使用 SCIM 进行用户和组的配置
在本文中
您可以使用跨域身份管理系统(SCIM)API 标准来为您的 Notion 工作区提供和管理用户和组 🔑
目录
- 使用 Notion 的 SCIM API 可以做什么
- 如何设置 SCIM 配置
- 使��用 Notion 的 SCIM 前提条件
- 生成您的 SCIM API 令牌
- 撤销令牌
- 替换现有令牌
- 服务提供商配置
- 身份提供者 (IdP) 设置
- Azure
- Gusto
- Okta
- OneLogin
- Rippling
- 用户
- 组
使用 Notion 的 SCIM API 可以做什么
用户配置与管理:
- 创建并删除工作区成员
- 更新成员的个人资料信息
- 检索工作区中的成员
- 通过电子邮件或姓名查找成员
群组配置和管理:
- 在您的工作区中创建和删除群组
- 向群组添加和移除成员
- 检索您的工作区中的群组
- 根据名称查找群组
不支持的功能:
- 管理工作区访客
如何使用 SCIM 设置配置
我们目前支持 Okta、OneLogin、Rippling、Gusto 和自定义 SCIM 应用。
如果您使用其他身份提供者,请告诉我们。
使用 Notion 进行 SCIM 的先决条件
- 您的工作区必须是 企业计划
- 您的身份提供者(IdP)必须支持 SAML 2.0 协议
- 只有 Workspace Owner 才能为 Notion 工作区配置 SCIM
- 至少一个域已由 Workspace Owner 验证。了解更多关于域验证 →
生成您的 SCIM API 令牌
企业计划工作区所有者可通过以下路径生成和查看 SCIM API 令牌:
设置和成员 → 安全性和身份 → SCIM 配置
- 点击右上角的 + 新建令牌 按钮生成新令牌
- 每个工作区所有者生成 唯一的令牌,仅自己可见
撤销令牌
当工作区所有者离开工作区或角色变更时,其令牌将自动注销。
系统会向剩余的工作区所有者发送通知,提示替换已注销的令牌。
此外,任何工作区所有者均可手动撤销活跃令牌:
点击对应令牌旁的 🗑️ 图标即可。
替换现有令牌
若令牌被撤销,需在所有相关集成中将其替换。
依赖该令牌的所有 SCIM 集成和用户配置将 立即禁用,直至使用有效令牌更新。
注意: 为避免中断现有集成,请在撤销前确保替换所有关联的管理员令牌。
服务提供商配置
-
GET /ServiceProviderConfig
GET https://api.notion.com/scim/v2/ServiceProviderConfig
检索可用 SCIM 规范功能的描述。
定义见 SCIM 协议规范第 5 节 -
GET /ResourceTypes
GET https://api.notion.com/scim/v2/ResourceTypes
检索可用的 SCIM 资源类型列�表。
定义见 SCIM 协议规范第 6 节
身份提供者(IdP)设置
Azure
更多说明请参考 Azure Active Directory 帮助中心:
配置 Notion 进行自动用户提供
Notion 的 Azure SCIM 集成支持以下功能:
- 创建用户
- 删除用户
- 同步用户属性(Azure AD ↔ Notion)
- 提供组及组成员身份
- 单点登录 至 Notion(推荐)
注意: 部署前请参考 Azure 文档 制定计划。
步骤 1:在 Notion 中启用配置
- 进入
设置和成员→身份验证和自动化配置 - 滚动至
SCIM 自动化配置部分 - 若未生成令牌,点击 + 添加令牌 并复制
→ 此令牌将在第 5.5 步作为 Secret Token 使用 - Notion 的 SCIM 租户 URL 为:
https://www.notion.so/scim/v2
→ 第 5.5 步需填写此 URL
步骤 2:从 Azure AD 应用程序库添加 Notion
步骤 3:配置自动用户提供给 Notion
- 登录 Azure 门户
- 选择
企业应用程序→所有应用程序 - 在列表中选择 Notion
- 点击
Provisioning标签页 - 将
Provisioning Mode设为Automatic - 在
Admin Credentials中填入:- Tenant URL:
https://www.notion.so/scim/v2 - Secret Token: 上一步复制的令牌
- Tenant URL:
- 点击
Test Connection验证连接
