跳到主要内容

SAML SSO 配置

SAML SSO 配置 - 英雄

Notion 为商业和企业客户提供单点登录(SSO)功能,以便他们通过单一身份验证源访问应用程序。这使 IT 管理员能够更好地管理团队访问,并确保信息更加安全 🔐

内容

  • 什么是 SAML SSO?

  • SSO 的优点

  • 为工作区设置 SAML SSO

  • 使用 Notion 进行 SSO 的先决条件

  • 为单个工作区启用 SAML SSO

  • 将其他工作区链接到现有的 SAML SSO 配置

  • 执行 SAML SSO

  • 及时 (JIT) 调配

  • 身份提供商 (IdP) 设置

  • Entra ID

  • 谷歌

  • Okta

  • OneLogin

  • Rippling

  • 自定义 SAML SSO 配置

  • 切换身份提供商

  • 故障排除


Notion 的单点登录(SSO)服务基于 SAML(安全断言标记语言)2.0 标准,该标准允许身份管理器将授权凭证安全地传递给 Notion 等服务提供商,并连接您的身份提供商(IdP)和工作区,以获得更轻松、更安全的登录体验。

什么是 SAML SSO?

SSO 服务允许用户使用一套凭证(如姓名或电子邮件地址和密码)访问多个应用程序。该服务只对终端用户被授予权限的所有应用程序进行一次身份验证,当用户在同一会话期间切换应用程序时,不会再有其他提示。

注: SAML SSO 适用于 Notion 商业或企业计划 的工作区。联系销售人员了解详情→

SSO 的优势

  • 为工作空间所有者简化跨系统的用户管理。

  • 终端用户无需记住和管理多个密码。简化终端用户的使用体验,让他们只需在一个接入点登录,即可在多个应用程序之间享受无缝体验。

注: 只有成员才能通过 SSO 访问工作区。不支持访客。访客通过 SSO 登录成功后,将转换为会员并分配许可证。

了解有关 Notion 工作区中成员和访客的更多信息 →

为工作区设置 SAML SSO

使用 Notion 进行 SSO 的先决条件

  • 您的工作区必须在业务计划或企业计划中。

  • 您的身份供应商(IdP)必须支持 SAML 2.0 标准。

  • 只有工作区所有者才能为 Notion 工作区配置 SAML SSO。

  • 工作区所有者至少已验证一个域。

###为单个工作区启用 SAML SSO

  • 转到设置和成员,然后选择设置选项卡。

  • 允许电子邮件域部分,删除所有电子邮件域。

  • 然后选择 "身份和供应"选项卡。

SAML SSO - 菜单

  • 验证一个或多个域。请参见此处的域验证说明 →

  • 切换启用 SAML SSOSAML SSO 配置模式将自动出现并提示您完成设置。

  • SAML SSO 配置 "模态分为两部分:

  • 在您的身份供应商(IDP)门户网站上输入认证消费者服务(ACS)URL

  • 身份提供商详细信息**是一个必须向 Notion 提供 IDP URL 或 IDP 元数据 XML 的字段。

有关在何处输入和获取此信息的更多信息,请参阅以下IDP特定指南。

SAML SSO 配置

注意: Notion 上的 SAML SSO 不支持访客。

将其他工作区链接到现有的 SAML SSO 配置

在已验证域并启用 SAML SSO 的工作区中,有一个链接工作区部分,列出了与 SAML SSO 配置相关的所有工作区。

saml sso-link workspace

拥有经过验证的电子邮件地址并能访问主工作区或其中一个链接工作区的用户将能通过 SAML SSO 登录。

要从 SAML SSO 配置中添加或删除工作区,请通过 [email protected] 联系支持部门。

执行 SAML SSO

完成单个工作区的 SAML SSO 配置后,用户除了可以使用用户名/密码和谷歌身份验证等其他登录方法外,还可以通过 SAML SSO 登录。

  • 为确保用户只能使用 SAML SSO 登录,而不能使用其他方法,请将登录方法更新为 "Only SAML SSO"。

执行 SAML SSO

  • SAML SSO 将仅对使用您已验证的域并可访问主工作区或链接工作区的用户执行。

  • 受邀访问 Notion 工作区页面的访客无法使用 SAML SSO 登录;因此,他们将始终使用电子邮件/密码或 "继续使用 Google/Apple "选项登录。

