Deutsch English (US) Español Français 日本語

Artigos nessa seção

SCIM

Cat
  • Atualizado

O sistema de gerenciamento de usuários entre domínios, também conhecido como SCIM, permite fazer gerenciamento de usuários e provisionamento automatizado para assinaturas da Miro Enterprise por meio do seu provedor de identificação (ou IdP, sua sigla em inglês).

Disponível para: plano Enterprise
Configurado por: Admins da empresa

O que você deve saber

  • O SSO baseado em SAML deve estar configurado corretamente e em funcionamento no seu plano Enterprise antes de você começar a configurar o provisionamento automatizado.
    Veja o guia para configurar o SSO por SAML.

  • Todos os grupos atribuídos devem existir na sua assinatura da Miro como times com nomes idênticos antes de serem vinculados. 
     Os times podem ser criados e gerenciados usando a API de Times.
    Se precisar que os grupos e os times tenham nomes diferentes, você pode renomear um ou ambos após a sincronização ser estabelecida.

  • Não há suporte para as alterações de senha.
    Não há planos imediatos para começar a oferecer suporte a essa alteração.

  • Se um usuário for membro de duas ou mais contas Enterprise, não será possível atualizar seu Nome de usuário (endereço de e-mail). Isso evita conflitos com as políticas de compartilhamento estabelecidas.
    Para atualizar o usuário, certifique-se de que primeiro ele seja removido da segunda conta. Se você precisar de ajuda, escreva para o suporte da Miro

Regras sob as quais o SCIM da Miro opera

  • As alterações sincronizadas pelo SCIM são aplicadas principalmente a usuários recém-atribuídos. O status daqueles que já estão sob sua assinatura será complementado, mas não poderá ser substituído, pois as alterações serão aplicadas no nível do grupo ou time. Por exemplo:
    a) se um usuário for membro do Time1 no lado da Miro e seu IdP enviar uma atualização para adicioná-lo ao Time2, seu status no Time1 permanecerá inalterado;
    b) se o seu IDP enviar uma atualização contendo alterações para Usuário1, os outros membros do time não serão afetados. Conforme mencionado em Funcionalidades suportadas    Grupos de notificação push e sincronização para substituir o status do time e sincronizar novamente todos os usuários de uma só vez, tente iniciar um novo push.
  • Todos os usuários provisionados pelo SCIM recebem a licença padrão da sua assinatura: 
    a) Para assinaturas Enterprise sem o Programa de licenças flexíveis: uma Licença completa. Se a sua assinatura ficar sem licenças, os usuários começarão a receber uma licença gratuita limitada.
    b) Para assinaturas Enterprise com Programa de Licença Flexível ativado: licença gratuita ou Licença gratuita limitada, dependendo da licença de assinatura padrão.
    - Se você precisar que alguns usuários recebam uma licença diferente da padrão:
    conforme mencionado acima, todos os usuários recebem a licença padrão. No entanto, você pode atualizar imediatamente todos ou alguns deles usando o atributo UserType com um valor Total. Os usuários atualizados com o atributo receberão o upgrade para a Licença completa, sem tempo de inatividade no usuário final.  
  • Todos os usuários provisionados no SCIM também são afetados pela funcionalidade Controle de domínio. Isso significa que, se um usuário for membro de apenas um grupo de segurança no seu provedor de Identidade, mas suas configurações de Controle de domínio definirem três times como designados, o usuário também será adicionado a esses três times. 
  • Para proteger o serviço, a Miro limita o número de chamadas de API disponíveis a cada 30 segundos:

        Tipo de solicitação
        Nível de limite

      GET scim/users

      GET scim/users/{userId}

        Primeiro limite de taxa nível 1

      POST scim/users/{userId}

      PUT scim/users/{userId}

      PATCH scim/users/{userId}

      DELETE scim/users/{userId}

    		      Terceiro limite de taxa Nível 3

      GET scim/Groups

      PATCH scim/Groups/{groupId}

    		     Quarto limite de taxa Nível 4

      GET scim/Groups/{groupId}

    		     Terceiro limite de taxa Nível 4

    Para mais informações sobre os níveis de limite, consulte aqui. Se o número de solicitações exceder o limite, a Miro retornará o padrão 429 solicitações demais.  

Funcionalidades compatíveis

O esquema detalhado do SCIM da Miro pode ser encontrado aqui.

