SCIMを使ったユーザーのプロビジョニングとユーザープロビジョニング解除

Asana EnterpriseおよびEnterprise +プランおよび旧プランの旧Enterpriseで利用できます。  

詳しくは料金ページをご覧ください。

SCIM機能により、特権管理者はアイデンティティプロバイダーからAsanaのユーザーのプロビジョンとその解除をすばやく簡単に行うことができます。組織 使ってSCIMを構成することもできます。 SCIMプロビジョニングにより、特権管理者次のことができます。

  • ユーザーを新規作成
  • ユーザーのプロファイル属性を更新(OktaおよびMicrosoft Entra IDのみ)
  • AsanaユーザーをID管理プロバイダーにインポート
  • AsanaチームをID管理プロバイダーにインポート(Oktaのみ)
  • ID管理プロバイダーからAsanaにチームを作成(OktaおよびMicrosoft Entra IDのみ)
  • ユーザーを無効化

以下のプロビジョニング機能はAsanaではサポートされていません。

  • ユーザーを再有効化
  • Asanaでチームを削除
Asanaを試してみませんか? まずは無料トライアルから始めましょう。無料でお試しください

プロビジョニングをセットアップ

SCIMプロビジョニングを使うには、組織のAsanaアカウントを対応しているID管理プロバイダーに接続する必要があります。 セットアップ方法はご利用のIdPによって異なります。 Asanaは次を経由したSCIMプロビジョニングに対応しています。

Okta

機能

特権管理者はOktaからAsanaのユーザーのプロビジョンとその解除を簡単に行うことができます。 AsanaとOktaの連携は、特権管理者が次のことができるSCIMと呼ばれる業界標準のプロトコルに依存しています。

  • ユーザーを作成する: OktaでAsanaアプリケーションに割り当てられたOktaユーザーは、Asanaで組織のメンバーとして自動的に追加されます。
  • ユーザーのプロファイル属性の更新:ユーザーのプロファイルのuserNametitledepartmentなどの属性は、OktaからAsanaに同期することができます。
  • ユーザーのインポート: Asanaで作成したユーザーをOktaにインポートし、既存のOktaユーザーに関連づけるか、新しいOktaユーザーとして作成することができます。
  • グループのインポート: Asanaで作成したチームは、Oktaのグループとしてインポートできます。 Oktaでは、インポートされたグループのメンバーシップを管理することはできませんのでご注意ください。
  • グループのプッシュ: OktaのグループとそのメンバーをAsanaに(Asanaのチームとチームメンバーとして)プッシュすることができます。
  • グループのリンク: Asanaからチームをインポートした後、Asanaの既存のチームをOktaのグループにリンクすることができます。
  • ユーザーの無効化: Oktaでアプリから割り当てを解除されたユーザーを、Asana内で無効化することができます。

現在、以下のプロビジョニング機能はサポートされていません。

  • ユーザーを再有効化
  • Asanaでチームを削除
Oktaは3バイト以下でエンコードされた文字のみをサポートしているため、名前に絵文字が含まれているユーザーまたはグループをOktaにインポートすると失敗します。

要件

組織のSCIMを有効にする前に、以下の要件を満たしていることを確認してください。

  1. AsanaのEnterprise、Enterprise +、または旧Enterpriseプランを利用している組織の特権管理者である。
  2. SCIM経由でユーザーをプロビジョニングできるOktaプランを利用している。 詳しくはOktaのライフサイクルマネジメントサービスをご覧ください。

これらの要件を満たしている場合は、以下の手順で組織のSCIMを有効にしてください。

ステップ

ステップ1: AsanaのOkta連携アプリをOktaアカウントに追加する

asana okta integrationOktaに
ログインして、AsanaのOkta連携を追加します。
  1. サイドバーの「アプリケーション」をクリックします
  2. [アプリカタログを参照]をクリックします
asana okta integration2Asana
を追加するには、次のことを行います。
  1. [コラボレーションと生産性]をクリックします
  2. Asana

    」をクリックします
add asana


ステップ2:組織のAsanaアカウントをOktaアカウントに接続する

SCIMプロビジョニングを使用するには、組織のAsanaアカウントとOktaアカウントを接続する必要があります。

Asanaで次のステップを完了してください

Asanaの特権管理者アカウントにログインし、右上のプロフィール写真をクリックし、「管理者コンソール」をクリックして「管理者コンソール」メニューに移動します。 「アプリ」タブに移動し、「サービスアカウントを追加」をクリックします。

Adding service accounts from the admin console.gif
サービスアカウントを追加すると、Okta内にあるAsanaアプリの「プロビジョニング」タブで使用できるAPIキーが生成されます。
add service token

Oktaで次のステップを完了してください

Okta管理ポータルにログインし、「Applications (アプリケーション)」タブで「Asana」アプリケーションに移動します。

okta admin portalAsana

をOktaアカウントに接続するには、以下の手順で行います。
  1. プロビジョニング」をクリックします
  2. [設定]サイドバーで[連携]をクリックし、[API連携の設定]クリックします。
  3. [Enable API integration]チェックボックスをオンにします。
  4. 「APIトークン」フィールドに、Asanaの「サービスアカウント」タブで取得したトークンを入力します。
  5. Test API Credentials (API認証情報をテスト)」をクリックして、トークンが正しくセットアップされていることを確認します。
  6. [Save]をクリックして、Oktaに設定を保存します。