  • 工作区所有者始终可以选择使用电子邮件和密码凭证绕过 SAML SSO。这样,他们就可以在 IdP/SAML 出现故障时访问 Notion。他们将能够登录并禁用或更新其配置。

Just-in-Time (JIT) Provisioning

使用 SAML SSO 时,Notion 支持即时配置。这允许通过 SAML SSO 登录的用户自动加入工作区成为成员。

要启用即时供应,请执行以下操作

  • 设置与成员 -> 身份与供应中,确保启用自动创建账户。

注意: 如果使用 SCIM,我们不建议启用即时供应。允许电子邮件域 "允许该域上的用户加入工作区,因此其身份供应商和 Notion 的成员资格可能不匹配。

身份供应商(IdP)设置

以下是使用 Entra ID(前身为 Azure)、Google、Okta 和 OneLogin 设置 Notion SAML SSO 的说明。如果您使用不同的身份提供商并需要配置帮助,请联系我们的支持团队

Entra ID

有关其他文档,您也可以参考 Entra ID 网站上的步骤:

第 1 步:创建新的应用程序集成

  • 登录 Entra ID 门户。在左侧导航窗格中,选择 Azure Active Directory 服务。

  • 导航至企业应用程序,然后选择所有应用程序

  • 要添加新应用程序,请选择新应用程序

  • 从图库添加部分,在搜索框中输入Notion。从结果面板中选择 Notion,然后添加应用程序。等待几秒钟,应用程序就会添加到您的租户中。

第 2 步: 创建 SAML 集成

  • 在 Azure 门户的 Notion 应用程序集成页面,找到管理部分并选择单点登录

  • 选择单点登录方法页面,选择SAML

第 3 步:SAML 设置

  • 在 Notion 中,进入设置和成员选项卡,然后选择设置选项卡

  • 允许电子邮件域部分,删除所有电子邮件域。

  • 然后选择 "身份和供应"选项卡。

  • 验证一个或多个域。请参阅此处的域验证说明 →。

为您的工作区验证域

  • 切换启用 SAML SSOSAML SSO 配置模式将自动出现并提示您完成设置。

  • SAML SSO 配置模块分为两部分--一部分是认证消费者服务(ACS)URL,将在您的身份提供商(IDP)门户中输入;第二部分是身份提供商详细信息,其中的IDP url或IDP元数据XML必须提供给Notion。

第4步:在Entra ID中配置Notion应用程序

  • 在 "使用 SAML 设置单点登录 "页面,单击 "基本 SAML 配置"的铅笔图标编辑设置。

  • 基本 SAML 配置部分,如果希望在 IDP 启动模式下配置应用程序,请输入以下字段的值:

  • 标识符(实体 ID) 文本框中,输入以下 URL:https://www.notion.so/sso/saml

  • 回复 URL(断言消费者服务 URL)文本框中,使用 Notion 提供的 ACS URL,该 URL 位于左侧边栏设置与成员身份与供应选项卡中。

  • 登录 URL 文本框中,输入以下 URL:https://www.notion.so/login

  • 用户属性和要求部分,确保所需要求设置为

  • 唯一用户标识符(名称 ID):user.userprincipalname ([nameid-format:emailAddress] 名称 ID

  • name: user.givenname

  • lastName: user.surname

  • 电子邮件: user.mail

  • 使用 SAML 设置单点登录页面SAML 签名证书部分,单击应用程序联盟元数据网址旁边的复制按钮。

  • 进入 Notion 工作区 设置与成员 > 身份与供应,将复制的应用程序联盟元数据网址值粘贴到IDP 元数据网址字段文本框中。确保选中身份提供程序 URL单选按钮

第 5 步:将用户分配给 Notion

  • 在 Azure 门户中,选择企业应用程序,然后选择所有应用程序。在应用程序列表中,选择 Notion

  • 在应用程序的概述页面中,找到管理部分,然后选择用户和组

  • 选择添加用户,然后在添加分配对话框中选择用户和组

  • 用户和组对话框中,从用户列表中选择,然后单击屏幕底部的选择按钮。

  • 如果希望为用户分配一个角色,可以从选择角色下拉菜单中选择该角色。如果没有为该应用程序设置任何角色,则会看到 "默认访问 "角色被选中。

  • 添加分配对话框中,单击分配按钮。

谷歌

有关其他说明,也可参考 Google Workspace 管理帮助中心的文档:

-Notion Cloud 应用程序

第 1 步:获取谷歌身份提供商(IdP)信息

  • 确保您已登录到管理员帐户,以确保您的用户帐户具有适当的权限

  • 在管理控制台中,进入 "菜单"->"应用程序"->"网络和移动应用程序

  • 在搜索栏中输入 Notion,然后选择 Notion SAML 应用程序

  • 在 "谷歌身份供应商 "详情页面,下载IdP元数据文件

  • 在兼容的编辑器中打开文件 "GoogleIDPMetadata.xml",然后选择并复制文件内容

  • 打开管理控制台,在 Notion 应用程序中执行下一步后继续配置向导

第 2 步:将 Notion 设置为 SAML 2.0 服务提供商

  • 在 Notion 中,进入 "设置和成员 "选项卡,然后选择 "设置 "选项卡

  • 在 "允许的电子邮件域 "部分,删除所有电子邮件域

  • 选择 "身份和供应 "选项卡

  • 添加新域并验证。该域应与 Google Workspace 域相同

  • 在 "SAML 单点登录 (SSO) "设置中,切换 "启用 SAML SSO"。这将打开 "SAML SSO 配置 "对话框

  • 在对话框中执行以下操作:

1.在 "身份提供程序详细信息 "下,选择 "IDP 元数据 XML

2.将 GoogleIDPMetadata.xml 文件的内容(在上述步骤 1 中复制)粘贴到 IDP 元数据 XML 文本框中

3.复制并保存断言消费者服务 (ACS) URL。在下面第 3 步的管理控制台中完成 Google 端配置时将需要此 URL

4.单击 "保存更改

  • 确保其余选项 "登录方法"、"自动账户创建 "和 "链接的工作区 "包含您的配置所需的值

第 3 步:在管理控制台完成 SSO 配置

  • 返回管理控制台浏览器选项卡

  • 在 "谷歌身份供应商详细信息 "页面,点击 "继续

  • 在 "服务提供商详细信息 "页面上,将 ACS URL 替换为上述步骤 2 中从 Notion 复制的 ACS URL

  • 点击 "继续

  • 在 "属性映射 "页面,单击 "选择字段 "菜单,将以下 Google 目录属性映射到相应的 Notion 属性。请注意,名、姓和电子邮件为必填属性

注意:profilePhoto 属性可用于在 Notion 中添加用户照片。要使用该属性,请创建自定义属性并在用户配置文件中填入照片的 URL 路径,然后将自定义属性映射到 profilePhoto。

  • 可选:_ 点击 "添加映射 "以添加任何其他映射。

  • 单击 `完成

注意: 无论您输入多少个群组名称,SAML 响应都将只包括用户所属(直接或间接)的群组。更多信息,请参阅关于组成员映射

第 4 步:启用 Notion 应用程序

  • 在管理控制台,转到菜单 > 应用程序 > Web 和移动应用程序

  • 选择Notion

  • 单击用户访问

  • 要为组织中的每个人打开或关闭服务,请单击为每个人打开为每个人关闭,然后单击保存

  • 可选)要为某个组织单位开启或关闭服务,请执行以下操作

  • 在左侧选择组织单位。

  • 要更改服务状态,请选择 "开 "或 "关 "***。

  • 选择其一:如果服务状态设置为 "继承",并且即使父设置更改,也要保留更新的设置,请单击 "覆盖"。如果服务状态设置为 "覆盖",请单击 "继承 "恢复到与父设置相同的设置,或单击 "保存 "保留新设置,即使父设置发生更改。:了解有关 组织结构 的更多信息。

  • 可选:_ 为一组用户打开服务。使用_访问组_为组织单位内部或跨组织单位的特定用户打开服务。了解更多信息

  • 确保 Notion 用户账户的电子邮件 ID 与 Google 域名中的 ID 一致。

Okta

有关其他文档,您也可以点击此处参考 Okta 网站上的步骤:

