Enterprise 組織の SecureAuth
このガイドを利用して、Asana の Enterprise 組織に SecureAuth を使った SAML をセットアップできます。
SAML 認証について、詳しくはこちらの記事をご覧ください。
ステップ 1
SecureAuth で Asana のレルムを新規作成し、Overview タブを構成します。
ステップ 2
Asana レルムの Data タブの Membership Connection Settings で Active Directory を構成します。
「プロフィールフィールド」セクションの「メール 1」プロパティフィールドが「メール」に設定されていることを確認してください。ここにはコネクタを介した Active Directory のメール属性を入力してください。入力が済んだら「保存」をクリックします。
ステップ 3
Asana レルムの Workflow タブで、必要に応じて設定を構成します。
SAML 2.0 Service Provider セクションで、SP Start URL を https://app.asana.com/ に設定します。入力後、「Save (保存)」をクリックします。
希望する認証ワークフロー次第では、Asana のモバイルアプリケーション用に 2 つ目のレルムを設定する必要がある場合があります。この場合は、ステップ 8 を参照してください。
ステップ 4
必要に応じて Registration Methods (登録方法) タブを構成します。入力後、「Save (保存)」をクリックします。
ステップ 5
Post Authentication (認証後) タブを次のとおりに構成します。
Post Authentication (認証後) セクション
- Authenticated User Redirect: SAML 2.0 (SP Initiated) Assertion Page
User ID Mapping (ユーザー ID マッピング) セクション
- User ID Mapping: Email 1
- Name ID Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- Encode to Base64: False
SAML Assertion/WS Federation セクション
- WSFed/SAML Issuer: "https://(SecureAuth IDP の URL を入力)
- SAML Recipient: https://app.asana.com/-/saml/consume
- SAML Audience: https://app.asana.com/
- SAML Offset Minutes: 6
- SAML Valid Hours: 1
- Append HTTPS to SAML Target URL: True
- Generate Unique Assertion ID: True
- Sign SAML Assertion: False
- Sign SAML Message: True
- Encrypt SAML Assertion: False
- Authentication Method (1.1): urn:oasis:names:tc:SAML:1.0:am:X509-PKI
- Confirmation Method (1.1): urn:oasis:names:tc:SAML:1.0:cm:bearer
- AuthnContextClass: Unspecified
- Include SAML Conditions: True
- SAML Response InResponseTO: True
- SubjectconviermationData Not Before: False
- Signing Cert Serial Number: (Select Certificate のリンクを使って適切な証明書を選択します)
SAML Attributes/WS Federation セクション
- Attribute 1
- Name: email
- Namespace (1.1): (空にします)
- Format: Basic
- Value: Email 1
- Group Filter Expression: *
入力後、「Save (保存)」をクリックします。
ステップ 6
この時点で SecureAuth は構成が完了し使用可能になっているため、次に Asana 側の SAML の構成が必要です。
ステップ 7
Asana の構成が終わったら、SecureAuth SAML インターフェイスをテストします。https://app.asana.com を開き、メールアドレスフィールドにメールアドレスを入力し、「ログイン」をクリックします。
SecureAuth Asana インターフェイスにリダイレクトされます。設定した認証方法によって、インターフェイスで求められる情報は異なります。正しい情報を入力したら、SecureAuth により SAML の成功アサーションが Asana に戻され、Asana アカウントにログインできます。
ステップ 8
ウェブページと Asana モバイルアプリで異なる認証方法が必要な場合は、次のことを行う必要があります。
- モバイルアプリ用のレルムを新規作成し、適切な名前を付けます (例: Asana Mobile Interface)。
- メインの Asana レルムからこの新しいレルムにすべての設定をコピーします。
- 必要に応じて「Workflow (ワークフロー)」タブを編集し、「Save (保存)」をクリックします。
- IIS Rewrite モジュールを SecureAuth サーバーにインストールします (再起動が必要な場合があります)。インストールは http://www.iis.net/downloads/microsoft/url-rewrite から実行できます。
- IIS 8.0 コンソールで、メインの Asana レルムのサブウェブサイトを右クリックし、「URK Rewrite」をクリックします。
- 「Add Rule(s) (ルールを追加)」をクリックし、「Inbound rules (インバウンドルール)」から「Blank Rule (空のルール)」を選択します。
- Name (名前) フィールドでルールの名前を External IP Redirection にします。
Match URL セクション:
- Requested URL: Matches the Pattern
- Using: Wildcards
- Pattern: *
Conditions セクション:
- Logical grouping: Match All
Add (追加) ボタンを使って次の設定で条件を追加します (必要な頻度で)。
- Condition input: {REMOTE_ADDR}
- Check if input string: Does Not Match the Pattern
- Pattern: (内部 IP アドレスブロックを入力します。例: 8.4.*.*)
Action セクション:
- Action type: Redirect
- Action Properties -> Rewrite URL: /(IIS サブサイト名を入力します。例: /asanaext)
- Redirect type: Temporary (307)