miro をプランアップして SSO した話

こちらは「corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#1 」アドベントカレンダーの19日目の投稿です！

adventar.org

ご挨拶

こんにちは。
先日（とはいえわりと前）、利用している miro テナントを Starter → Business にプランアップする機会がありました。
その際に確認したプランごとの機能差分を、備忘として残したいとおもいます。

ざっくり概要

• ちゃんと統制するなら Enterprise プラン一択

• ただ、値段も相応に高い

• ので、第１段階として Business にプランアップしました。

• ここでは、 Business を中心に、各プランで利用できる機能＆へーしゃでの運用を記載します！

miro のプラン形態とその機能

miro のプランについては↓こちらの通りです。
miro のプラン一覧

注意点として、現在 miro の Business プランは新・旧２つ存在しており、新・Business プランのほうがじゃっかん多機能なようです（廃止となった Consultant プランの機能が盛り込まれているため）。
ただ、今回購入した際には自動で新プラン扱いとなり、契約にあたっての特別な作業は不要でした（旧 Business プランはもう購入できないので、あんまり気にしなくても良さそう）。
Business プラン詳細

それぞれのプランで、下位プランと比べて追加される主な機能を書きます。

無料プラン

• ボードが３つまで作成できる

• （厳密には、ボードは無制限で作成できるが、直近の３つしか編集できず、それ以外は閲覧権限のみとなる）

Starter プラン

• ボードが無制限に作成できる

• ビジターが「編集」できる

• ゲストが「閲覧」「コメント」できる

新 Business プラン

• SSO 設定ができる

• JIT 機能が利用できる

• ゲストが「編集」できる

• チームが無制限に作成できる

• 「Company」という概念が「チーム」の上に出てくる（これを理解するのに時間がかかった）

Enterprise プラン

• SCIM 設定ができる

• ドメイン管理ができる

• MFA 設定ができる

• 監査ログ機能が使用できる

• サポートさんに頼んだら管轄外のチームとその中のボードを企業内に移行してくれる（らしい）

こうやってざっくり比較してみると、組織として利用するための機能は Business プランあたりから充実してくる感じがありますね。
また、プランによって「ビジター」「ゲスト」ユーザーが登場したり、「ゲスト」についてはできることが変わったり、外部ユーザーに関する概念をつかむのにちょっと時間がかかりました。
あと、MFA が Enterprise プランでないと使用できないのはちょっと意外でした。（もっと下位プランでも使えると嬉しい）
ちなみに SSO 設定方法はめっちゃシンプルでした。ありがたーい。

JIT とへーしゃ運用

↑上にも書いた通り、新・Business プランでは JIT 機能が使用できます。
JIT のオン・オフ設定ができるチェックボックスは↓ここです。

チェックを入れなかった場合

チェックを入れなかった場合、ユーザーが IdP 経由で miro にアクセスすると、↓こんなかんじのエラー画面にリダイレクトされます。管理者側でユーザーアカウント作成が必要ですね。

チェックを入れた場合

チェックを入れた場合、ユーザーが IdP 経由で miro にアクセスすると、「ライセンス付与あり」「チームへの所属あり」で、miro アカウントが作成されます。
チームに所属しているので、そのチーム配下のボードは（アクセス制限されていない限り）すべて見えます。
さらに Business ライセンスが付与されているので、管理者が許している限りの機能をすべて使えます。

ちなみに、、

へーしゃでの社員数に対する miro のアクティブユーザー率は約50%ほどです。
また、業務委託など直雇用でない方々にも、原則会社ドメインでのアカウントを払い出しています。
JIT を有効化することで、利用頻度の低い方にライセンスを付与してしまう、いろんな部署の情報が詰まっているボードを全公開する点にじゃっかん抵抗がありました。

これらを踏まえたへーしゃでの運用

そんなこんなの仕様や背景を踏まえて、へーしゃでの運用は↓こちらの形をとることとなりました。

• JIT は無効とする

• 基本的には他の誰かからのボードを共有してもらい、ゲストユーザーとしてアクセスする

• 都度の共有が手間だったり、自分でボードを新規作成したくなったりした場合は、システム部門に申請を出して有料アカウントにする

• （有料アカウントの払い出しの手間が発生してしまいますが・・いたしかたなし。できる範囲での統制＆費用を抑えるという観点を加えたところ、こんな感じに落ち着きました。）

新 Business プランで混乱した点

Starter プランとの違いで、少し混乱した点を書こうとおもいます。

「Company」概念が出てくる

Starter プランとの大きな違いは、「Company」概念が出てくることでした。
無料〜Starter までは、「チーム」が最上位の組織概念で、ユーザーの所属も「チーム」組織のみです。
ですが Business からは「Company」が最上位となり、ユーザーは「Company」の中のいずれかの「チーム」に所属する形となります。
いま自分が見ているのが「チーム」のユーザー一覧なのか、それらを包括した「Company」のユーザー一覧なのか、最初は判断が少しむずかしかったです。

