too many requests.

Funcionalidades compatíveis

O esquema detalhado do SCIM da Miro pode ser encontrado aqui.

A Miro é compatível com as seguintes funcionalidades de provisionamento:

Criar novos usuários
Novos usuários atribuídos ao aplicativo da Miro no IdP serão criados na sua assinatura Miro Enterprise como membros Enterprise. Os usuários que forem adicionados a um grupo de usuários e se sincronizarem com um time da Miro com o mesmo nome serão adicionados ao time como membros do time.
Enviar atualizações de perfil de usuário
Para os atributos e alterações suportados, veja abaixo
Grupos de notificação push e sincronização
Sincronize seus grupos IDP e seus membros com os times dentro da sua assinatura Miro Enterprise para gerenciar automaticamente a associação de usuários. A sincronização contínua enviará atualizações específicas sobre os usuários do seu grupo para o time sincronizado da Miro, enquanto a notificação push substituirá o estado do time, tratando o grupo como fonte da verdade (se houver alterações manuais por parte dos Admins da empresa no lado da Miro).
Desvincular os nomes do grupo/time
A Miro sincroniza grupos e times por nome, portanto eles devem ter exatamente o mesmo nome. No entanto, depois que a sincronização inicial for criada, você poderá dar a um ou a ambos os nomes que desejar. Veja um exemplo de desacoplamento aqui.
Remover usuários do grupo/time (não da assinatura Enterprise. Veja abaixo)
Remover um usuário de um grupo o removerá do time da Miro sincronizado (durante a próxima notificação push)
Desativar usuários
Desativar ou excluir um usuário ou desabilitar o acesso de um usuário ao aplicativo no IdP irá desativar o usuário no seu plano Enterprise da Miro. Dependendo da situação, desativar um usuário pode reatribuir seu conteúdo aos admins do time mais antigos:
- Se você desativar o usuário no lado do IDP, mas o mantiver atribuído ao aplicativo da Miro, a associação de time na Miro não é alterada e seu conteúdo não é reatribuído. Eles serão apenas movidos do status Ativo para Desativado (e seção de usuários, respectivamente) e não utilizarão mais uma licença.
- Se você acionar a desativação excluindo o usuário no IDP ou desatribuindo-o do aplicativo da Miro, enquanto o usuário for membro de alguns times sincronizados , o usuário também será removido destes times da Miro e seu conteúdo neste times será reatribuído aos admins de time mais antigos.
- Se você acionar a desativação excluindo o usuário no IDP ou desatribuindo-o do aplicativo da Miro, quando o usuário não for membro de nenhum time sincronizado, a associação do usuário ao time não será alterada e seu conteúdo não será reatribuído.
A remoção de um usuário da assinatura Enterprise não é compatível por padrão. Ainda assim, você pode adicionar manualmente a funcionalidade usando a API para remover completamente o usuário da assinatura, em vez de configurá-lo para o status Desativado. Neste cenário, o conteúdo é reatribuído para os respectivos membros do time. É impossível definir quais admins terão a titularidade sobre o conteúdo reatribuído automaticamente. Mas isso pode ser definido quando você desativar manualmente um usuário nas configurações da Miro.
Reativar usuários
Atribuir um usuário de volta ao aplicativo ou reativar o perfil de usuário no IdP irá reativá-lo na sua assinatura Enterprise da Miro se ele tiver sido provisionado e desativado anteriormente.
Automatizar a alocação do grupo de cobrança
Atribua automaticamente novos usuários a grupos de cobrança usando SCIM. Depois que seu Provedor de Identidade (IdP) estiver configurado, você pode vincular seus centros de custo aos seus grupos de cobrança. Isso garante que todos os usuário atuais e futuros desses centros de custo sejam automaticamente classificados na categoria de cobrança correta.

Você também pode remover usuários do seu plano Enterprise enviando uma chamada Excluir direta da API. Veja a documentação aqui. Observe que apenas as chamadas diretas removerão os usuários. Os eventos de excluir iniciados pela sua solução de identidade serão tratados como uma solicitação para Desativar.

Atributos compatíveis

⚠️ Observe que:
- E-mail/Parâmetro primário/Identificador exclusivo/Nome de usuário é o único valor exigido pela Miro e deve estar no formato de um e-mail.
- A atualização por e-mail só é possível para usuários já sincronizados. Em outras palavras, a primeira sincronização deve acontecer quando o e-mail no IdP e na Miro for o mesmo. Caso contrário, a Miro não reconhecerá o usuário e um perfil da Miro no novo e-mail será criado.
- A atualização de e-mail deve ocorrer no perfil do IdP do usuário, não na lista de atribuições.
- Diferentemente de outros atributos, atualizar o e-mail do usuário enviará uma notificação: tanto o endereço de e-mail antigo quanto o novo receberão uma carta informando ao usuário que agora ele deve usar o novo endereço de e-mail para efetuar login na Miro.

