Asignar y anular privilegios a los usuarios con SCIM

Disponible en los niveles Asana Enterprise y Enterprise+, así como en el nivel heredado Legacy Enterprise.  

Consulta nuestra página de precios para obtener más información.

Con la función SCIM, los superadministradores pueden autorizar y anular el acceso de usuarios en Asana desde su proveedor de gestión de identidades de una manera fácil y rápida. Su organización también se puede usar para configurar con SCIM. El aprovisionamiento de SCIM permite a los superadministradores:

  • Crear un nuevo usuario
  • Actualizar los atributos de perfil de usuarios (Okta y Microsoft Entra ID únicamente)
  • Importar usuarios de Asana a su proveedor de gestión de identidades
  • Importar equipos de Asana a su proveedor de gestión de identidades (Okta únicamente)
  • Crear equipos en Asana desde su proveedor de gestión de identidades (Okta y Microsoft Entra ID únicamente)
  • Desactivar usuarios

Las siguientes funciones de gestión de acceso de usuarios no son compatibles con Asana:

  • Reactivar usuarios
  • Eliminar equipos en Asana
¿Te gusta lo que ves? Comienza hoy con una prueba gratuita de Asana. Pruébalo gratis

Configurar la gestión de acceso de usuarios

Para usar la gestión de acceso de usuarios de SCIM, deberás conectar la cuenta de Asana de tu organización con uno de nuestros proveedores de identidad compatibles. La configuración varía según el proveedor que utilices. Nuestros proveedores compatibles son:

Okta

Funciones

Los superadministradores pueden autorizar y anular fácilmente el acceso de usuarios en Asana desde Okta. La integración entre Asana y Okta se basa en un protocolo estándar de la industria conocido como SCIM que permite a los superadministradores:

  • Crear usuarios: los usuarios de Okta que fueron asignados a la aplicación de Asana en Okta se agregan automáticamente como miembros en tu organización en Asana.
  • Actualizar los atributos de perfil de los usuarios: los atributos como el nombre de usuarioel título y el departamento para el perfil de un usuario se pueden sincronizar en Asana desde el perfil de Okta del usuario.
  • Importar usuarios: los usuarios creados en Asana se pueden importar a Okta, ya sea buscando coincidencias con los usuarios existentes de Okta o creando nuevos usuarios de Okta.
  • Importar grupos: los equipos creados en Asana se pueden importar como grupos en Okta. Ten en cuenta que Okta no permite que gestiones la membresía de estos grupos importados.
  • Transferir grupos: los grupos y sus miembros en Okta se pueden transferir a Asana (como equipos y miembros de equipo de Asana).
  • Vincular grupos: los equipos en Asana se pueden vincular con grupos en Okta después de importar los equipos desde Asana.
  • Desactivar usuarios: los usuarios se pueden desactivar en Asana si ya no están asignados a la aplicación en Okta.

Las siguientes funciones de gestión de acceso de usuarios no son compatibles en este momento:

  • Reactivar usuarios
  • Eliminar equipos en Asana
Si intentas importar usuarios o grupos a Okta y estos contienen emojis en sus nombres, se producirá una falla, ya que Okta solo es compatible con caracteres codificados con 3 bytes o menos.

Requisitos

Asegúrate de que cumples con los siguientes requisitos antes de activar SCIM para tu organización.

  1. Eres superadministrador de una organización que cuenta con el plan Enterprise, Enterprise+ o Legacy Enterprise de Asana.
  2. Tienes el plan correcto de Okta para gestionar el acceso de usuarios a través de SCIM. Consulta las ofertas de gestión del ciclo de vida de Okta para obtener más información.

Si cumples con estos requisitos, sigue los pasos siguientes para activar SCIM para tu organización.

