有料プランの認証およびアクセス管理オプション

デフォルトではAsanaの通常の認証手順が適用され、組織メンバーは従来のパスワードとGoogle SSOのいずれかを使用して自分のアカウントにログインできます。

有料プランの組織の場合、特権管理者がメンバーのAsanaへのログイン方法を選択したり、パスワードの複雑さに対する要件を設定したり、メンバー全員のパスワードを強制リセットしたりすることができます。 EnterpriseまたはEnterprise +ディビジョンプランをご購入いただいた場合、SAMLを有効にすることもできます。 旧EnterpriseプランのディビジョンでもSAMLを有効にできます。

有料プランの認証設定が適用されるのは組織メンバーのみです。 組織ゲストは認証設定の影響を受けません。

パスワード強度の設定とパスワードの強制リセット

特権管理者は、組織のメンバー全員のパスワードを強制的にリセットしたり、パスワードの強度レベルの要件を設定したりできます。

以下の手順でパスワード強度の設定やリセットができます。

  1. プロフィール写真をクリックして、管理者コンソールを選択します。
  2. セキュリティ」タブを開きます。
  3. パスワード強度」タブを選択し、パスワードの強度を「強力」または「シンプル」から選択します。
  4. すべてのパスワードを強制的にリセットするには、「パスワードリセット」を選択します。

組織のパスワードを強制的にリセットした場合、メンバーは次回のログイン時にパスワードの再設定を求められます。 Asanaアカウントにログインしていたメンバーは強制的にログアウトされるため、パスワードを再設定する必要があります。

パスワード強度

組織のパスワードの強度基準を選択するには、管理者コンソールの「セキュリティ」タブで「パスワード強度」をクリックします。

パスワードの強度は、「シンプル」または「強力」から選べます。 Enterprise +および旧Enterpriseプランの組織の特権管理者には、「カスタム」という3つ目の選択肢が表示されます。

シンプル」を選んだ場合、パスワードは8文字以上である必要があります。 「強力」を選んだ場合、パスワードは8文字以上で、小文字、大文字、数字、特殊文字の内3つ以上が使われている必要があります。 

カスタム」を選んだ場合、ドメインのパスワード要件の複雑さをカスタマイズできます。

パスワード要件を変更しても、既存のユーザーのパスワードには影響を与えません。 新しいパスワードの要件を既存のユーザーに適用するには、ドメイン管理者がすべてのユーザーのパスワードを強制的にリセットする必要があります。

password strength

Googleサインイン

Google Workspaceのビジネスや教育向けプランを使っている会社でAsanaが有料プランの場合は、メンバーにGoogle経由の認証を求めることができます。

ディビジョンプランをご利用中の場合には、Googleサインインは設定できません。

組織のサインイン方法をGoogleサインインに変更するには

  1. プロフィール写真をクリックして、ドロップダウンメニューから「管理者コンソール」を選択します。
  2. セキュリティ」タブを開きます。
  3. Googleサインイン」タブに移動します。
  4. メンバーはGoogleアカウントでログインする必要がある」を選択します。

この変更内容が保存されると、メンバーのAsanaアカウントに関連付けられているパスワードがすべて無効になり、Google SSOの使用が必須になります。

Googleアカウントと関連付けるメールドメインを変更する場合は、お問い合わせください。組織に新しいドメインを追加します。

SAML

社内でOneLogin、Okta、LastPass、Azure AD、SecureAuth、Active DirectoryなどのIdPを使用している場合、IT部門はSAMLを設定できます。 SAMLをセットアップするには、次の要件を満たす必要があります。

  • Asana Enterprise、Enterprise +、または旧Enterpriseプランの組織に所属している
  • 組織の特権管理者である

組織でSAMLをセットアップすると、組織メンバーはアカウントへのログインにパスワードを使う必要がなくなります。 ログインページでメールアドレスを入力し、パスワードフィールドは空のまま「ログイン」をクリックするだけでログインできます。 または、IdPアプリのダッシュボードを使用してAsanaにアクセスすることもできます。

ステップ1: IdPを構成する

上記の条件を満たしている場合には、まずご利用のIdPでAsanaをセットアップします。 以下にOneLogin、Okta、LastPass、Bitium、SecureAuth、Active Directory、Entrust Identityの手順を記載していますが、他のIdPでも同様です。

Active Directory

Active DirectoryでAsanaのSAMLをセットアップする方法については、こちらの文書をご覧ください。  

Okta Cloud Connectを試すこともできます。 Okta Cloud Connectは1つのアプリケーションを対象にした無料版のOktaです。 これを使えば、1つのコアアプリケーションに対してOktaをセットアップしてADの統合とSSOを実現することができます。 詳細については、こちらをご覧ください。  

