SecureAuth для организаций Enterprise
Это руководство поможет настроить SAML с использованием SecureAuth для организации Enterprise в Asana.
Подробнее об аутентификации с использованием SAML читайте в этой статье.
Шаг 1
Создайте новую область действия для Asana в SecureAuth и настройте вкладку Overview (Обзор) соответствующим образом.
Шаг 2
На вкладке Data (Данные) в области действий Asana задайте настройки подключения учётной записи к Active Directory.
В разделе Profile Fields (Поля профиля) в поле свойства Email 1 должно быть указано значение "mail", которое соответствует атрибуту электронной почты Active Directory через коннектор. Введя значение, нажмите кнопку Save (Сохранить).
Шаг 3
На вкладке Workflow (Рабочий процесс) в области Asana выставьте необходимые настройки.
В разделе SAML 2.0 Service Provider (Поставщик услуг SAML 2.0) параметру SP Start URL (Начальный URL поставщика услуг) должен быть задан адрес "https://app.asana.com/" (без кавычек). Введя нужное значение, нажмите Save (Сохранить).
В зависимости от того, какой процесс аутентификации требуется реализовать, возможно, необходимо будет создать вторую область для мобильного приложения Asana. В этом случае см. шаг 8.
Шаг 4
Задайте необходимые настройки на вкладке Registration Methods (Методы регистрации). Введя нужные значения, нажмите кнопку Save (Сохранить).
Шаг 5
На вкладке Post Authentication (После аутентификации) задайте следующие настройки:
Раздел Post Authentication (После аутентификации)
- Authenticated User Redirect (Перенаправление прошедшего аутентификацию пользователя): SAML 2.0 (SP Initiated) Assertion Page (Страница утверждения SAML 2.0 (инициированная поставщиком услуг))
Раздел User ID Mapping (Сопоставление идентификатора пользователя)
- User ID Mapping (Сопоставление идентификатора пользователя): Email 1
- Name ID Format (Формат идентификатора имени): urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- Encode to Base64 (Кодировать по Base64): False
Раздел SAML Assertion/WS Federation (Утверждение SAML/федерация WS)
- WSFed/SAML Issuer (Источник WSFed/SAML): "https://(вставьте url для IDP SecureAuth)
- SAML Recipient (Получатель SAML): https://app.asana.com/-/saml/consume
- SAML Audience (Аудитория SAML): https://app.asana.com/
- SAML Offset Minutes (Смещение SAML, в мин.): 6
- SAML Valid Hours (Часов действия SAML): 1
- Append HTTPS to SAML Target URL (Добавлять HTTPS к целевому URL SAML): True
- Generate Unique Assertion ID (Формировать уникальный идентификатор утверждения): True
- Sign SAML Assertion (Подписывать утверждение SAML): False
- Sign SAML Message (Подписывать сообщение SAML): True
- Encrypt SAML Assertion (Шифровать утверждение SAML): False
- Authentication Method (1.1) (Метод аутентификации (1.1)): urn:oasis:names:tc:SAML:1.0:am:X509-PKI
- Confirmation Method (1.1) (Метод подтверждения (1.1)): urn:oasis:names:tc:SAML:1.0:cm:bearer
- AuthnContextClass: Unspecified
- Include SAML Conditions (Включая условия SAML): True
- SAML Response InResponseTO (InResponseTO ответа SAML): True
- SubjectconviermationData Not Before (SubjectconviermationData не раньше): False
- Signing Cert Serial Number (Серийный номер подписывающего сертификата): (используйте ссылку Select Certificate, чтобы выбрать необходимый сертификат)
Раздел SAML Attributes/WS Federation (Атрибуты SAML/федерация WS)
- Attribute (Атрибут) 1
- Name (Имя): email
- Namespace (1.1) (Пространство имён (1.1)): (оставить пустым)
- Format (Формат): Basic
- Value (Значение): Email 1
- Group Filter Expression (Выражение фильтра группы): *
Введя все необходимые данные, нажмите Save (Сохранить).
Шаг 6
На этом настройка SecureAuth завершается. Далее необходимо настроить Asana для SAML.
Шаг 7
После выполнения настройки Asana можно будет проверить интерфейс SecureAuth SAML. Перейдите по адресу https://app.asana.com, введите свой адрес электронной почты в соответствующее поле и нажмите «Войти».
Вы будете перенаправлены в интерфейс SecureAuth Asana. Информация, ввести которую потребует интерфейс, зависит от используемых методов аутентификации. После указания нужной информации, SecureAuth передаст Asana подтверждение SAML, и вы войдёте в свою учётную запись Asana.
Шаг 8
В тех случаях, когда для веб-версии и для мобильного приложения Asana требуются разные методы аутентификации, выполните следующие действия:
- Создайте новую область для мобильного приложения и дайте ей соответствующее название (например, «Интерфейс Asana для мобильных устройств»).
- Скопируйте все настройки для этой новой области из основной области Asana.
- На вкладке Workflow (Рабочий процесс) внесите изменения, соответствующие вашим требованиям, и нажмите кнопку Save (Сохранить).
- Установите модуль IIS Rewrite на сервер SecureAuth (может понадобиться перезагрузка). Загрузить его можно со страницы http://www.iis.net/downloads/microsoft/url-rewrite
- В консоли IIS 8.0 щёлкните правой кнопкой мыши вложенный веб-сайт основной области Asana и выберите пункт URK Rewrite (Перезапись URK).
- Нажмите Add Rule(s) (Добавить правила) и в разделе Inbound rules (Входящие правила) выберите Blank Rule (Пустое правило).
- В поле Name (Имя) присвойте правилу название External IP Redirection (Перенаправление внешних IP).
В разделе Match URL (URL сопоставления) задайте следующие настройки:
- Requested URL (Запрошенный URL): Matches the Pattern (Соответствует шаблону)
- Using (Использование): Wildcards (Подстановочные символы)
- Pattern (Шаблон): *
В разделе Conditions (Условия) задайте следующие настройки:
- Logical grouping (Логическое группирование): Match All (Сопоставлять все)
Добавьте необходимые условия, используя кнопку Add (Добавить), со следующими настройками:
- Condition input (Ввод условия): {REMOTE_ADDR}
- Check if input string (Проверять входную строку): Does Not Match the Pattern (Не соответствует шаблону)
- Pattern (Шаблон): (вставьте блок внутренних IP-адресов, например 8.4.*.*)
В разделе Action (Действие) задайте следующие настройки:
- Action type (Тип действия): Redirect (Перенаправление)
- Action Properties (Свойства действия) -> Rewrite URL (Перезапись URL): /(вставьте имя подсайта IIS, например, /asanaext)
- Redirect type (Тип перенаправления): Temporary (307)