A Miro é compatível com as seguintes funcionalidades de provisionamento:

  • Criar novos usuários
    Novos usuários atribuídos ao aplicativo da Miro no IdP serão criados na sua assinatura Enterprise da Miro como Membros Enterprise. Os usuários que forem adicionados a um grupo de usuários e se sincronizarem com um time da Miro com o mesmo nome serão adicionados ao time como membros do time.
  • Atualizações do perfil de usuários de notificação push
    Para os atributos e alterações compatíveis, veja abaixo.
  • Grupos de notificação push e sincronização
    Sincronize seus grupos do IdP e seus membros com os times dentro da sua assinatura Enterprise da Miro para gerenciar automaticamente a associação de usuários. A sincronização contínua enviará atualizações específicas sobre os usuários do seu grupo para o time sincronizado da Miro, enquanto a notificação push substituirá o estado do time, tratando o grupo como fonte da verdade (se houver alterações manuais por parte dos Admins da empresa no lado da Miro).
  • Desacople os nomes do grupo/time
    A Miro sincroniza os grupos e os times por nome, portanto, eles devem ter exatamente o mesmo nome. No entanto, depois que a sincronização inicial for criada, você poderá dar a um ou a ambos os nomes que forem mais convenientes para você. Você pode ver o exemplo de desacoplamento aqui.
  • Remover usuários de um grupo ou time (não a assinatura Enterprise, veja abaixo)
    Remover um usuário de um grupo irá removê-lo do time sincronizado da Miro (durante a próxima notificação push de grupo)
  • Desativar usuários
    Desativar ou excluir um usuário ou desabilitar o acesso de um usuário ao aplicativo no IdP irá desativar o usuário no seu plano Enterprise da Miro. Dependendo da situação, desativar um usuário pode reatribuir seu conteúdo aos admins do time mais antigos:
    - Se você desativar o usuário no lado do IdP, mas mantê-lo atribuído ao aplicativo da Miro, a associação ao time no lado da Miro não será alterada e o conteúdo não será reatribuído, simplesmente seu estado Ativo será alterado para Desativado (e a sessão de usuários, respectivamente) e deixará de utilizar uma licença.
    - Se você acionar a desativação excluindo o usuário no IdP ou desatribuindo-o do aplicativo da Miro, enquanto o usuário for membro de alguns times sincronizados, o usuário também será removido desses times da Miro e seu conteúdo nesses times será reatribuído aos admins do time mais antigos. 
    - Se você acionar a desativação excluindo o usuário no IdP ou desatribuindo-o do aplicativo da Miro, quando o usuário não for membro de nenhum time sincronizado, a associação do usuário ao time não será alterada e seu conteúdo não será reatribuído. 
    A remoção de um usuário da assinatura Enterprise não é compatível por padrão. Ainda assim, você pode adicionar manualmente a funcionalidade usando a API para remover completamente o usuário da assinatura, em vez de configurá-lo para o status Desativado. Neste cenário, o conteúdo é reatribuído para os respectivos membros do time. É impossível definir quais Admins terão a titularidade sobre o conteúdo reatribuída automaticamente. Mas isso pode ser definido quando você desativar manualmente um usuário nas configurações da Miro.
  • Reativar usuários
    Atribuir um usuário de volta ao aplicativo ou reativar o perfil de usuário no IdP irá reativá-lo na sua assinatura Enterprise da Miro se ele tiver sido provisionado e desativado anteriormente.

Você também pode remover usuários do seu plano Enterprise enviando uma chamada Excluir direta da API . Veja a documentação aqui. Observe que apenas as chamadas diretas removerão os usuários. Os eventos de excluir iniciados pela sua solução de identidade serão tratados como uma solicitação para Desativar

Atributos compatíveis

⚠️ Observe que:
- E-mail / Parâmetro Primário / Identificador Único / Nome de usuário) é o único valor exigido pela Miro e deve estar na forma de um e-mail.
- A atualização por e-mail só é possível para usuários já sincronizados. -Em outras palavras, a primeira sincronização deve acontecer quando o e-mail no IdP e na Miro for o mesmo, caso contrário, a Miro não reconhecerá o usuário e será criado um perfil duplicado da Miro no novo e-mail.
A atualização de e-mail deve acontecer no perfil IdP do usuário, não na lista de atribuições.
Ao contrário de outros atributos, ao atualizar o e-mail do usuário será enviada uma notificação: tanto o endereço de e-mail antigo quanto o novo receberão uma notificação informando ao usuário que agora deve usar o novo endereço de e-mail para fazer login na Miro.
    Nome do atributo
    Atributo do SCIM (Reivindicação)

    E-mail

    Username (Nome de usuário). 
      Deve estar presente e no formato de e-mail
Os atributos listados abaixo não são necessários e serão aceitos pela Miro se estiverem presentes (outros atributos enviados para a Miro serão ignorados). 

