SecureAuth для организаций Enterprise

Это руководство поможет настроить SAML с использованием SecureAuth для организации Enterprise в Asana.

Подробнее об аутентификации с использованием SAML читайте в этой статье.

Шаг 1

Создайте новую область действия для Asana в SecureAuth и настройте вкладку Overview (Обзор) соответствующим образом.

Шаг 2

На вкладке Data (Данные) в области действий Asana задайте настройки подключения учётной записи к Active Directory.

В разделе Profile Fields (Поля профиля) в поле свойства Email 1 должно быть указано значение "mail", которое соответствует атрибуту электронной почты Active Directory через коннектор. Введя значение, нажмите кнопку Save (Сохранить).

Шаг 3

На вкладке Workflow (Рабочий процесс) в области Asana выставьте необходимые настройки.

В разделе SAML 2.0 Service Provider (Поставщик услуг SAML 2.0) параметру SP Start URL (Начальный URL поставщика услуг) должен быть задан адрес "https://app.asana.com/" (без кавычек). Введя нужное значение, нажмите Save (Сохранить).

В зависимости от того, какой процесс аутентификации требуется реализовать, возможно, необходимо будет создать вторую область для мобильного приложения Asana. В этом случае см. шаг 8.

Шаг 4

Задайте необходимые настройки на вкладке Registration Methods (Методы регистрации). Введя нужные значения, нажмите кнопку Save (Сохранить).

Шаг 5

На вкладке Post Authentication (После аутентификации) задайте следующие настройки:

Раздел Post Authentication (После аутентификации)

• Authenticated User Redirect (Перенаправление прошедшего аутентификацию пользователя): SAML 2.0 (SP Initiated) Assertion Page (Страница утверждения SAML 2.0 (инициированная поставщиком услуг))

Раздел User ID Mapping (Сопоставление идентификатора пользователя)

• User ID Mapping (Сопоставление идентификатора пользователя): Email 1
• Name ID Format (Формат идентификатора имени): urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Encode to Base64 (Кодировать по Base64): False

Раздел SAML Assertion/WS Federation (Утверждение SAML/федерация WS)

• WSFed/SAML Issuer (Источник WSFed/SAML): "https://(вставьте url для IDP SecureAuth)
• SAML Recipient (Получатель SAML): https://app.asana.com/-/saml/consume
• SAML Audience (Аудитория SAML): https://app.asana.com/
• SAML Offset Minutes (Смещение SAML, в мин.): 6
• SAML Valid Hours (Часов действия SAML): 1
• Append HTTPS to SAML Target URL (Добавлять HTTPS к целевому URL SAML): True
• Generate Unique Assertion ID (Формировать уникальный идентификатор утверждения): True
• Sign SAML Assertion (Подписывать утверждение SAML): False
• Sign SAML Message (Подписывать сообщение SAML): True
• Encrypt SAML Assertion (Шифровать утверждение SAML): False
• Authentication Method (1.1) (Метод аутентификации (1.1)): urn:oasis:names:tc:SAML:1.0:am:X509-PKI
• Confirmation Method (1.1) (Метод подтверждения (1.1)): urn:oasis:names:tc:SAML:1.0:cm:bearer
• AuthnContextClass: Unspecified
• Include SAML Conditions (Включая условия SAML): True
• SAML Response InResponseTO (InResponseTO ответа SAML): True
• SubjectconviermationData Not Before (SubjectconviermationData не раньше): False
• Signing Cert Serial Number (Серийный номер подписывающего сертификата): (используйте ссылку Select Certificate, чтобы выбрать необходимый сертификат)

Раздел SAML Attributes/WS Federation (Атрибуты SAML/федерация WS)

• Attribute (Атрибут) 1
• Name (Имя): email
• Namespace (1.1) (Пространство имён (1.1)): (оставить пустым)
• Format (Формат): Basic
• Value (Значение): Email 1
• Group Filter Expression (Выражение фильтра группы): *

Введя все необходимые данные, нажмите Save (Сохранить).

Шаг 6

На этом настройка SecureAuth завершается. Далее необходимо настроить Asana для SAML.

Шаг 7

После выполнения настройки Asana можно будет проверить интерфейс SecureAuth SAML. Перейдите по адресу https://app.asana.com, введите свой адрес электронной почты в соответствующее поле и нажмите «Войти».

Вы будете перенаправлены в интерфейс SecureAuth Asana. Информация, ввести которую потребует интерфейс, зависит от используемых методов аутентификации. После указания нужной информации, SecureAuth передаст Asana подтверждение SAML, и вы войдёте в свою учётную запись Asana.

Шаг 8

В тех случаях, когда для веб-версии и для мобильного приложения Asana требуются разные методы аутентификации, выполните следующие действия:

• Создайте новую область для мобильного приложения и дайте ей соответствующее название (например, «Интерфейс Asana для мобильных устройств»).
• Скопируйте все настройки для этой новой области из основной области Asana.
• На вкладке Workflow (Рабочий процесс) внесите изменения, соответствующие вашим требованиям, и нажмите кнопку Save (Сохранить).
• Установите модуль IIS Rewrite на сервер SecureAuth (может понадобиться перезагрузка). Загрузить его можно со страницы http://www.iis.net/downloads/microsoft/url-rewrite
• В консоли IIS 8.0 щёлкните правой кнопкой мыши вложенный веб-сайт основной области Asana и выберите пункт URK Rewrite (Перезапись URK).
• Нажмите Add Rule(s) (Добавить правила) и в разделе Inbound rules (Входящие правила) выберите Blank Rule (Пустое правило).
• В поле Name (Имя) присвойте правилу название External IP Redirection (Перенаправление внешних IP).

В разделе Match URL (URL сопоставления) задайте следующие настройки:

• Requested URL (Запрошенный URL): Matches the Pattern (Соответствует шаблону)
• Using (Использование): Wildcards (Подстановочные символы)
• Pattern (Шаблон): *

В разделе Conditions (Условия) задайте следующие настройки:

• Logical grouping (Логическое группирование): Match All (Сопоставлять все)

Добавьте необходимые условия, используя кнопку Add (Добавить), со следующими настройками:

• Condition input (Ввод условия): {REMOTE_ADDR}
• Check if input string (Проверять входную строку): Does Not Match the Pattern (Не соответствует шаблону)
• Pattern (Шаблон): (вставьте блок внутренних IP-адресов, например 8.4.*.*)

В разделе Action (Действие) задайте следующие настройки:

• Action type (Тип действия): Redirect (Перенаправление)
• Action Properties (Свойства действия) -> Rewrite URL (Перезапись URL): /(вставьте имя подсайта IIS, например, /asanaext)
• Redirect type (Тип перенаправления): Temporary (307)