Pasos

Paso 1: agrega la aplicación de integración entre Asana y Okta a tu cuenta de Okta

asana okta integration
Inicia sesión en Okta y agrega la integración de Okta con Asana:
  1. Haz clic en Aplicaciones en el menú lateral.
  2. Haz clic en Explorar catálogo de aplicaciones.
asana okta integration2
Para agregar Asana:
  1. Haz clic en Colaboración y productividad.
  2. Haz clic en Asana

add asana


Paso 2: conecta la cuenta de Asana de tu organización a tu cuenta de Okta

Para usar la gestión de acceso de usuarios de SCIM, deberás conectar la cuenta de Asana de tu organización con tu cuenta de Okta.

Completa los siguientes pasos en Asana

Inicia sesión en una cuenta de superadministrador en Asana y accede al menú de la consola del administrador haciendo clic en tu foto de perfil en la parte superior derecha y en la consola del administrador. Dirígete a la pestaña Aplicaciones y haz clic en Agregar cuenta de servicio.

Adding service accounts from the admin console.gif
En Ámbitos de permisos, elija Permisos de ámbito, marque la casilla Aprovisionamiento de usuarios (SCIM) y asegúrese de que todos los permisos a continuación estén marcados. Los permisos de alcance solo proporcionan el acceso de token de API al aprovisionamiento de usuarios (SCIM). Al limitar el acceso, estás reduciendo los riesgos de seguridad asociados con el uso del token de API.
 
Si no quieres que Okta envíe grupos a equipos de Asana, cambie el nombre de los equipos o modifique los equipos, desmarca los permisos relacionados con el equipo.
Permission scopes window.png
 
Al agregar una cuenta de servicio se generará un token de API que puedes usar en la pestaña Provisioning de la aplicación de Asana dentro de Okta.
Adding a service account.png

Completa los siguientes pasos en Okta

Inicia sesión en el portal de administrador de Okta y en la pestaña Aplicaciones, ve a la aplicación de Asana.

okta admin portal

Para conectar Asana a tu cuenta de Okta:
  1. Haz clic en Aprovisionamiento.
  2. En la barra lateral de Ajustes, haga clic en Integración y haga clic en Configurar integración de API
  3. Marca la casilla Habilitar integración de API 
  4. En el campo Token de API, ingresa el token que recibiste en la pestaña Cuentas de servicio en Asana.
  5. Haz clic en Probar credenciales de API para verificar que el token esté configurado correctamente.
  6. Haz clic en Guardar para guardar tu configuración en Okta.

Paso 3: configura las opciones de gestión de acceso de usuarios para Asana en tu cuenta de Okta

En Okta

En la pestaña aplicaciones, ve a la aplicación de Asana y haz clic en Administración de privilegios.

okta provisioning options
Para configurar las opciones de aprovisionamiento, haz lo siguiente:
  1. En la barra lateral Ajustes, haz clic en Para la aplicación
  2. Haz clic en Editar en la parte superior derecha.
  3. Habilita las opciones de gestión de acceso de usuarios para la aplicación de Asana y haz clic en Guardar para aplicar los ajustes de la integración
Te recomendamos que habilites Crear usuariosActualizar atributos de usuarioDesactivar usuarios.
import tab

Usa la pestaña Importar para juntar los usuarios detectados en Asana con los usuarios de tu dominio Okta. Importa todos los usuarios a los que quieres crearles o asignarles una cuenta de Okta.
assignments tab

Administra los usuarios asignados con Asana tal como lo harías con SAML con la pestaña Asignaciones. Ahora los usuarios se mantendrán sincronizados automáticamente con la lista de miembros de Asana.

Paso 4: asigna los usuarios con gestión de acceso a los equipos en Asana

Para asignar los grupos de Okta a los equipos de Asana, puedes decidir transferir nuevos grupos a Asana o vincular los grupos de Okta con equipos que ya existen en Asana. Si vas a vincular grupos, asegúrate de que los equipos a los que deseas asignarlos ya estén configurados dentro de Asana. Obtén más información sobre cómo crear un equipo en Asana.

