Предоставление и отзыв привилегий пользователей
С помощью функционала SCIM суперадминистраторы организаций уровня Enterprise могут оперативно предоставлять пользователям права доступа к Asana и отзывать их через поставщика удостоверений. Для настройки SCIM также можно использовать организацию. Предоставление прав с помощью SCIM позволяет суперадминистраторам:
- Создавать новых пользователей
- Изменять атрибуты профилей пользователей (только при использовании Okta и Azure AD)
- Импортировать пользователей Asana в систему поставщика удостоверений
- Импортировать группы Asana в систему поставщика удостоверений (только при использовании Okta)
- Создавать группы в Asana из системы поставщика удостоверений (только при использовании Okta и Azure AD)
- Деактивировать пользователей
В Asana не поддерживаются следующие функции, связанные с предоставлением прав:
- Повторная активация пользователей
- Удаление групп в Asana
Настройка предоставления прав
Для использования функционала SCIM необходимо подключить учётную запись Asana вашей организации к одному из поддерживаемых нами поставщиков удостоверений. Настройка зависит от используемого поставщика удостоверений. Функционал SCIM в Asana поддерживается посредством следующих систем:
- Microsoft Azure AD — см. учебник по интеграции Asana и Azure AD
- Google Workspace
- Okta
- OneLogin
Okta
Особенности
Суперадминистраторы организаций уровня Enterpriase могут оперативно предоставлять и отзывать права пользователей в Asana через Okta. Интеграция Asana и Okta основана на отраслевом стандартном протоколе SCIM, который позволяет суперадминистраторам выполнять следующие действия:
- Создавать пользователей: пользователи Okta, назначенные приложению Asana в Okta, автоматически добавляются в качестве участников вашей организации в Asana.
- Создавать пользователей: пользователи Okta, назначенные приложению Asana в Okta, автоматически добавляются в качестве участников вашей организации в Asana.
- Изменять атрибуты профилей пользователей: Такие атрибуты, как роль и отдел, можно синхронизировать в Asana из профиля пользователя, настроенного в Okta.
- Импортировать пользователей: создаваемых в Asana пользователей можно импортировать в Okta либо путём сопоставления с существующими пользователями Okta, либо путём создания новых пользователей Okta.
- Импортировать группы: группы, созданные в Asana, можно импортировать как группы в Okta. Необходимо учитывать, что Okta не позволяет управлять участием в этих импортируемых группах.
- Перемещать группы: сформированные в Okta группы и их участников можно переместить в Asana (в виде групп и участников групп Asana).
- Связывать группы: существующие в Asana группы можно связать с группами в Okta после импорта групп из Asana.
- Деактивировать пользователей: пользователей можно деактивировать в Asana, если они больше не привязаны к приложению Asana в Okta.
На данный момент не поддерживаются следующие функции, связанные с предоставлением прав:
- Повторная активация пользователей
- Удаление групп в Asana
При попытке импортировать в Okta пользователей или группы, в именах которых присутствуют эмодзи, возникнет ошибка, поскольку Okta поддерживает только символы с кодированием тремя или меньшим количеством байтов.
Требования
Убедитесь, что выполняются приведённые далее требования, и только после этого включите SCIM для своей организации.
- Вы являетесь суперадминистратором организации уровня Enterprise в Asana.
- У вас подключён соответствующий план Okta, позволяющий предоставлять права пользователям через SCIM. Подробнее см. в предложениях компании Okta по управлению жизненным циклом.
Если эти требования соблюдены, выполните следующие действия, чтобы включить SCIM для своей организации.
Действия
Шаг 1. Добавление приложения для интеграции Asana и Okta в учётную запись Okta
Войдите в Okta и добавьте интеграцию Asana для Okta:
- Нажмите Applications (Приложения) на боковой панели.
- Нажмите Browse App Catalog (Просмотр каталога приложений).
Как добавить Asana:
- Нажмите Collaboration and Productivity (Совместная работа и продуктивность).
- Нажмите Asana.
Шаг 2. Подключение учётной записи Asana организации к учётной записи Okta
Для использования функционала SCIM необходимо подключить учётную запись Asana организации к учётной записи Okta.
Выполните следующие действия в Asana
Войдите в учётную запись суперадминистратора в Asana и откройте консоль администратора. Для этого нужно нажать на фотографию профиля в правом верхнем углу и выбрать пункт Консоль администратора.
Перейдите на вкладку Приложения.
Нажмите Добавить служебную учётную запись.
При добавлении служебной учётной записи генерируется ключ API, который можно использовать на вкладке Предоставление прав в приложении Asana в Okta.
Выполните следующие действия в Okta
Зайдите на портал администратора Okta и на вкладке «Приложения» перейдите к приложению Asana.
Как подключить Asana к учётной записи Okta:
- Нажмите Provisioning (Предоставление прав).
- В разделе Settings (Настройки) на боковой панели нажмите Integration (Интеграция) и выберите Configure API Integration (Настроить API-интеграцию).
- Поставьте флажок Enable API integration (Включить API-интеграцию).
- В поле API Token (Токен API) введите токен, полученный на вкладке «Служебные учётные записи» в Asana.
- Нажмите Test API Credentials (Протестировать учётные данные API), чтобы проверить правильность задания токена.
- Нажмите Save (Сохранить), чтобы сохранить настройки в Okta.
Шаг 3. Настройка параметров предоставления прав для Asana в учётной записи Okta
В Okta
На вкладке приложений выберите приложение Asana и нажмите Предоставление прав.