→ 失败请检��查管理员权限并重试 - 点击
Save - 在
Mappings下配置用户同步选项 - 检查属性映射,确认后保存
- 在
Mappings下配置组同步选项 - 检查组属性映射,确认后保存
- 在
Settings中将Provisioning Status设为On - 使用
Scope定义要同步的用户 / 组 - 点击
Save开始配置
注意: 此操作将触发初始同步周期,耗时较长。后续周期约每 40 分钟执行一次。
Google
更多说明请参考 Google Workspace 管理帮助中心:
配置 Notion 用户供应
Notion 的 Google SCIM 集成支持:
- 创建用户
- 更新用户属性(仅限组织域邮箱用户)
- 停用用户(从工作区移除)
注意: Google SCIM 不支持组配置。
步骤 1:在 Notion 中启用配置
- 进入
设置与成员→身份验证与配置 - 滚动至
SCIM 配置部分 - 点击现有令牌旁的 “复制”,或点击 + 添加令牌 创建新令牌
步骤 2:在 Google 中配置
Gusto
详细设置请参考:
Gusto 与 Notion 集成
步骤 1:连接并验证账户
- 在 Notion 侧边栏进入
设置与成员→身份验证与配置 - 在
SCIM 配置下点击 + 添加令牌 并复制 - 在 Gusto 中:
- 将令牌粘贴至 SCIM API 密钥字段
- 输入您的 Notion 账户邮箱
步骤 2:匹配 Gusto 团队成员与 Notion 用户
Okta
Notion 的 Okta 集成 支持:
- 创建用户
- 更新用户属性(组织域邮箱用户)
- 停用用户(从工作区移除)
- 推送群组
步骤 1:在 Notion 中启用配置
- 进入
设置和成员→身份验证和配置 - 滚动至
SAML 单点登录 (SSO)部分 - 点击 编辑 SAML SSO 配置
- 复制
Assertion Consumer Service (ACS) URL,稍后使�用 - 返回并滚动至
SCIM provisioning部分 - 若未生成令牌,点击 + 添加令牌 并复制,稍后使用
步骤 2:在 Okta 中配置
- 从 Okta 应用目录 添加 Notion 应用
- 在
Login Options→Application username format选择 Email - 在
Provisioning标签页:- 点击 Configure API integration
- 勾选 Enable API integration
- 在
API Token中粘贴 Notion SCIM 令牌 - 点击
Save
- 点击
Provisioning to App旁的编辑按钮,启用所需功能(创建/更新/停用用户),保存 - 在
Push Groups标签页,点击Push Groups添加需同步的 Okta 群组
注意: 更新用户 / 组时,请勿从 Okta 删除 Notion 应用,否则将移除所有已配置用户。
遇到问题请联系 [email protected]
OneLogin
更多文档请参考:
向 Notion 提供用户
Notion 的 OneLogin 集成支持:
- 创建用户
- 更新用户属性(组织域邮箱用户)
- 停用用户(从工作区移除)
- 创建规则,将 OneLogin 角色映射至 Notion 权限组
注意: 若通过 OneLogin 提供用户,请 先配置 SCIM,再配置 SSO。
步骤 1:在 Notion 中启用配置
- 进入
设置和成员→身份验证和提供功能 - 滚动至
SAML 单点登录 (SSO)部分 - 点击 编辑 SAML SSO 配置
- 复制
断言消费者服务 (ACS) URL,稍后使用 - 返回并滚动至
SCIM 提供功能部分 - 若未生成令牌,点击 + 添加令牌 并复制,稍后使用
注意: 仅工作区所有者可复制自己生成的令牌。若他人已创建,请协调是否需要新令牌。
一旦生成者离开或被降级,其所有令牌将过期。
步骤 2:在 OneLogin 中配置
- 进入
管理→应用程序→应用程序 - 点击
添加应用,搜索 Notion,选择 SAML 2.0 版本 - 点击
保存 - 进入
配置标签页:- 将 ACS URL 粘贴至
消费者 URL - 将 SCIM 令牌粘贴至
SCIM Bearer Token - 点击
启用
- 将 ACS URL 粘贴至
- 进入
供应商设置标签页:- 在
Workflow下勾选 “启用供应” - 点击右上角
保存
- 在
- (可选)启用 “需要管理员批准”