Azure AD

Azure ADでAsanaのSAMLをセットアップする方法については、こちらの記事をご覧ください。  

Google Workspace

Asana用にSAML経由でSSOをセットアップする方法については、こちらをご覧ください。  

LastPass

  • LastPass Enterprise で、まずEnterprise Consoleに移動してコンソールの上部のSAMLタブを選択します。 すると、メインのSAMLページに移動します。
  • Asanaアプリのアイコンをクリックします。
  • 画面上の手順に従います。
  • ステップ2で使うため、ログインのURLとx.509証明書をコピーして控えておきます。

Okta

  • Oktaで、「Applications (アプリケーション)」タブをクリックします。
  • Asanaを検索します。
  • ステップ2で使うため、ログインのURLとx.509証明書をコピーして控えておきます。
  • 詳しくはこちらをご覧ください。  

OneLogin

  • OneLoginで、「Apps > Find apps (アプリ>アプリを見つける)」を開きます。
  • Asanaを検索します。
  • Asanaの横にある「add (追加)」をクリックします
  • 続行」をクリックします。
  • ステップ2で使うため、サインインページのURLとx.509証明書をコピーして控えておきます。

SecureAuth

SecureAuthでAsanaのSAMLをセットアップする手順については、こちらの記事をご覧ください。  

Entrust Identity

Entrust IdentityでAsanaのSAMLをセットアップする方法については、こちらの記事をご覧ください。

ステップ2: Asanaを構成する

IdPでAsanaを構成したら、次にAsanaで必要な設定を行います。 

組織のサインイン方法をSAMLに変更するには

SAML
  1. プロフィール写真をクリックして、ドロップダウンメニューから「管理者コンソール」を選択します。
  2. セキュリティ」タブを開きます。
  3. SAML認証」タブに移動します。
  4. SAMLオプション」フィールドから「ゲストアカウントを除くすべてのメンバーに対して必須」をクリックします。
  5. ステップ1でコピーしたサインインページのURLを対応するフィールドにペーストします。
  6. ステップ1でコピーしたX.509証明書を対応するフィールドにペーストします。
  7. メンバーのセッションタイムアウトを設定します。
  8. 変更内容を保存」ボタンをクリックします。

ShibbolethやPingFederateのようなオープンソースまたは非ネイティブの連携を使用する場合、 ご希望のIdPで構成するには技術担当者にAsana SSOのメタデータを提供する必要があります。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://app.asana.com/">
        <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
                <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
                <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://app.asana.com/-/saml/consume" index="0"/>
        </md:SPSSODescriptor>
</md:EntityDescriptor>

まず組織の特権管理者がSAMLを任意に設定し、SAMLの認証情報を使ってログインを試してみることをおすすめします。 ログインに成功したら、特権管理者が構成を必須に切り替えます。

正常にセットアップされると、会社の組織に所属している全員が、組織のIDプロバイダーでAsanaアカウントにログインする必要があります(アカウントがアクセスできる他の組織やワークスペースに関係なく)。

特権管理者は、SAMLサインインを特定のユーザーグループのみに割り当てることで、IdP経由でAsanaにアクセスできる内部ユーザーを管理できます。 組織のSAMLのセットアップにお困りの特権管理者の方は、お問い合わせください。 さまざまなIdPユーザーグループにルールを設定する場合は、お問い合わせください。 

SAMLセッションタイムアウト

特権管理者は、管理者コンソールでSAMLセッションタイムアウトを1時間から30日の間で設定できます。 設定したタイムアウト時間が経過すると、メンバーは自動的にログアウトされ、改めてログインが必要になります。

モバイルのセッションタイムアウトは、デフォルトで無効になっています。 この設定は、ウィンドウの一番下の「モバイルセッションタイムアウト」セクションで変更できます。

SAML authentication settings

公的証明書

Asanaは、HTTPリダイレクトではなく、SAMLのHTTP POSTバインディングメソッドをサポートしています。 つまり、認証プロセス中に安全なデータ送信を確保するために、HTTP POSTバインディングを使用するようにIdPを構成する必要があります。

Asanaでは、セキュリティを強化するために、SAMLアサーションまたはSAMLレスポンス全体に署名が必要です。 この措置は、交換されたデータの真正性と完全性を保証します。 これらの要素のうち少なくとも1つが構成で署名されていることを確認します。

AsanaはSAMLリクエストに署名しません。 したがって、IdPにSAMLをセットアップするときは、認証要求の署名を無効にする必要があります。 これは、Sign AuthnRequestプリファレンスをfalseに設定することで行うことができます(例: AuthnRequestsSigned =" false ")。

IdP署名キー情報をSAMLアサーションに含めてください。 このキーは、署名を検証し、SAMLアサーションのセキュリティを維持するために不可欠です。

二要素認証

二要素認証の詳細については、こちらの記事をご覧ください。

この記事は役に立ちましたか?

Thanks for your feedback