Notion SAML SSO 配置
Notion SAML SSO 配置 - Notion 中文教程
文章目录
SAML SSO 配置
Notion 为商业和企业客户提供单点登录(SSO)功能,以便他们通过单一身份验证源访问应用程序。这使 IT 管理员能够更好地管理团队访问,并确保信息更加安全 🔐
内容
-
什么是 SAML SSO?
-
SSO 的优点
-
为工作区设置 SAML SSO
-
使用 Notion 进行 SSO 的先决条件
-
为单个工作区启用 SAML SSO
-
将其他工作区链接到现有的 SAML SSO 配置
-
执行 SAML SSO
-
及时 (JIT) 调配
-
身份提供商 (IdP) 设置
-
Entra ID
-
谷歌
-
Okta
-
OneLogin
-
Rippling
-
自定义 SAML SSO 配置
-
切换身份提供商
-
故障排除
Notion 的单点登录(SSO)服务基于 SAML 2.0 标准。该标准允许身份管理器将授权凭证安全地传递给 Notion 等服务提供商,并连接您的身份提供商(IdP)和工作区,以获得更轻松、更安全的登录体验。
什么是 SAML SSO?
SSO 服务允许用户使用一套凭证(如姓名或电子邮件地址和密码)访问多个应用程序。该服务只对终端用户被授予权限的所有应用程序进行一次身份验证。当用户在同一会话期间切换应用程序时,不会再有其他提示。
注: SAML SSO 适用于 Notion 商业或企业计划 的工作区。联系销售人员了解详情→
SSO 的优势
-
为工作空间所有者简化跨系统的用户管理。
-
终端用户无需记住和管理多个密码。简化终端用户的使用体验,让他们只需在一个接入点登录,即可在多个应用程序之间享受无缝体验。
注: 只有成员才能通过 SSO 访问工作区。不支持访客。访客通过 SSO 登录成功后,将转换为会员并分配许可证。
为工作区设置 SAML SSO
使用 Notion 进行 SSO 的先决条件
-
您的工作区必须在业务计划或企业计划中。
-
您的身份供应商(IdP)必须支持 SAML 2.0 标准。
-
只有工作区所有者才能为 Notion 工作区配置 SAML SSO。
-
工作区所有者至少已验证一个域。
为单个工作区启用 SAML SSO
-
转到 设置和成员,然后选择 设置 选项卡。
-
在 允许电子邮件域 部分,删除所有电子邮件域。
-
然后选择 “身份和供应” 选项卡。
-
验证一个或多个域。请参见此处的域验证说明 →
-
切换 启用 SAML SSO,SAML SSO 配置 模式将自动出现并提示您完成设置。
-
SAML SSO 配置 ” 模态分为两部分:
-
在您的身份供应商(IDP)门户网站上输入 认证消费者服务(ACS)URL。
-
身份提供商详细信息 ** 是一个必须向 Notion 提供 IDP URL 或 IDP 元数据 XML 的字段。
有关在何处输入和获取此信息的更多信息,请参阅以下 IDP 特定指南。
注意: Notion 上的 SAML SSO 不支持访客。
将其他工作区链接到现有的 SAML SSO 配置
在已验证域并启用 SAML SSO 的工作区中,有一个 链接工作区 部分,列出了与 SAML SSO 配置相关的所有工作区。
拥有经过验证的电子邮件地址并能访问主工作区或其中一个链接工作区的用户将能通过 SAML SSO 登录。
要从 SAML SSO 配置中添加或删除工作区,请通过 [email protected] 联系支持部门。
执行 SAML SSO
完成单个工作区的 SAML SSO 配置后,用户除了可以使用用户名/密码和谷歌身份验证等其他登录方法外,还可以通过 SAML SSO 登录。
- 为确保用户只能使用 SAML SSO 登录,而不能使用其他方法,请将 登录方法 更新为 “Only SAML SSO”。
-
SAML SSO 将仅对使用您已验证的域并可访问主工作区或链接工作区的用户执行。
-
受邀访问 Notion 工作区页面的访客无法使用 SAML SSO 登录;因此,他们将始终使用电子邮件/密码或 “继续使用 Google/Apple” 选项登录。
-
工作区所有者始终可以选择使用电子邮件和密码凭证绕过 SAML SSO。这样,他们就可以在 IdP/SAML 出现故障时访问 Notion。他们将能够登录并禁用或更新其配置。
Just-in-Time (JIT) Provisioning