チームユーザー一覧の上の「Company」をクリックすると

Company ページに飛び、全ユーザーが確認できる

「ビジター」と「ゲスト」の違いに気づいた

もう一つ、今までも含めてよくわかっていなかったのが「ビジター」と「ゲスト」の違いでした。
プラン比較の項目でちらっと名称を書きましたが、以下の概念のようです。

• 「ビジター」：miro アカウントがなく、URL 共有などでボードを閲覧する人

• 「ゲスト」：miro アカウントがあるが、別のチームや会社に所属している人

また、「ゲスト」については、プランによってできることも変わります。
Starter プランでは、ゲストは「閲覧」「コメント」までしか行えませんが、Business プランでは「編集」もできるようになります。
なので、「Starter のときは、チームに所属させないとボード編集できないから基本全員追加していたけど、Business ではゲストが編集できるようになったから、一部チームメンバーをゲストに変更してより適切な形で権限付与しよう！」みたいなこともできそうです。（棚卸しちょと大変ですが・・）

参考：Team 以外のユーザーとの共有

新 Business プランでは難しかった点

プラン変更にともない、やりたかったけど今回は諦めた部分を記載します。

野良ボードの排除

1つ目が、野良ボードの排除です。
Starter プランの「チーム」を Business プランにアップグレードすると、「Company」という概念が「チーム」の上に誕生します。
この時点では「チーム」と「Company」は1対1の関係で存在します。
「Company」の中に「チーム」を複数持たせることは可能なので、今まで Free プランなどで存在していた他の「チーム」（情シス的に言うと野良チーム？）を取り込もう！となるのですが、残念ながら「既存チームを Company に所属させる」作業は管理者であっても実施できません。
もし所属させるとすると、↓こんな感じで地味に泥臭い作業が必要そうでした。

1. 「Company」の下に、「チーム」の箱をいくつか作る

2. 野良チーム内のボードを、1つ1つ 1. で作った「チーム」所属に付け替える

3. 要らなくなった野良チームを消す or そのままにしておく

上記の通り、「ボードの所属チームは手動で変えられる」が、「チームが所属する Company は手動で変えられない」みたいです。
ちなみに Enterprise プランでは、miro にご連絡すると、中の人が「チームをそのまま Company に追加」してくれると風のうわさで聞きました。
ボードを1つ1つちまちま作業する手間が不要ですね。
エンプラプランってすごい！

野良アカウントの排除

2つ目が、野良アカウントの排除です。
野良アカウント＝ 会社ドメインのメールアドレスで miro アカウントを作成しているが、Business プラン化した組織に所属していない、を想定してます。
こちらに関しては、「ドメイン管理」機能（＝会社ドメインのメアドで登録されているユーザーアカウントを発見したら、そのユーザーに有料テナントに参加するように招待する）が行えるのは Enterprise プランのみなので、Business プランでは社内呼びかけ程度しかできることがなさそうです。
参考：ドメイン管理

新 Business プランで嬉しかった点

最後に、Business プランになったことで、ありがたい！と思ったことを書いていきます。

ゲストが「編集」作業をできるようになった

今までもちらっと触れましたが、「ゲスト」扱いのユーザーもボードを「編集」できるのは嬉しいなぁとおもいました。
特定のボードのみアクセス権があれば問題ないユーザーを、チームに登録せずに済むのはなんとなく気持ち的にも安心できます。

SAML の「姓名」順が変えられた

Business プランにアップデートし、SSO を有効化した後、社内から「姓名」の順が「太郎 山田」になったので逆になると嬉しいなあ〜の声をもらいました。
そこで miro の シングルサインオン（SSO）のサポートページを改めて確認すると、「Miro サポートに連絡すると、利用する属性値を DisplayName に変更可能」な旨が書いてありました。

シングルサインオン（SSO）のヘルプページにて

さっそく通常のヘルプ窓口からご連絡→表示名に利用する属性値を変更してもらえました。
こんなに細やかに対応いただけるんだ〜！ととても嬉しかったです。

使える図形が増えた

これは管理者というより、Business プラン内の miro ユーザー全体の話なのですが、いつからか Business プラン以上でしか使えなくなった図形（AWS のサービスアイコンなどなど）が利用可能になりました。

アクセス権のあるゲストを管理者側で確認できるようになった

「Company」のユーザー一覧ページでは、少なくとも1つ以上のボードへのアクセス権のある外部ユーザーを一覧化できるようになっています。

検索条件で「ゲスト」にチェック

外部共有に関する何かが起きたとき、社内ルールが変わった時などに調査しやすい環境があるのはありがたいなぁと思っています。

最後に

今回の作業をひとことでまとめると、「使っている miro をプランアップして SSO 化しました！」になるのかなとおもっています。
でも１つ SSO を組むとて、製品やプランによって周辺機能が異なるので、それを会社のルールに合わせて使いこなすのは難しいなぁと改めて感じました。
これからも、新しくサービスを触る際の勘どころを鍛えて、うまく運用に乗せていく力をつけていきたいなーとおもいました。
読んでくださってありがとうございました！