第1步:从Okta应用程序目录中添加Notion应用程序

  • 以管理员身份登录Okta,进入Okta管理控制台

  • 转到 "应用程序"选项卡,选择 "浏览应用程序目录",然后在 "Okta 应用程序目录"中搜索 "Notion"。

  • 选择 "Notion "应用程序,然后单击 "添加集成"。

  • 常规设置视图中,查看设置并单击**下一步。

  • 登录选项视图中,选择 SAML 2.0 选项。

  • 在 "高级登录设置 "部分上方,** 单击 "身份提供程序元数据"。复制 URL 链接。

第 2 步:在 Notion 中配置 SAML 设置

  • 在 Notion 中,进入 "设置与成员"选项卡,然后选择 "设置"选项卡

  • 允许电子邮件域部分,删除所有电子邮件域。

  • 然后选择 "身份和供应"选项卡。

  • 验证一个或多个域。请参阅域验证说明 此处 → 验证一个或多个域。

  • 切换启用 SAML SSOSAML SSO 配置模态将自动出现并提示您完成设置。

  • SAML SSO配置模块分为两部分--一部分是认证消费者服务(ACS)URL,将在您的身份提供商(IDP)门户中输入;第二部分是身份提供商详细信息,其中的IDP url或IDP元数据XML必须提供给Notion。

  • 选择身份提供商URL,并粘贴在步骤1中复制的身份提供商元数据 URL。单击保存更改。

  • 身份与供应选项卡中,向下滚动并复制工作区 ID 标识符

  • Okta 管理控制台 > 高级登录设置部分,在组织 ID 文本框中粘贴工作区 ID

  • 凭证详细信息中,从应用程序用户名格式下拉菜单中选择电子邮件,然后单击完成。

第 3 步:为 Notion 分配用户和组

  • Okta > Assignments选项卡中,您现在可以为 Notion 分配用户和群组。

OneLogin

有关其他文档,您也可以参考 OneLogin 网站上的步骤:

注意: 如果您计划使用 SCIM 配置供应,请在配置 SAML SSO 之前进行配置。使用 OneLogin 配置 SCIM 配置的说明 →

第 1 步:创建新的应用程序集成

  • 如果尚未配置供应,请进入管理→应用程序→应用程序,然后点击添加应用程序按钮,在搜索框中搜索 Notion,并选择 Notion 的 SAML 2.0 版本。

  • 单击保存

第 2 步:创建 SAML 集成

  • 否则,请导航至 ** 应用程序 → 应用程序**,选择已添加的 Notion 应用程序连接器

  • 导航至 SSO 标签,复制 Issuer URL 值。将其粘贴到某个地方,以便以后检索。

第 3 步:SAML 设置

  • 在 Notion 中,转到设置和成员选项卡,然后选择设置选项卡

  • 允许电子邮件域部分,删除所有电子邮件域。

  • 然后选择 "身份和供应"选项卡。

  • 验证一个或多个域。请参阅此处的域验证说明 → 为工作区验证一个域

  • 切换启用 SAML SSOSAML SSO 配置模态将自动出现并提示您完成设置。

  • SAML SSO配置模块分为两部分--一部分是认证消费者服务(ACS)URL,将在您的身份提供商(IDP)门户中输入;第二部分是身份提供商详细信息,其中包括必须提供给Notion的IDP URL或IDP元数据XML。

第4步:在OneLogin中配置Notion应用程序

  • 从 Notion 复制断言消费者服务(ACS)URL

  • 返回OneLogin 管理用户界面

  • 导航至您刚刚添加到 OneLogin 账户的 Notion 应用程序连接器的配置选项卡

  • 将 Notion 中的断言消费者服务(ACS)URL粘贴到消费者URL文本框中

  • 点击保存

  • 返回 Notion 编辑 SAML SSO 配置设置

  • 将从 OneLogin URL 的SSO选项卡中复制的签发人 URL粘贴到身份提供者 URL文本框中。确保选中身份提供程序 URL单选按钮

###波纹

有关详细文档,可参考 Rippling 网站 此处 →。

自定义 SAML SSO 配置

如果不使用 Notion 支持的 SAML 提供商,也可以配置 IDP 与 Notion 一起使用 SAML。

步骤 1:设置 IDP

您的IDP必须支持SAML 2.0规范,才能与Notion一起使用。

  • 将 ACS URL 配置为 Notion 的 Assertion Consumer Service (ACS) URL 值。您可在 "设置"→"身份与供应"→"编辑 SAML SSO 配置 "中找到该 URL。

  • NameID 配置为 urn:osasis:names:tc:SAML:1.1:nameid-format:emailAddress

  • 同样,将 username 配置为 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  • EntityID 配置为 https://notion.so/sso/saml。可在 "设置"→"身份和供应 "底部找到。