使用 SAML SSO 时,Notion 支持即时配置。这允许通过 SAML SSO 登录的用户自动加入工作区成为成员。
要启用即时供应,请执行以下操作
- 在 设置与成员 -> 身份与供应 中,确保启用自动创建账户。
注意: 如果使用 SCIM,我们不建议启用即时供应。允许电子邮件域 ” 允许该域上的用户加入工作区,因此其身份供应商和 Notion 的成员资格可能不匹配。
身份供应商(IdP)设置
以下是使用 Entra ID(前身为 Azure)、Google、Okta 和 OneLogin 设置 Notion SAML SSO 的说明。如果您使用不同的身份提供商并需要配置帮助,请 联系我们的支持团队。
Entra ID
有关其他文档,您也可以参考 Entra ID 网站上的步骤:
第 1 步:创建新的应用程序集成
-
登录 Entra ID 门户。在左侧导航窗格中,选择 Azure Active Directory 服务。
-
导航至 企业应用程序,然后选择 所有应用程序。
-
要添加新应用程序,请选择 新应用程序。
-
在 从图库添加 部分,在搜索框中输入 Notion。从结果面板中选择 Notion,然后添加应用程序。等待几秒钟,应用程序就会添加到您的租户中。
第 2 步:创建 SAML 集成
-
在 Azure 门户的 Notion 应用程序集成页面,找到 管理 部分并选择 单点登录。
-
在 选择单点登录方法 页面,选择 SAML。
第 3 步:SAML 设置
-
在 Notion 中,进入 设置和成员 选项卡,然后选择 设置 选项卡
-
在 允许电子邮件域 部分,删除所有电子邮件域。
-
然后选择 “身份和供应” 选项卡。
-
验证一个或多个域。请参阅此处的域验证说明 →
-
切换 启用 SAML SSO,SAML SSO 配置 模式将自动出现并提示您完成设置。
-
SAML SSO 配置模块分为两部分:
- 一部分是 认证消费者服务(ACS)URL,将在您的身份提供商(IDP)门户中输入;
- 第二部分是 身份提供商详细信息,其中的 IDP URL 或 IDP 元数据 XML 必须提供给 Notion。
第 4 步:在 Entra ID 中配置 Notion 应用程序
-
在 “使用 SAML 设置单点登录” 页面,单击 “基本 SAML 配置” 的铅笔图标编辑设置。
-
在 基本 SAML 配置 部分,如果希望在 IDP 启动模式下配置应用程序,请输入以下字段的值:
-
在 标识符(实体 ID) 文本框中,输入以下 URL:
https://www.notion.so/sso/saml -
在 回复 URL(断言消费者服务 URL) 文本框中,使用 Notion 提供的 ACS URL,该 URL 位于左侧边栏 设置与成员 的 身份与供应 选项卡中。
-
在 登录 URL 文本框中,输入以下 URL:
https://www.notion.so/login
-
-
在 用户属性和要求 部分,确保所需要求设置为:
-
唯一用户标识符(名称 ID):
user.userprincipalname([nameid-format:emailAddress] 名称 ID) -
name:
user.givenname -
lastName:
user.surname -
电子邮件:
user.mail
-
-
在 使用 SAML 设置单点登录页面 的 SAML 签名证书 部分,单击 应用程序联盟元数据网址 旁边的复制按钮。
-
进入 Notion 工作区 设置与成员 > 身份与供应,将复制的 应用程序联盟元数据网址 值粘贴到 IDP 元数据网址字段 文本框中。确保选中 身份提供程序 URL 单选按钮。
第 5 步:将用户分配给 Notion
-
在 Azure 门户中,选择 企业应用程序,然后选择 所有应用程序。在应用程序列表中,选择 Notion。
-
在应用程序的概述页面中,找到 管理 部分,然后选择 用户和组。
-
选择 添加用户,然后在添加分配对话框中选择 用户和组。
-
在 用户和组对话框 中,从用户列表中选择,然后单击屏幕底部的 选择 按钮。
-
如果希望为用户分配一个角色,可以从 选择角色下拉菜单 中选择该角色。如果没有为该应用程序设置任何角色,则会看到 “默认访问” 角色被选中。
-
在 添加分配对话框 中,单击 分配 按钮。
谷歌
有关其他说明,也可参考 Google Workspace 管理帮助中心的文档:
第 1 步:获取谷歌身份提供商(IdP)信息
-
确保您已 登录到管理员帐户,以确保您的用户帐户具有适当的权限。
-
在管理控制台中,进入 “菜单” > “应用程序” > “网络和移动应用程序”。
-
在搜索栏中输入 Notion,然后选择 Notion SAML 应用程序。
-
在 “谷歌身份供应商” 详情页面,下载 IdP 元数据文件。
-
在兼容的编辑器中打开文件 “GoogleIDPMetadata.xml”,然后选择并复制文件内容。
-
打开管理控制台,在 Notion 应用程序中执行下一步后继续配置向导。
第 2 步:将 Notion 设置为 SAML 2.0 服务提供商
-
在 Notion 中,进入 “设置和成员” 选项卡,然后选择 “设置” 选项卡。
-
在 “允许的电子邮件域” 部分,删除所有电子邮件域。
-
选择 “身份和供应” 选项卡。
-
添加新域并验证。该域应与 Google Workspace 域相同。
-
在 “SAML 单点登录 (SSO)” 设置中,切换 “启用 SAML SSO”。这将打开 “SAML SSO 配置” 对话框。
-
在对话框中执行以下操作:
-
在 “身份提供程序详细信息” 下,选择 “IDP 元数据 XML”。
-
将 GoogleIDPMetadata.xml 文件的内容(在上述步骤 1 中复制)粘贴到 IDP 元数据 XML 文本框中。
-
复制并保存断言消费者服务 (ACS) URL。在下面第 3 步的管理控制台中完成 Google 端配置时将需要此 URL。
-
单击 “保存更改”。
-
-
确保其余选项 “登录方法”、“自动账户创建” 和 “链接的工作区” 包含您的配置所需的值。
第 3 步:在管理控制台完成 SSO 配置
-
返回管理控制台浏览器选项卡。
-
在 “谷歌身份供应商详细信息” 页面,点击 “继续”。
-
在 “服务提供商详细信息” 页面上,将 ACS URL 替换为上述步骤 2 中从 Notion 复制的 ACS URL。
-
点击 “继续”。
-
在 “属性映射” 页面,单击 “选择字段” 菜单,将以下 Google 目录属性映射到相应的 Notion 属性。请注意,名、姓和电子邮件为必填属性。
注意: profilePhoto 属性可用于在 Notion 中添加用户照片。要使用该属性,请 创建自定义属性 并在用户配置文件中填入照片的 URL 路径,然后将自定义属性映射到 profilePhoto。
-
可选:点击 “添加映射” 以添加任何其他映射。
-
单击 “完成”。
注意: 无论您输入多少个群组名称,SAML 响应都将只包括用户所属(直接或间接)的群组。更多信息,请参阅 关于组成员映射。
第 4 步:启用 Notion 应用程序
-
在管理控制台,转到 菜单 > 应用程序 > Web 和移动应用程序。
-
选择 Notion。
-
单击 用户访问。
-
要为组织中的每个人打开或关闭服务,请单击 为每个人打开 或 为每个人关闭,然后单击 保存。
-
(可选)要为某个组织单位开启或关闭服务,请执行以下操作:
-
在左侧选择组织单位。
-
要更改服务状态,请选择 “开” 或 “关”。
-
选择其一:如果服务状态设置为 “继承”,并且即使父设置更改,也要保留更新的设置,请单击 “覆盖”。如果服务状态设置为 “覆盖”,请单击 “继承” 恢复到与父设置相同的设置,或单击 “保存” 保留新设置,即使父设置发生更改。
注: 了解有关 组织结构 的更多信息。
-
-
(可选)为一组用户打开服务。使用 访问组 为组织单位内部或跨组织单位的特定用户打开服务。了解更多信息。
-
确保 Notion 用户账户的电子邮件 ID 与 Google 域名中的 ID 一致。
Okta
有关其他文档,您也可以点击此处参考 Okta 网站上的步骤:
第 1 步:从 Okta 应用程序目录中添加 Notion 应用程序
-
以管理员身份登录 Okta,进入 Okta 管理控制台。
-
转到 “应用程序” 选项卡,选择 “浏览应用程序目录”,然后在 “Okta 应用程序目录” 中搜索 “Notion”。
-
选择 “Notion” 应用程序,然后单击 “添加集成”。
-
在 常规设置 视图中,查看设置并单击 下一步。
-
在 登录选项 视图中,选择 SAML 2.0 选项。
-
在 “高级登录设置” 部分上方,单击 ” 身份提供