ステップ3: OktaアカウントでAsanaのプロビジョニングオプションを設定する

Okta内で

「Application (アプリケーション)」タブからAsanaアプリに移動し、「Provisioning (プロビジョニング)」をクリックします。

okta provisioning options
プロビジョニングオプションの設定は、以下の手順で行います。
  1. 設定」のサイドバーで「アプリへ」をクリックします。
  2. 右上の「編集」をクリックします
  3. Asanaアプリのユーザープロビジョニングオプションを有効にし、「Save (保存)」をクリックして連携設定を適用します。
ユーザーの作成、ユーザー属性の更新ユーザー非アクティブ化を有効にすることをお勧めします。
import tabインポート」タブ

を使用して、Asanaで検出されたユーザーとOktaドメインに登録されているユーザーを一致させます。 Oktaアカウントを作成または割り当てるAsanaユーザーをインポートします。
assignments tabAsanaに割り当てられたユーザーをSAMLで

管理します。 ユーザーとAsanaのメンバーリストとの同期は自動的に保たれます。

ステップ4:プロビジョニングされたユーザーをAsanaのチームにマッピングする

OktaのグループをAsanaのチームにマッピングするには、新しいグループをAsanaにプッシュするか、OktaのグループをAsanaの既存のチームにリンクするかを決めることができます。 グループをリンクする場合は、グループをマッピングするチームがAsana内ですでに設定されていることを確認してください。 Asanaでチームを作成する方法について詳しくは、こちらのヘルプセンターの記事をご覧ください。

Okta管理ポータルで次の操作を行ってください。

  • Asanaアプリにアクセスし、「Push Groups (グループのプッシュ)」タブの「Refresh App Groups (アプリグループの再読み込み)」をクリックして、Asanaで発生したインポートや変更を更新します。 これにより、対象アプリのすべてのグループがOktaで表示されるようになります。
  • リンク時にAsanaのグループ名を変更する機能が必要な場合は、「Group Push Settings (グループプッシュ設定)」のアクションボタンをクリックします。 Asanaでのチーム名の意図しない変更を避けるため、アプリグループの名前を変更しないことをお勧めします。
push groups
push groups
  1. プッシュグループ」をクリックします

 

  • 「By name (名前で検索)」を選択し、キーワードを使用してOktaでグループを検索します
  • 表にグループが表示されたら、[Match results and push action]ドロップダウンメニューをクリックします。 グループを既存のチームにマッピングしようとしている場合は、[グループをリンク]を選択します。 それ以外の場合は、「グループを作成」を選択します。 「** Save ** (保存)」をクリックすると、連携設定が適用されます。
  • OktaからAsanaのチームを削除することは、この連携ではサポートされていませんので
     
    ご注意ください。 チームの管理や削除は、Asanaの管理者コンソールの「チーム」タブで行えます。

    ステップ5: Asanaの属性マッピングの設定

    Asanaで属性を設定してユーザープロファイルにマッピングするには、以下の手順に従ってください。

    • Asanaアプリにアクセスし、「Provisioning (プロビジョニング)」タブをクリックします。
    • Asana Attribute Mappings (Asana属性マッピング)」セクションで適切なオプションを設定します。
    • [ Apply on]欄の選択肢から[Create]または[Create and Update]を選択します。
    属性 情報 制限に関する注意事項
    userName string サービスプロバイダーに直接認証するためにユーザーが通常使用するユーザーの一意の識別子。 各ユーザーは空でないuserName値を含み、メールアドレスである必要があります。必須。  
    名前 complex ユーザー名  
    name.given string サポートされていない、フォーマットされたものを使う  
    name.familyName string サポートされていない、フォーマットされたものを使う  
    name.formatted string ユーザーの氏名  
    メールアドレス complex ユーザーのメールアドレス  
    emails.value string ユーザーのメールアドレス  
    email.primary string このメールアドレスが、このユーザーにとって優先的に使用されるメールアドレスであるかどうか。 この属性がTrueになるのは1つのメールアドレスに対してのみ。  
    タイトル string 「副社長」など、ユーザーの肩書き。  
    department string ユーザーが所属する部署名を特定する。  
    preferredLanguage string ユーザーが使用する書き言葉や話し言葉を示す。 たとえば、「en_US」は言語を英語、国を米国と指定する。 使用する言語は、ユーザーがAsanaで作成されるときにのみ設定可能。 既存のAsanaユーザーに対してOkta側でpreferredLanguageフィールドを更新しても、Asana内では反映されない。
    アクティブ boolean ユーザーのアカウントがAsanaで有効かどうかを示す。  

