Miroのジャストインタイムプロビジョニング(JIT)を利用する場合、初回ログイン時に該当アカウントが存在しない場合は、この時点でアカウントを作成します。SCIMを活用すると、ログイン起点ではなく、IdP(Azure AD等)に登録されたアカウントと同期してユーザーが自動的に作成されます。IdPでアカウント無効にすればSaaS側のアカウントも無効にすることが出来る為、効率の良い管理が可能になります。
ここではAzure ADを利用した場合の手順を説明します。
- はじめに
- 対象のプラン:エンタープライズプラン(ビジネスプランでは実施できません)
- 設定者の権限:Company Admin
- Azure ADとのSSO設定が完了していること
- Miroのジャストインタイムプロビジョニング(JIT)が無効になっていること
- SCIM構成時の注意事項
MiroのTeam名はAzure ADのセキュリティグループと同じ名前で作成されている必要があります。また、エンタープライズ アプリケーションには対象のセキュリティグループを割り当てる必要があります。予期せぬ問題が発生した場合は、弊社サポートセンターにご連絡ください。
- Miro SCIM Provisioningの有効化
Miroの管理画面に管理者でサインインし、AccountのSecurityを開き、「SCIM Provisioning」を有効します。
「Base URL」と「Api Token」の値を記録します。
APIの動作確認として以下のコマンドを実行し、現在のユーザーの情報がjson形式で取得できることを確認します。※curlコマンドはWindows10 PCには標準で実装されています。
[Api Token]にはテナント固有の値に置換して実行します。
curl -X GET -H "Accept: application/json" -H "Authorization: Bearer [Api Token]" https://miro.com/api/v1/scim/Users
Azure ADエンタープライズ アプリケーションの構成のためAzure ADのエンタープライズ アプリケーション Miro (formerly RealtimeBoard)から、管理の「プロビジョニング」をクリックします。
「作業の開始」をクリックします。
プロビジョニングモードを「手動」から「自動」に変更します。
前項のMiroのSCIMプロビジョニングで登録した「サインオンURL」「シークレットトークン」に入力します。
-
- テナントの URL= Base URL
- シークレット トークン=Api Token
「テスト接続」をクリックします。
画面右上の「通知」をクリックし、プロビジョニングを有効にする権限があることを確認します。
構成を保存する為に、プロビジョニングの「保存」をクリックします。その後、通知にて正常に更新されたことを確認します。
- ユーザーとグループのマッピング
Miro SCIM APIは、Azure ADがユーザーとグループに添付するメタデータの一部を利用します。ここでは、Miro SCIMAPIとAzure AD属性の間に必要なマッピングについて説明します。
管理→プロビジョニングをクリック後、「プロビジョニングの編集」をクリックします。
ユーザーマッピングの確認のため「Provision Azure Active Directory Users」をクリックします。
設定値の確認をします。設定が有効になっていること、対象オブジェクトのアクションがすべて(作成、更新、削除)がオンになっていることを確認します。設定に差異がある場合は再設定し「保存」クリックします。
注意:Miroは、UPNによってAzureユーザーを認識します。
グループマッピングの確認として「Provision Azure Active Directory Groups」をクリックします。
設定が有効になっていること、対象オブジェクトのアクションの「作成」と「削除」のチェックが外れていることを確認します。設定に差異がある場合は再設定し、「保存」をクリックします。
※MiroのSCIM APIはTeamの作成と削除に対応していない為です。
- プロビジョニングの有効化
管理→プロビジョニングをクリック後、「プロビジョニングの編集」をクリックします。
「プロビジョニング状態」を「オン」に変更後、「保存」をクリックします。
これにより初期プロビジョニングが開始されます。Miro管理画面にてユーザーが作成されていることを確認します。※初期同期完了後は40分間隔(固定)で更新されます。
<ご参考>
SCIMの検証時に任意のタイミングでプロビジョニングを行いたい場合は、プロビジョニング設定の「要求時にプロビジョニングする」をクリック後、任意のユーザーを選択することで動作確認が可能です。 |