Samouczek: konfigurowanie aplikacji Asana na potrzeby automatycznej aprowizacji użytkowników
W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze Asana, jak i identyfikatorze Entra firmy Microsoft, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizację użytkowników i grup w usłudze Asana przy użyciu usługi aprowizacji Firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Obsługiwane funkcje
- Tworzenie użytkowników w usłudze Asana.
- Usuń użytkowników w usłudze Asana, gdy nie będą już wymagać dostępu.
- Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i aplikacją Asana.
- Aprowizuj grupy i członkostwa w grupach w usłudze Asana.
- Logowanie jednokrotne do aplikacji Asana (zalecane).
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:
- Dzierżawa Microsoft Entra
- Dzierżawa usługi Asana z planem Enterprise lub jest lepiej włączona
- Konto użytkownika w usłudze Asana z uprawnieniami administratora
Uwaga
Integracja aprowizacji firmy Microsoft opiera się na interfejsie API usługi Asana, który jest dostępny dla usługi Asana.
Krok 1. Planowanie wdrożenia aprowizacji
- Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
- Określ, kto znajdzie się w zakresie aprowizacji.
- Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i platformą Asana.
Krok 2. Konfigurowanie aplikacji Asana w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft
Napiwek
Aby włączyć logowanie jednokrotne oparte na protokole SAML dla aplikacji Asana, postępuj zgodnie z podanymi instrukcjami. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje uzupełniają się wzajemnie.
Generowanie tokenu konta usługi w usłudze Asana
Zaloguj się do aplikacji Asana przy użyciu konta administratora.
Wybierz zdjęcie profilu na górnym pasku, a następnie wybierz pozycję Administracja Konsola.
Wybierz kartę Aplikacje z konsoli administracyjnej.
Wybierz pozycję Konta usług.
Wybierz pozycję Dodaj konto usługi i wykonaj następujące kroki.
- Zaktualizuj nazwę i opis zgodnie z potrzebami.
- W sekcji Zakresy uprawnień wybierz pozycję Uprawnienia w zakresie i Aprowizowanie użytkowników (SCIM). Upewnij się, że wybrano następujące zakresy uprawnień:
- Użytkownicy: odczyt
- Użytkownicy: tworzenie i modyfikowanie
- Zespoły: odczyt
- Teams: Tworzenie i modyfikowanie
- Wybierz Zapisz zmiany.
Skopiuj token.
Krok 3. Dodawanie aplikacji Asana z galerii aplikacji Microsoft Entra
Dodaj aplikację Asana z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze Asana. Jeśli wcześniej skonfigurowano aplikację Asana na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.
Krok 4. Definiowanie, kto będzie w zakresie aprowizacji
Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.
Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.
Jeśli potrzebujesz więcej ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.
Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Asana
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze Asana na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.
Aby skonfigurować automatyczną aprowizację użytkowników dla usługi Asana w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>
Na liście aplikacji wybierz pozycję Asana.
Wybierz kartę Aprowizacja.
Ustaw Tryb aprowizacji na Automatyczny.
W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy usługi Asana i token tajny dostarczony przez usługę Asana. Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z usługą Asana. Jeśli połączenie nie powiedzie się, skontaktuj się z asana, aby sprawdzić konfigurację konta.
W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą Asana.
Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do aplikacji Asana w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Asana na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API usługi Asana obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez asana userName String ✓ ✓ aktywne Wartość logiczna name.formatted String title String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Odwołanie addresses[type eq "work"].country String addresses[type eq "work"].region String addresses[type eq "work"].locality String phoneNumbers[type eq "work"].value String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Asana.
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Asana w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania grup w usłudze Asana na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez asana displayName String ✓ ✓ członkowie Odwołanie Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Asana, zmień stan aprowizacji na Wł. w sekcji Ustawienia.
Zdefiniuj użytkowników i grupy, które chcesz aprowizować w usłudze Asana, wybierając odpowiednie wartości w sekcji Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.
Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.
Krok 6. Monitorowanie wdrożenia
Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:
- Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
- Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zamknięcia do ukończenia
- Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.
Dziennik zmian
- 11.06.2021 — Porzucona obsługa identyfikatorów externalId, name.givenName i name.familyName. Dodano obsługę preferredLanguage , title i urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department. Włączono aprowizację grup.
- 05/23/2023 — Porzucone wsparcie dla preferredLanguage Dodano obsługę urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.
- 09/07/2023 — dodano obsługę adresów[type eq "work"].locality, addresses[type eq "work"].region, addresses[type eq "work"].country, phoneNumbers[type eq "work"].value, urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber, urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter, urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization and urn: ietf:params:scim:schemas:extension:enterprise:2.0:User:division.
Więcej zasobów
- Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?