SCIMを使ったユーザープロビジョニング機能

SCIM機能により、Enterprise組織 特権管理者はIdP (アイデンティティプロバイダー)からAsanaのユーザーのプロビジョンとその解除をすばやく簡単に行うことができます。 組織使ってSCIMを構成することもできます。 SCIMプロビジョニングにより、特権管理者次のことができます。

  • ユーザーを新規作成
  • ユーザーのプロファイル属性を更新(OktaおよびAzure ADのみ)
  • AsanaユーザーをID管理プロバイダーにインポート
  • AsanaチームをID管理プロバイダーにインポート(Oktaのみ)
  • ID管理プロバイダーからAsanaにチームを作成(OktaおよびAzure ADのみ)
  • ユーザーを無効化

以下のプロビジョニング機能はAsanaではサポートされていません。

  • ユーザーを再有効化
  • Asanaでチームを削除

Asanaを試してみませんか? 有料機能も30日間Asanaを無料でお試しいただけます。

プロビジョニングをセットアップ

SCIMプロビジョニングを使うには、組織のAsanaアカウントを対応しているID管理プロバイダーに接続する必要があります。 セットアップ方法はご利用のIdPによって異なります。 Asanaは次を経由したSCIMプロビジョニングに対応しています。

Okta

機能

Enterprise組織の特権管理者は、OktaからAsanaのユーザーのプロビジョンとその解除をすばやく簡単に行うことができます。 AsanaとOktaの連携は、SCIMと呼ばれる業界標準のプロトコルに依存しており、特権管理者は次のことができます。

  • ユーザーの作成: OktaでAsanaアプリケーションに割り当てられたOktaユーザーは、Asana組織のメンバーとして自動的に追加されます。
  • ユーザーのプロファイル属性の更新:ユーザーのプロファイルのuserNametitledepartmentなどの属性は、OktaからAsanaに同期することができます。
  • ユーザーのインポート: Asanaで作成したユーザーをOktaにインポートし、既存のOktaユーザーに関連づけるか、新しいOktaユーザーとして作成することができます。
  • グループのインポート: Asanaで作成したチームは、Oktaのグループとしてインポートできます。 Oktaでは、インポートされたグループのメンバーシップを管理することはできませんのでご注意ください。
  • グループのプッシュ: OktaのグループとそのメンバーをAsanaに(Asanaのチームとチームメンバーとして)プッシュすることができます。
  • グループのリンク: Asanaからチームをインポートした後、Asanaの既存のチームをOktaのグループにリンクすることができます。
  • ユーザーの無効化: Oktaでアプリから割り当てを解除されたユーザーを、Asana内で無効化することができます。

現在、以下のプロビジョニング機能はサポートされていません。

  • ユーザーを再有効化
  • Asanaでチームを削除

Oktaは3バイト以下でエンコードされた文字のみをサポートしているため、名前に絵文字が含まれているユーザーまたはグループをOktaにインポートすると失敗します。

要件

組織のSCIMを有効にする前に、以下の要件を満たしていることを確認してください。

  1. AsanaのEnterpriseプランを利用している組織の特権管理者である。
  2. SCIM経由でユーザーをプロビジョニングできるOktaプランを利用している。 詳しくはOktaのライフサイクルマネジメントサービスをご覧ください。

これらの要件を満たしている場合は、以下の手順で組織のSCIMを有効にしてください。

ステップ

ステップ1: AsanaのOkta連携アプリをOktaアカウントに追加する

asana okta integration

Oktaにログインして、AsanaのOkta連携を追加します。

  1. サイドバーの「Applications (アプリケーション)」をクリックします
  2. アプリカタログを見る」をクリックします
asana okta integration2

Asanaを追加する手順は次のとおりです。

  1. コラボレーションと生産性」をクリックします
  2. Asana

    」をクリックします。
add asana


ステップ2:組織のAsanaアカウントをOktaアカウントに接続する

SCIMプロビジョニングを使用するには、組織のAsanaアカウントとOktaアカウントを接続する必要があります。

Asanaで次のステップを完了してください

org settings

Asanaの特権管理者アカウントにログインし、右上のプロフィール写真をクリックし、「管理者コンソール」をクリックして「管理者コンソール」メニューに移動します。


apps tab

[アプリ]タブに移動します。

add service account

サービスアカウントを追加をクリックします。


add service token

サービスアカウント

を追加すると、Okta内にあるAsanaアプリの「Provisioning (プロビジョニング)」タブで使用できるAPIキーが生成されます。
Oktaで次のステップを完了してください