- (可选)设置用户从 OneLogin 删除时的行为:
删除:从 Notion 工作区移除不执行任何操作
- 点击右上角
保存
Rippling
详细文档请查看:
Rippling App Shop — Notion
用户
下表列出 SCIM 用户属性与 Notion 用户字段的映射关系。其余属性将被忽略。
-
GET /Users
GET https://api.notion.com/scim/v2/Users
获取工作区成员分页列表。
使用startIndex(从 1 开始)和count分页。
使用filter过滤,支持email、given_name、family_name。
示例:
GET https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email eq [email protected]
→given_name和family_name区分大小写,email自动转小写。 -
GET /Users/<id>
GET https://api.notion.com/scim/v2/Users/<id>
通过 Notion 用户 ID 获取特定成员。
ID 为 32 字符 UUID,格式:00000000-0000-0000-0000-000000000000
→meta.created和meta.lastModified无实际时间意义。 -
POST /Users
POST https://api.notion.com/scim/v2/Users
若用户已存在相同邮箱的 Notion 账户,则加入工作区。
否则创建新用户并加入工作区,与其配置文件映射。 -
PATCH /Users/<id>
PATCH https://api.notion.com/scim/v2/Users/<id>
通过操作序列更新用户,返回更新后记录。注意: 仅当验证用户邮箱域所有权后,方可更新资料(通常与 SAML SSO 域一致)。
联系我们 验证新域。 -
PUT /Users/<id>
PUT https://api.notion.com/scim/v2/Users/<id>
更新并返回用户记录。 -
DELETE /Users/<id>
DELETE https://api.notion.com/scim/v2/Users/<id>
从工作区移除用户,并注销其所有会话。
→ 用户账户本身无法通过 SCIM 删除,需手动操作。
也可通过PATCH或PUT将active设为false实现移除。
注意: 创建 SCIM 机器人令牌的工作区所有者 无法通过 API 移除自己。
若通过 SCIM API 移除所有者,其所有令牌将被撤销,相关集成将失效。
群组
-
GET /Groups
GET https://api.notion.com/scim/v2/Groups
获取工作区群组分页列表。
使用startIndex(从 1 开始)和count(最大 100)分页。
示例:GET https://api.notion.com/scim/v2/Groups?startIndex=1&count=5
若不分页,最多返回 100 个群组。
使用filter按displayName过滤。
示例:GET https://api.notion.com/scim/v2/Groups?filter=displayName eq Designers -
GET /Groups/<id>
GET https://api.notion.com/scim/v2/Groups/<id>
通过 Notion 群组 ID 获取特定群组。
ID 为 32 字符 UUID,格式:00000000-0000-0000-0000-000000000000 -
POST /Groups
POST https://api.notion.com/scim/v2/Groups
创建新工作区群组。 -
PATCH /Groups/<id>
PATCH https://api.notion.com/scim/v2/Groups/<id>
通过操作序列更新群组。 -
PUT /Groups/<id>
PUT https://api.notion.com/scim/v2/Groups/<id>
更新群组。 -
DELETE /Groups/<id>
DELETE https://api.notion.com/scim/v2/Groups/<id>
删除工作区群组。
注意: 若删除会导致某页面无人拥有完全访问权限,则禁止删除。