Nome do atributo	Atributo do SCIM (Reivindicação)
E-mail	Username (Nome de usuário). Deve estar presente e no formato de e-mail
Os atributos listados abaixo não são necessários e serão aceitos pela Miro se estiverem presentes (outros atributos enviados para a Miro serão ignorados).
Nome completo	displayName; formated; givenName + "" + familyName; Username (Nome de usuário).
Tipo de usuário	Tipo de usuário valor compatível: "Full"
Ativo	ativo valor compatível: "true" ou "false"
Imagem do perfil	photos.^[type=='photo'].value ou photos.^[type==photo].value (Okta) fotos[tipo eq "foto"].valor(Entra) Deve ser um URL de texto para a imagem. Tipos de arquivos compatíveis: jpg, jpeg, bmp, png, gif Para definir o tipo de arquivo, você deve ter a extensão de arquivo definida no URL (por exemplo, https://host.com/avatar_user1.jpg) ou a solicitação para URL deve retornar com o conteúdo do arquivo um cabeçalho do tipo Content-Type (por exemplo, Content-Type = 'image/jpeg') O tamanho máximo do arquivo para download é: 31457280 bytes
Função do usuário	roles.^[primary==true].value (Okta) funções[eq primário "True"].valor (Entra) valores compatíveis: ORGANIZATION_INTERNAL_ADMIN ORGANIZATION_INTERNAL_USER
Número do funcionário	employeeNumber
Centro de custos	costCenter
Organização	Organização
Seção	Divisão
Departamento	Departamento
Nome do gerente	manager.displayName
ID do gerente	manager.value O campo "value" tem o tipo String no padrão SCIM, mas o o campo interno da Miro "managerId" tem o tipo Long. Se o atributo "value" não for um valor numérico, ignoramos esse valor.

⚠️ Não há suporte para as alterações de senha e não há planos imediatos para começar a oferecer suporte a essa alteração.
⚠️ Nome de usuário, UserType e roles.value não podem ser atualizados para Usuários desativados.

Todos os atributos serão exibidos na lista de usuários CSV exportada que pode ser baixada da seção Usuários ativos.

altdownload_as_CSV_in_company_settings.jpg
A opção de baixar uma lista de usuários

Como configurar o SCIM

Passo 1: Habilitar opção SCIM na Miro

Para habilitar o SCIM no seu plano Enterprise da Miro, vá para as configurações da Empresa > Integrações Enterprise, e habilite a funcionalidade de provisionamento do SCIM. Lá você pode obter o URL base e o token da API para configurar seu IdP.

SCIM nas configurações da Miro

Passo 2: Configure seu provedor de identidade

A configuração dependerá do provedor de identidade que você utilizar. O Miro suporta Okta e Entra ID pré-configurados, mas você pode usar qualquer Provedor de Identidade de sua escolha, desde que ele permita a configuração do SCIM.

OKTA - veja as instruções de configuração aqui.

Entra ID - veja as instruções de configuração aqui.

Gere um novo token

1. Acesse Configurações da empresa > Integrações Enterprise.

2. Na seção Provisionamento SCIM, clique em Gerar novo token.

SCIM nas configurações da Miro

2. Na janela Gerar novo token SCIM, clique em Gerar.

3. Depois de gerar um novo token, você deve configurá-lo no seu provedor IDP.

Possíveis problemas e como resolvê-los

1. Os usuários não são provisionados devido a um erro na lista de permissões.

Um exemplo de erro do provedor de identidade Okta

Certifique-se de que o endereço de domínio do usuário seja adicionado à sua lista de permissões nas configurações de Segurança.

2. 2. Se você autenticar seus usuários finais com uma solução de identidade (IdP1), mas quiser habilitar o SCIM por meio de um IdP diferente (IDP2), isso será possível em duas situações:

O IDP2 pode fazer chamadas de API com o token ao portador.
Ambos os provedores de identidade estão sincronizados (para que os usuários provisionados pelo SCIM também existam no IdP1 e, portanto, possam se autenticar com a Miro).

Para mais informações, entre em contato com o time de suporte da Miro.

Artigos nessa seção