Okta管理ポータルにログインし、「Applications (アプリケーション)」タブで「Asana」アプリケーションに移動します。

okta admin portal

Asana
をOktaアカウントに接続するには、以下の手順で行います。

  1. プロビジョニング」をクリックします
  2. [Settings]サイドバーで[Integration]をクリックし、[Configure API Integration]をクリックします。
  3. [Enable API integration]チェックボックスをオンにします。
  4. 「API Token (APIトークン)」フィールドに、Asanaの「サービスアカウント」タブで取得したトークンを入力します。
  5. Test API Credentials (API認証情報をテスト)」をクリックして、トークンが正しくセットアップされていることを確認します
  6. [Save]をクリックして、Oktaに設定を保存します。


ステップ3: OktaアカウントでAsanaのプロビジョニングオプションを設定する

Okta内で

「Application (アプリケーション)」タブからAsanaアプリに移動し、「Provisioning (プロビジョニング)」をクリックします。

okta provisioning options

プロビジョニングオプションの設定は、以下の手順で行います。

  1. 設定」のサイドバーで「アプリへ」をクリックします。
  2. 右上の「編集」をクリックします
  3. Asanaアプリのユーザープロビジョニングオプションを有効にし、「Save (保存)」をクリックして連携設定を適用します。

ユーザーの作成、ユーザー属性の更新ユーザー非アクティブ化を有効にすることをお勧めします。

import tab

インポート」タブ

を使用して、Asanaで検出されたユーザーとOktaドメインに登録されているユーザーを一致させます。 Oktaアカウントを作成または割り当てるAsanaユーザーをインポートします。

assignments tab

Asanaに割り当てられたユーザーをSAMLで

管理します。 ユーザーとAsanaのメンバーリストとの同期は自動的に保たれます。


ステップ4:プロビジョニングされたユーザーをAsanaのチームにマッピングする

OktaのグループをAsanaのチームにマッピングするには、新しいグループをAsanaにプッシュするか、OktaのグループをAsanaの既存のチームにリンクするかを決めることができます。 グループをリンクする場合は、グループをマッピングするチームがAsana内ですでに設定されていることを確認してください。 Asanaでチームを作成する方法について詳しくは、こちらのヘルプセンターの記事をご覧ください。

Okta管理ポータルで次の操作を行ってください。

  • Asanaアプリにアクセスし、「Push Groups (グループのプッシュ)」タブの「Refresh App Groups (アプリグループの再読み込み)」をクリックして、Asanaで発生したインポートや変更を更新します。 これにより、対象アプリのすべてのグループがOktaで表示されるようになります。
  • リンク時にAsanaのグループ名を変更する機能が必要な場合は、「Group Push Settings (グループプッシュ設定)」のアクションボタンをクリックします。 Asanaでのチーム名の意図しない変更を避けるため、アプリグループの名前を変更しないことをお勧めします。
push groups
push groups
  1. プッシュグループ」をクリックします

 

  • 「By name (名前で検索)」を選択し、キーワードを使用してOktaでグループを検索します
  • 表にグループが表示されたら、[Match results and push action]ドロップダウンメニューをクリックします。 グループを既存のチームにマッピングしようとしている場合は、[グループをリンク]を選択します。 それ以外の場合は、「グループを作成」を選択します。 「** Save ** (保存)」をクリックすると、連携設定が適用されます。
  • OktaからAsanaのチームを削除することは、この連携ではサポートされていませんので
    ご注意ください

    チームの管理や削除は、Asanaの管理者コンソールの「チーム」タブで行えます。


    ステップ5: Asanaの属性マッピングの設定

    Asanaで属性を設定してユーザープロファイルにマッピングするには、以下の手順に従ってください。

    • Asanaアプリにアクセスし、「Provisioning (プロビジョニング)」タブをクリックします。
    • Asana Attribute Mappings (Asana属性マッピング)」セクションで適切なオプションを設定します。
    • [ Apply on]欄の選択肢から[Create]または[Create and Update]を選択します。

     