En el portal de administrador de Okta:

  • Ve a la aplicación de Asana y haz clic en Actualizar grupos de aplicaciones en la pestaña Transferir grupos para actualizar cualquier importación o cambio que haya ocurrido en Asana. Esto garantiza que todos los grupos de la aplicación de destino estén representados en Okta.
  • Haz clic en el botón de acción (Ajustes de transferencia de grupos) si quieres tener la capacidad de cambiar el nombre de un grupo en Asana al momento de vincularlo. Recomendamos no cambiar el nombre del grupo de aplicaciones para evitar cambios no deseados en los nombres de los equipos en Asana.
push groups
push groups

 

  1. Haz clic en Push Groups.
  2. Selecciona Por nombre y usa una palabra clave para buscar el grupo en Okta
  3. Cuando el grupo aparezca en la tabla, haz clic en el menú desplegable Combinar resultados y acción de transferencia. Elige Vincular grupo si estás intentando asignar un grupo a un equipo existente. De lo contrario, selecciona Crear grupo. Haz clic en Guardar para aplicar los ajustes de la integración.
 
Ten en cuenta que esta integración no permite la eliminación de equipos en Asana desde Okta. Usa la pestaña Equipos en la Consola del administrador en Asana para gestionar y eliminar equipos.

Paso 5: configura la asignación de atributos para Asana

Para configurar y asignar los atributos a perfiles de usuario en Asana, sigue los pasos siguientes.

  • Ve a la aplicación de Asana y haz clic en la pestaña Administración de privilegios de acceso.
  • Configura las opciones apropiadas en la sección Asignación de atributos de Asana.
  • Selecciona Crear o Crear y actualizar de entre las opciones de la columna Aplicar en.
Atributo Tipo Información Notas sobre las limitaciones
userName cadena Identificador único del Usuario, generalmente utilizado por el usuario para autenticarse directamente con el proveedor de servicios. Cada usuario DEBE incluir un valor de userName no-vacío, y este debe ser una dirección de email. OBLIGATORIO.  
nombre complejo El nombre del usuario  
name.given cadena No compatible, usar con formato  
name.familyName cadena No compatible, usar con formato  
name.formatted cadena El nombre completo del usuario  
emails complejo Direcciones de email para el usuario  
emails.value cadena Dirección de email para el usuario  
email.primary cadena Si esta dirección de email es la dirección de email preferida para este usuario. True solo puede aparecer una vez para este atributo.  
título cadena El título del usuario, como “vicepresidente”.  
departamento cadena Identifica el nombre del departamento al que pertenece el usuario.  
preferredLanguage cadena Indica el idioma preferido escrito o hablado del usuario. Se utiliza para seleccionar una interfaz de usuario localizada; por ejemplo, “en_US” especifica el idioma inglés y el país Estados Unidos. “Idioma preferido” solo se puede configurar para un usuario cuando el usuario se crea en Asana. Las actualizaciones al campo preferredLanguage en Okta para usuarios existentes de Asana no se reflejan dentro de Asana.
activo booleano Indica si la cuenta del usuario está activa en Asana.  

direcciones

Complejo multivalor

La dirección laboral del usuario

 

address.country

cadena El país del usuario como código de dos letras, p. ej., «EE. UU.»  

address.region

cadena La región del usuario, por ejemplo, "CA"  

address.locality

cadena

La ciudad del usuario, por ejemplo, "San José"

 
phoneNumbers Complejo multivalor

El teléfono del usuario

 
phoneNumber.value cadena

El número de teléfono del usuario, por ejemplo,

“543-111-1111”

 

Usuario

complejo

Atributo de extensión de esquema de usuario empresarial para el usuario

 
User.department cadena

Nombre del departamento que
al que pertenece el usuario

 
User.costCenter cadena

Nombre del centro de costes al que pertenece el
usuario

 
User.organization cadena

El nombre de la organización a la que pertenece el
usuario

 
User.division cadena

Nombre de la división a la que pertenece el usuario

 
User.employeeNumber cadena

Un identificador de cadena, típicamente numérico o alfanumérico, asignado a una persona

 
User.manager
complejo

El gestor del usuario

 
User.manager.value cadena

El ID de usuario para el administrador del usuario

 


Paso 6: cómo actualizar tu integración actual de Asana y Okta

Si actualmente estás usando la integración de Asana y Okta, sigue los pasos siguientes para habilitar/acceder a las últimas actualizaciones.

update integration

 

  1. Haz clic en Aprovisionamiento
  2. Haz clic en Integración.
  3. Haz clic en Editar.
  4. Desmarca la opción Habilitar integración de API y haz clic en Guardar.