    アドレス

    複数値複合体

    ユーザーの勤務先住所

     

    address.country

    string 2文字のコードとしてのユーザーの国(例:「US」)  

    address.region

    string ユーザーの地域(例:「CA」)  

    address.locality

    string

    ユーザーの都市(例:「サンノゼ」)

     
    phoneNumbers 複数値複合体

    ユーザーの電話番号

     
    phoneNumber.value string

    ユーザーの電話番号、例えば、

    「543 -111 -1111」

     

    USER

    complex

    ユーザーのEnterpriseユーザースキーマ拡張属性

     
    User.department string

    所属部署名
    ユーザーが所属する

     
    User.costCenter string

    ユーザーが所属するコストセンターの名前

     
    User.organization string

    ユーザーが所属する組織の名前

     
    User.division string

    ユーザーが所属する部署の名前

     
    User.employeeNumber string

    ユーザーに割り当てられた文字列識別子(通常は数字または英数字)

     
    User.manager
    complex

    ユーザーのマネージャー

     
    User.manager.value string

    ユーザーのマネージャーのユーザーID

     


    ステップ6:現在のAsana - Oktaの連携を更新する方法

    現在、AsanaとOktaの連携を使用している場合は、以下の手順で最新情報を有効化またはアクセスしてください。

    update integration

     

    1. [プロビジョニング]をクリックします。
    2. 連携」をクリック
    3. 編集」をクリック
    4. Enable API integration (API連携を有効にする)」のチェックを外して「Save (保存)」をクリックします。

    次に、再度[Edit]をクリックし、[Enable API integration]にチェックを入れ、APIトークンを入力して[Save]をクリックします。 そして、プロビジョニング機能を有効にします。 この手順の後、新しい属性の更新や連携機能が反映された状態になります。

    • Okta内でAsanaからユーザーのプロビジョンを解除すると、そのユーザーはAsana内で削除されます( AsanaのUI内でアカウント が削除された場合と同じ)。 ユーザーを無効にする場合は気をつけてください
    • AsanaアプリをOktaのユーザーに割り当てると、Asana内でユーザープロフィールが作成され、そのユーザーがAsanaに招待されたときと同じ動作が発生します。 Asanaアプリを割り当てたユーザーに知らせるときは、このことに注意してください。
    • AsanaのアプリケーションレベルでOktaのユーザー名を変更すると(ユーザー名の上書き)、以前のユーザー名の無効化コールがAsanaに対して発行されます。 この以前のユーザー名がアクティブなAsanaアカウントに関連付けられていた場合、このユーザー名は削除されます。 アプリケーションレベルのオーバーライドを適用する際には注意してください
    • ユーザーを作成または更新する場合、そのユーザーはAsanaの組織のドメインに一致するメールアドレスを持っている必要があります(たとえば、@ asana.comのメールドメインを持つユーザーのみをasana.comのAsana組織にプロビジョニングできます)。 なお、組織ゲストのプロビジョンと解除は、引き続き管理者コンソールの「メンバー」タブで行います。
    • ユーザーのformattedNameはgivenNameとfamilyNameと一致する必要があります。 不一致が見つかると、formattedNameが優先され、givenNameとfamilyNameフィールドの値の変更を元に戻したり上書きしたりする可能性があります。 したがって、属性マッピングまたは手動アプリユーザープロファイルの更新中に、書式設定された名前の値が、プロファイルプッシュ中のgivenNameとfamilyNameの文字列の組み合わせと一致していることを確認してください。たとえば、次のようになります。
      • givenName =新しい名
      • familyName =新しい姓
      • formattedName =新しい名新しい姓

    OneLogin

    OneLoginを使ったSCIMプロビジョニングの構成方法については、こちらをご覧ください。

    ネイティブで統合されていないIdPでSCIM機能を使用する場合は、ここで必要なパーミッションを確認してください。

    SCIMのプロビジョンの解除のカスタマイズ

    組織の特権管理者は、ユーザーのタスクを、SCIMまたはAPIを介してプロビジョンを解除した後、どのように処理するかを選択できます。

    ユーザーがAsanaからプロビジョンを解除されると、ユーザーに割り当てられていたすべての公開タスクが含まれる以前に割り当てられていたタスクプロジェクトが作成されます。

    管理者コンソールの組織全体の設定では、特権管理者を選択してこのプロジェクトのオーナーにすることができます。 プロジェクトオーナーは、必要に応じてタスクを割り当て直すことができます。

    プロジェクトオーナーの役割を次の特権管理者に割り当てるには:

    deprovisioning管理者コンソール
    セキュリティ」タブで「メンバーの削除設定」に移動します。


    member removal settings
    1. 削除されたメンバーに割り当てられていたタスク用に新規プロジェクトを作成するオプションをオンにします。
  • ドロップダウンメニューから「すべての特権管理者」または特定の特権管理者を選択します。
  • プロジェクトに完了したタスクを含める場合は、チェックボックスをオンにします。
  • これらのカスタマイズ設定は、ユーザーがサービスアカウントトークンを使用してSCIMまたはAPIを介して組織から削除された場合にのみ適用されます。

    ユーザーのプロビジョニング解除について詳しくは、FAQ (よくある質問)をご覧ください。

    この記事は役に立ちましたか?

    Thanks for your feedback