Как задать параметры предоставления прав:
- В разделе Settings (Настройки) на боковой панели нажмите To App (К приложению).
- Нажмите Edit (Изменить) в правом верхнем углу.
- Включите параметры предоставления прав пользователей для приложения Asana и нажмите Save (Сохранить), чтобы применить настройки интеграции.
Рекомендуется включить Создание пользователей, Обновление атрибутов пользователей и Деактивация пользователей.
Перейдите на вкладку Import (Импорт) и соотнесите пользователей, обнаруженных в Asana, с пользователями в домене Okta. Импортируйте всех пользователей Asana, которых требуется создать или которым нужно назначить учётные записи Okta.
Администрирование пользователей, назначенных Asana, выполняется так же, как и в случае SAML через вкладку Assignments (Назначения). Теперь пользователи будут автоматически синхронизироваться со списком участников Asana.
Шаг 4. Сопоставление подготовленных пользователей с группами в Asana
Для того чтобы соотнести группы Okta с группами Asana, можно перенести новые группы в Asana или привязать группы из Okta к существующим группам в Asana. В случае привязки групп проконтролируйте, чтобы группы, с которыми вы хотите их соотнести, уже созданы в Asana. Подробнее о том, как создать группу в Asana, см. в этой статье руководства.
На портале администратора Okta:
- Перейдите в приложение Asana и нажмите Обновить группы приложений на вкладке Переместить группы, чтобы обновить информацию об импорте или изменениях в Asana. Таким образом, все группы из целевого приложения будут представлены в Okta.
- Нажмите кнопку «Действие» (настройки перемещения групп), если вам нужна возможность переименовать группу в Asana при привязке. Мы не рекомендуем переименовывать группу приложений во избежание случайных изменений в названиях групп в Asana.
- Нажмите Переместить группы.
- Выберите По имени и найдите группу в Okta по ключевому слову.
- Когда группа появится в таблице, нажмите выпадающее меню Результаты сопоставления и действие перемещения. Выберите Привязать группу, если хотите соотнести группу с существующей группой Asana. В противном случае выберите Создать группу. Нажмите «Сохранить», чтобы применить настройки интеграции.
Обратите внимание, что в этой интеграции не поддерживается удаление групп в Asana из Okta
Для управления группами и их удаления используйте вкладку «Группы» на консоли администратора в Asana.
Шаг 5. Настройка сопоставления атрибутов для Asana
Для настройки атрибутов и их сопоставления с профилями пользователей в Asana необходимо выполнить следующие действия.
- Перейдите в приложение Asana и нажмите на вкладку Предоставление прав.
- Настройте нужные параметры в разделе Сопоставление атрибутов Asana.
- Выберите Создать или Создать и обновить в столбце Применить к.
Атрибут | Тип | Информация | Заметки об ограничениях |
---|---|---|---|
userName | string | Уникальный идентификатор пользователя, обычно используемый для прямой аутентификации у поставщика услуг. У каждого пользователя ДОЛЖНО быть непустое значение userName, и это должен быть адрес электронной почты. ОБЯЗАТЕЛЬНО. | |
name | complex | Имя пользователя | |
name.given | string | Не поддерживается; использовать форматированным | |
name.familyName | string | Не поддерживается; использовать форматированным | |
name.formatted | string | Полное имя пользователя | |
emails | complex | Адреса электронной почты пользователя | |
emails.value | string | Адрес электронной почты пользователя | |
email.primary | string | Является ли данный адрес электронной почты предпочтительным для этого пользователя. У этого атрибута может быть только одно значение true. | |
title | string | Должность пользователя, например «вице-президент». | |
department | string | Обозначает название отдела, к которому относится пользователь. | |
preferredLanguage | string | Обозначает предпочтительный для пользователя язык письменной или устной речи. Используется для выбора локализованного интерфейса пользователя; например, en_US означает американский вариант английского языка. | Предпочтительный язык пользователя можно установить, только при условии создания пользователя в Asana. Изменение значения поля preferredLanguage в Okta у существующих пользователей Asana не отражается в Asana. |
Active | boolean | Указывает, активна ли учётная запись пользователя в Asana. |
Шаг 6. Как обновить текущую интеграцию Asana и Okta
Если вы в настоящее время используете интеграцию Asana и Okta, для получения последних обновлений выполните следующие действия.
- Нажмите Provisioning (Предоставление прав).
- На левой боковой панели нажмите Integration (Интеграция).
- Нажмите Edit (Изменить).
- Снимите флажок Enable API integration (Включить API-интеграцию) и нажмите Save (Сохранить).
Затем снова нажмите Изменить, поставьте флажок Включить API-интеграцию, введите токен API и нажмите Сохранить. Затем включите функции, связанные с предоставлением прав. После этого вы увидите обновлённые атрибуты и функции интеграции, отражённые в этой интеграции.
При назначении приложения Asana пользователям Okta для них создаётся учётная запись Asana, а также производятся все те действия, которые выполняются при приглашении пользователей в Asana. Важно помнить об этом и информировать пользователей о том, что им назначено приложение Asana.
Создавая или обновляя пользователей, используйте для них адреса электронной почты, соответствующие домену организации Asana. Предоставление прав гостям организации, а также их отзыв и управление ими осуществляется только на вкладке «Участники» в Asana.
OneLogin
Подробнее о том, как настроить предоставление прав SCIM с использованием OneLogin, см. здесь.
Для того чтобы включить функционал SCIM для поставщиков удостоверений, с которыми у нас нет готовых интеграций, ознакомьтесь с необходимыми атрибутами здесь.