    属性 情報 制限に関する注意事項
    userName string ユーザーの一意の識別子。通常はユーザーがサービスプロバイダーに直接認証するために使用します。 各ユーザーには、空でないuserName値を含め、メールアドレスを入力する必要があります。必須。  
    名前 complex ユーザー名  
    name.given string サポートされていない、フォーマットされたものを使う  
    name.familyName string サポートされていない、フォーマットされたものを使う  
    name.formatted string ユーザーの氏名  
    メールアドレス complex ユーザーのメールアドレス  
    emails.value string ユーザーのメールアドレス  
    email.primary string このメールアドレスが、このユーザーにとって優先的に使用されるメールアドレスであるかどうか。 この属性がTrueになるのは1つのメールアドレスに対してのみ。  
    タイトル string 「副社長」など、ユーザーの肩書き。  
    department string ユーザーが所属する部署名を特定する。  
    preferredLanguage string ユーザーが使用する書き言葉や話し言葉を示す。 たとえば、「en_US」は言語を英語、国を米国と指定する。 使用する言語は、ユーザーがAsanaで作成されるときにのみ設定可能。 既存のAsanaユーザーに対してOkta側でpreferredLanguageフィールドを更新しても、Asana内では反映されない。
    有効 boolean ユーザーのアカウントがAsanaで有効かどうかを示す。  


    ステップ6:現在のAsana - Oktaの連携を更新する方法

    現在、AsanaとOktaの連携を使用している場合は、以下の手順で最新情報を有効化またはアクセスしてください。

    update integration
    1. プロビジョニング」をクリックします

     

  • 左側のサイドバーで、Integration (連携)をクリックします。
  • 編集」をクリック
  • Enable API integration (API統合を有効にする)のチェックを外し、Save (保存)をクリックします。

  • 次に、再度[Edit]をクリックし、[Enable API integration]にチェックを入れ、APIトークンを入力して[Save]をクリックします。 そして、プロビジョニング機能を有効にします。 この手順の後、新しい属性の更新や連携機能が反映された状態になります。

     

    Okta内でAsanaからユーザーのプロビジョンを解除すると、そのユーザーはAsanaの組織からも削除されます。 ユーザーを無効にする場合は気をつけてください。

    AsanaアプリをOktaのユーザーに

     

    割り当てると、Asana内でユーザープロフィールが作成され、そのユーザーがAsanaに招待されたときと同じ動作が発生します。 Asanaアプリを割り当てたユーザーに知らせるときは、このことに注意してください。

    AsanaのアプリケーションレベルでOktaのユーザー名を

     

    変更すると(ユーザー名の上書き)、以前のユーザー名の無効化コールがAsanaに対して発行されます。 この以前のユーザー名がアクティブなAsanaアカウントに関連付けられていた場合、このユーザー名は削除されます。 アプリケーションレベルのオーバーライドを適用する際には注意してください。

    ユーザーを作成または更新する

     

    場合、そのユーザーはAsanaの組織に対応するメールアドレスを持っている必要があります。 なお、組織ゲストのプロビジョンと解除は、引き続き管理者コンソールの「メンバー」タブで行います。

    OneLogin

    OneLoginを使ったSCIMプロビジョニングの構成方法については、こちらをご覧ください。

    ネイティブで統合されていないIdPでSCIM機能を使用する場合は、ここで必要なパーミッションを確認してください。

    SCIMのプロビジョンの解除のカスタマイズ

    組織の特権管理者は、SCIMまたはAPIを介してプロビジョンを解除したユーザーのタスクの処理方法を選択できます。

    ユーザーがAsanaからプロビジョンを解除されると、そのユーザーに割り当てられていたすべての公開タスクが含まれる以前に割り当てられていたタスクプロジェクトが作成されます。

    管理者コンソールの組織全体の設定では、特権管理者を選択してこのプロジェクトのオーナーにすることができます。 プロジェクトオーナーは、必要に応じてタスクを割り当て直すことができます。

    プロジェクトオーナーの役割
    を次の特権管理者に割り当てるには:

    deprovisioning

    管理者コンソール

    セキュリティ」タブで「メンバーの削除設定」に移動します。


    member removal settings
    1. 削除されたメンバーに割り当てられていたタスク用に新規プロジェクトを作成するオプションをオンにします。
  • ドロップダウンメニューから「すべての特権管理者」または特定の特権管理者を選択します。
  • プロジェクトに完了したタスクを含める場合は、チェックボックスをオンにします。

  • これらのカスタマイズ設定は、ユーザーがサービスアカウントトークンを使用してSCIMまたはAPIを介して組織から削除された場合にのみ適用されます。


    ユーザーのプロビジョニング解除について詳しくは、FAQ (よくある質問)をご覧ください。