  • 配置以下属性:

  • 电子邮件地址":这是用户的电子邮件地址。大多数 IDP 默认设置此属性。

  • 可选)firstName(名字

  • 可选) `姓

  • 可选) `简介图片

  • 复制 IDP 元数据 URL 或 IDP 元数据 XML 以用于下一步。

步骤 2:在 Notion 中设置 SAML

  • 在 Notion 中打开 "设置" → "身份与供应"。

  • 添加新的电子邮件域,并按照提示进行验证。这些域名必须是登录 Notion 的用户的电子邮件域名。

  • 在 "SAML 单点登录(SSO)"设置中,切换 "启用 SAML SSO"。这将打开 SAML SSO 配置对话框。

  • 在 "身份提供程序详细信息 "下,输入 IDP 元数据 URL 或 IDP 元数据 XML。

  • 确保为 "登录方法"、"自动账户创建 "和 "链接工作区 "提供所需的输入。

切换身份供应商

要切换身份供应商,请进入左侧边栏的 "设置和成员"→"身份和供应"→"编辑 SAML SSO 配置"。输入新信息,然后选择 "保存更改"。

切换到新的 IdP 时,我们建议:

  • 在过渡期间不强制执行 SSO,这样可以将锁定用户的风险降至最低。

  • 新 IDP 下用户的电子邮件地址与 Notion 中用户的电子邮件地址一致。

注意*:更换身份供应商不会终止用户会话或停用用户。

故障排除

如果在设置 SAML SSO 时遇到错误,请对照 SAML XSD 模式检查 IDP 的元数据、SAML 请求和响应是否为有效的 XML。您可以使用此在线工具进行检查:https://www.samltool.com/validate_xml.php

请注意,我们不支持 "实体描述符 "元素。如果你的 IDP 元数据包含该元素,请提取包含的 EntityDescriptor 元素,然后再试一次。


常见问题

为什么当前的启用 SAML SSO 显示为灰色?

最常见的原因是您尚未验证域名的所有权。如果是这种情况,您会发现在验证电子邮件域部分没有列出任何域,或者该域正在等待验证。

关于下一步,请参阅我们关于如何完成域名验证的说明 →

为什么不能编辑 SAML SSO 设置?

最常见的原因是你正试图从链接工作区修改已验证的域或 SSO 配置,链接工作区是指已与另一个 SSO 配置关联的工作区。

在链接的工作区中,所有域管理和 SSO 配置设置都是只读的。要修改 SSO 配置或从 SSO 配置中删除该工作区,必须有访问主工作区的权限。主工作区的名称可以在身份和供应设置选项卡的顶部找到。

为什么需要验证域才能启用 SSO?

我们要求验证电子邮件域的所有权,以确保只有域所有者才能自定义其用户登录 Notion 的方式。

在设置 SSO 时遇到困难?以下是一些常见问题:

  • 尝试使用 URL 而不是 XML。

  • 我们建议先用测试账户测试设置过程,然后再对用户执行。

  • 如果以上两种方法都没有帮助,请通过以下方式联系支持人员

[email protected].

在为工作区配置 SAML SSO 之前,为什么要从 "允许的电子邮件域 "设置中删除电子邮件域?

允许的电子邮件域 "设置允许使用选定域的用户访问工作区,而无需通过 IdP 进行供应。为确保只有通过 IdP 配置的用户才能访问启用了 SAML 的工作区,请从 "允许的电子邮件域 "列表中删除所有电子邮件地址,禁用此功能。

如果我的身份供应商无法提供服务,我还能登录Notion吗?

是的,即使启用了 SAML,工作区所有者也可以选择使用电子邮件登录。此后,工作区所有者可以更改 SAML 配置,禁用 "强制 SAML",这样用户就可以重新使用电子邮件登录。

个人资料照片是否从 IDP 传输到 Notion?

是的,profilePhoto是一个可选的自定义属性。您可将此属性分配给IDP中的相应属性,但该属性必须包含图片的URL。如果设置了profilePhoto字段,当用户使用SAML SSO登录时,该图片将取代Notion中的头像。

如何允许 SAML 配置中其他工作区的管理员创建新的工作区?

只有主工作区的管理员才能使用已验证的域创建新工作区。请联系我们的支持团队([email protected]),将您的主 SAML 工作区切换到 SAML 配置中的另一个链接工作区。