Luego, haz clic en Editar una vez más, marca Habilitar integración de API, ingresa el token de la API y haz clic en Guardar. A continuación, habilita las funciones de gestión de acceso de usuarios. Después de esto, verás nuevas actualizaciones de atributos y capacidades de integración reflejadas en la integración.

  • Al quitarle privilegios a un usuario de Asana dentro de Okta, el usuario se eliminará dentro de Asana (el mismo comportamiento que si la cuenta se eliminara dentro de la interfaz de usuario de Asana). Ten cuidado al desactivar a los usuarios.
  • Al asignar la aplicación Asana a un usuario en Okta, se creará el perfil de dicho usuario en Asana y el proceso será el mismo que si hubiesen sido invitados a Asana. Es importante informar esto a los usuarios que se les ha asignado la aplicación Asana.
  • Si cambias el nombre de usuario de Okta en la aplicación de Asana (es decir, anulación de nombre de usuario), se envía una notificación de desactivación del nombre de usuario anterior en Asana. Si ese nombre de usuario se asoció con una cuenta de Asana activa, se eliminará. Ten cuidado al aplicar anulaciones a nivel de la aplicación.
  • Al crear o modificar usuarios, estos deben tener emails que coincidan con el dominio de la organización en Asana (p. ej., solo puedes asignar un dominio de email @asana.com a la organización de Asana de asana.com). La concesión o anulación de privilegios de acceso, como también la administración de los invitados de la organización solamente se realiza en la pestaña Miembros de la Consola del administrador de Asana.
  • El nombre con formato de un usuario debe coincidir con el nombre dado y el nombre de la familia. Cuando se encuentra una discrepancia, el nombre formateado tiene prioridad y podría revertir/anular los cambios en el valor del campo givenName y familyName. Por lo tanto, durante la asignación de atributos o las actualizaciones manuales del perfil de usuario de la aplicación, asegúrate de que el valor del nombre formateado coincida con la combinación de cadenas de givenName y familyName durante la inserción del perfil. Por ejemplo:
    • givenName = nombre nuevo
    • familyName = apellido nuevo
    • formattedName = nuevo nombre nuevo apellido

OneLogin

Aprende a configurar el aprovisionamiento de SCIM usando OneLogin aquí.

Para activar la funcionalidad SCIM con proveedores de identidad que no fueron integrados de manera nativa, comprueba los atributos aceptados necesarios aquí.

Personalización de desaprovisionamiento de SCIM

El superadministrador de una organización puede elegir cómo se manejan las tareas de un usuario después de que se hayan desaprovisionado a través de SCIM o la API.

Cuando se le quita el aprovisionamiento a un usuario de Asana, se crea un proyecto de tareas previamente asignadas que contiene todas las tareas públicas que se le asignaron al usuario.

Una configuración para toda la organización en la consola del administrador te permite elegir a un superadministrador para que se convierta en encargado de este proyecto. El encargado del proyecto puede reasignar las tareas como mejor le parezca.

Para asignar el rol de encargado del proyecto a un superadministrador:

deprovisioning

Ve a la configuración de eliminación de miembros en la pestaña Seguridad de la Consola del administrador.

member removal settings
  1. Activa la opción Crear un nuevo proyecto para las tareas asignadas previamente a los miembros eliminados.
  2. Selecciona Todos los superadministradores o un superadministrador específico del menú desplegable.
  3. Marque la casilla si desea incluir las tareas finalizadas en el proyecto.
Esta configuración de personalización solo se aplicará cuando el usuario se elimine de la organización a través de SCIM o API con un token de cuenta de servicio.

Encontrarás más información sobre el desaprovisionamiento de usuarios en nuestro artículo de preguntas frecuentes.

¿Fue útil este artículo?

Thanks for your feedback