ユーザーのSAML認証のキーとなる値を変更したい

現在、Enterprise 組織のプランにてSAML認証を利用して
メールアドレスをキーに別基盤から連携しています。

基本的に1人1メールアドレス1アカウントなのですが、
あるケースとして同一人物だけれども雇用形態が変更されたことにより
別基盤側のIDが変わりメールアドレスも同じく変わることがあります。

何もしなければAsana側も新しいアカウントが発行され
古いアカウントは削除する運用になるのですが
同一人物なのでタスクは新しいアカウントに全て引き継ぐ必要があります。

少し特殊ではありますが、もし可能であれば
Asanaのアカウントは新しく発行するのではなく
前のアカウントを引き継ぐような運用をしたいです。

これは技術的に可能でしょうか。それとも諦めるべき内容でしょうか。

@池邊和馬 さん、ご質問ありがとうございます!

条件が合えば技術的には可能なように思われます。
まず条件として下記2つが必要です。

  • 新旧のメールアドレスが同じドメインであること
  • 作業実行時に新メールアドレス宛、旧メールアドレス宛、両方でメール受信ができること
    ※この条件が難しい場合は、この回答の一番最後にある「条件を満たしていない場合」をご検討ください。

条件を満たしている場合
以下の方法でアカウントの引継ぎが可能かと思います。

  1. 管理者コンソールから一時的にSAMLを「任意」に変更する
  2. 新メールアドレスでAsanaに新規アカウント登録をする(または管理者コンソールから新メールアドレスに招待を送る)
    ※注 Cookieが残っていると旧アカウントでのSAMLログインになってしまうので、別ブラウザを使用するか、Cookieの削除が必要
  3. 受信したメールからパスワードでログインし、Asanaの新アカウントを作成する
    ※注 SAMLでではなく、パスワードを設定してアカウントを作成する
  4. 新アカウントにAsanaにログインする(パスワード認証)
  5. 「設定」⇒「メール転送」 から旧メールアドレスを追加登録する(=新旧アカウントの統合、③で設定した新アカウントのパスワードが必要)
  6. アカウント統合の確認メールが旧メールアドレスに届くので、リンクをクリックする
  7. 新旧のAsanaアカウントが統合される(この時点ではログインは新旧アカウントどちらでもログイン可)
  8. Idp上のユーザープロファイルを新メールアドレスに変更する
  9. 管理者コンソールから、SAMLを「必須」に戻す
  10. 新メールアドレスによるSAML認証でAsanaにログインする
  11. 「設定」⇒「メール転送」 から旧メールアドレスを削除する(残したままでも問題なし)

条件を満たしていない場合

  1. 新メールアドレスでAsanaに新規アカウント登録し作成する
  2. 管理者コンソールから該当メンバーを組織から削除する
  3. メンバーを削除すると、削除前にそのユーザーに割り当てられていたタスクを含んだ非公開のプロジェクトが自動生成される
  4. この非公開プロジェクトを新メールアドレスで作成したアカウントをプロジェクトオーナーとして割り当てる
  5. このプロジェクトのすべてのタスクの割当をオーナー自身とする

条件を満たしていても、毎回SAML設定を変更する必要があるので一人ひとりに毎回行おうとすると結構な作業量になってしまいますね…。
ある程度まとめて削除・登録するような場合は最初の方法は有効だと思います。都度メンバーの管理を行う場合は2番目の方法のほうが実際には楽なように思われます。

よろしくお願いいたします。

@Kei_Mitsui さん、ご回答ありがとうございます!

とても丁寧な回答で大変分かりやすかったです、ありがとうございます。

ユースケースとしては「ある程度まとめて削除・登録」ではなく「都度メンバーの管理を行う」ことになるので
仰る通り、条件を満たしている/満たしていないに関係なく2番目の方法を取るのが確実そうですね。

元々、この質問を投げつつ並行で2番目の方法を取るつもりで進めていたのですが

  1. この非公開プロジェクトを新メールアドレスで作成したアカウントをプロジェクトオーナーとして割り当てる
  2. このプロジェクトのすべてのタスクの割当をオーナー自身とする

この部分についてはスマートな方法を確立できていなかったので、大変参考になりました!
繰り返しになりますが、ご回答ありがとうございました!!

2 Likes