    Nome completo

    displayName;

    formatado;

    givenName + "" + familyName;

    userName

    Tipo de usuário

    userType
      Valor compatível: "Completo"

    Ativo

    active
      Valor compatível: "true" ou "false"

    Imagem do perfil

    photos.^[type=='photo'].value ou
    photos.^[type==photo].value (Okta)
    photos[type eq "photo"].value (Azure)

      Deve ser um URL de texto para a imagem.

      Tipos de arquivos compatíveis: jpg, jpeg, bmp, png, gif


      Para definir o tipo de arquivo, você deve ter a extensão de arquivo definida no URL        (por exemplo, https://host.com/avatar_user1.jpg) ou a solicitação para URL              deve retornar com o conteúdo do arquivo um cabeçalho do tipo Content-             Type (por exemplo, Content-Type = 'image/jpeg')


      O tamanho máximo do arquivo para baixar é: 31457280 bytes

 

    Papel do usuário 

    roles.^[primary==true].value (Okta)

    roles[primary eq "True"].value (Azure)

      valores compatíveis:
ORGANIZATION_INTERNAL_ADMIN
ORGANIZATION_INTERNAL_USER

    Número do funcionário

     employeeNumber

    Centro de custos

     costCenter
    Organização     organization
    Divisão     division
    Departamento     department

    Nome do gerente

    manager.displayName

    ID do gerente

    manager.value 

      O campo "value" tem o tipo String no padrão do SCIM, mas o campo
interno da Miro managerId       tem o tipo Long. Se o atributo "valor" não for
      um valor numérico, ignoraremos esse valor
⚠️ Não há suporte para as alterações de senha e não há planos imediatos para começar a oferecer suporte a essa alteração.
⚠️ Nome de usuário, UserType e roles.value não podem ser atualizados para Usuários desativados

Todos os atributos serão exibidos na lista de usuários CSV exportada que pode ser baixada da seção Usuários ativos

download_as_CSV_in_company_settings.jpg
A opção de baixar uma lista de usuários

mceclip3.png

Como configurar o SCIM

Passo 1: habilitar a opção do SCIM na Miro

Para habilitar o SCIM no seu plano Enterprise da Miro, vá para as configurações da Empresa > Integrações Enterprise, e habilite a funcionalidade de provisionamento do SCIM. Lá você pode obter o URL base e o token da API para configurar seu IdP.

SCIM_in_Miro_settings.jpg
SCIM nas configurações da Miro

Passo 2: configurar seu provedor de identidade

A configuração dependerá do provedor de identidade que você utilizar. A Miro é compatível com Okta e AD do Azure pré-configurados, no entanto, você pode usar qualquer provedor de identidade de sua escolha, sempre que a configuração do SCIM permitir.

OKTA - veja as instruções de configuração aqui.

AD do Azure- veja as instruções de configuração aqui. 

Possíveis problemas e como resolvê-los

1. Os usuários não são provisionados devido a um erro na lista de permissões.
mceclip0.png
Um exemplo de erro do provedor de identidade Okta

Certifique-se de que o endereço de domínio do usuário seja adicionado à sua lista de permissões nas configurações de Segurança

2. Se você autenticar seus usuários finais com uma solução de identidade (IdP1), mas quiser habilitar o SCIM por meio de um IdP diferente (IDP2), isso será possível em duas situações:

  1. o IDP2 pode fazer chamadas de API com o token ao portador.
  2.  ambos os provedores de identidade estão sincronizados (para que os usuários provisionados pelo SCIM também existam no IdP1 e, portanto, possam se autenticar com a Miro). 

Para mais informações, entre em contato com o time de suporte da Miro.

Was this article helpful?
Yes, thanks Not really
Sorry about that! Why wasn't the article helpful?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Voltar ao topo

Artigos relacionados