Предоставление пользователей и групп с помощью SCIM в Notion

Владельцы и администраторы могут давать пользователям права доступа и управлять ими в группах рабочей области Notion. Для этого существует специальный стандарт API System for Cross-domain Identity Management (SCIM) ?.

Что вы можете сделать с SCIM API Notion

Можно управлять и подготавливать пользователей:

• Создавайте и удаляйте членов в своей рабочей области.
• Обновляйте информацию в профиле пользователя.
• Извлекайте участников в рабочей области.
• Находите новых участников по электронной почте или имени.

Можно предоставлять и управлять группой:

• Создание и удаление групп в своём рабочем пространстве.
• Добавление и удаление участников в группе.
• Управление группой в вашем рабочем пространстве.
• Поиск групп по наименованию.

Не поддерживается:

• Нельзя управлять гостями рабочей области.

Как настроить инициализацию с помощью SCIM

Сейчас приложение поддерживает Okta, OneLogin, Rippling и популярные приложения SCIM. Если у вас другой провайдер, то следует сообщить нам об этом.

Необходимые условия для SCIM с Notion

• Рабочая область должна быть подключена к тарифному плану Enterprise
• У вашего провайдера идентификации (IdP) должна быть поддержка протокола SAML 2.0
• Исключительно владельцы рабочего пространства смогут настраивать SCIM для рабочего пространства Notion.
• Должен иметься хотя бы один домен, который проверялся владельцем рабочей области.
• Имеющиеся домены электронной почты не должны быть в разделе «Разрешенные домены электронной почты».

Создайте свой токен SCIM API

Владелец рабочего пространства с корпоративным планом может создавать и просматривать токены SCIM API, нужно выбрать «Настройки и участники» → «Безопасность и идентификация» → «Конфигурация SCIM».

• Для генерации нового токена, в правом углу следует нажать на кнопку + New Token (Новый токен).
• Каждый владелец Workspace получит уникальный токен, его просматривать могут только они.

Отозвать токены

Если владелец рабочей области покинет его или статус владельца поменяется, то его токен аннулируется. После того, как это случится, оставшиеся владельцы Workspace получат на электронную почту сообщение. Там будет уведомление про замену отозванного токена.

Также активный токен может быть отозван любым владельцем рабочего пространства. Для отзыва токена, следует нажать на значок  ?, он располагается рядом с необходимым токеном.

Заменить существующие токены

Отозванный токен, следует заменить во всех имеющихся видах.

Подготовка участников и любые изменения SCIM, которая основывается на отозванном токене, будет отключена до тех самых пор, пока его не заменят работающим токеном.

Для осуществления целостности всех существующих интеграций, необходимо в обязательном порядке заменить все токены, которые связанны с админом, перед их деинициализацией.

Конфигурация поставщика услуг

• GET /ServiceProviderConfig
  • GET <https://api.notion.com/scim/v2/ServiceProviderConfig>
  • Получите описание всех доступных функций спецификации SCIM.
  • Об этом в Разделе 5 Спецификации протокола SCIM.
• GET /ResourceTypes
  • GET <https://api.notion.com/scim/v2/ResourceTypes>
  • Необходимо получить список доступных типов ресурсов SCIM.
  • Об этом в Разделе 6 Спецификации протокола SCIM.

Настройка поставщика удостоверений (IdP)

Okta конфигурация

Okta Integration Notion в система присутствуют следующие функции подготовки:

• Создание пользователей.
• Обновить атрибуты пользователя (если у участника есть домен электронной почты, который принадлежит вашей организации).
• Деактивация пользователя (это удаляет участника из вашего рабочего пространства Notion).
• Push-группы.

Шаг 1. Включаем подготовку в Notion

• Нужно перейти на вкладку Settings & Members (Настройки и участники), далее выбираем вкладку Identification and preparation (Идентификация и подготовка).
• Нужно прокрутить вниз до раздела «Единый вход SAML (SSO)» .
• Нажимаем на кнопку Change the configuration of the SAML single sign-on system (Изменить конфигурацию системы единого входа SAML).
• Нажимаем на ссылку Copy (Копировать) рядом с URL-адресом службы обработки утверждений (ACS). Сохраните его где-нибудь, чтобы воспользоваться им чуть позже.
• Возвращаемся в Settings & Members (Настройки и участники) → Identification and preparation (Идентификация и подготовка) и прокручиваем вниз до раздела Preparing SCIM (Подготовка SCIM).
• Чтобы создать токен, нажимаем на + Add token (+ Добавить токен) и копируем его. Сохраняем его где-нибудь, чтобы воспользоваться им чуть позже.

Шаг 2: Настройки инициализации в Okta

• Нужно добавить приложение Notion из каталога программ Okta Directory.
• В пункте «Параметры входа» выбираем «Электронная почта» для формата имени пользователя программы на вкладке «Вход в приложение».
• Идём на вкладку «Подготовка» и выбираем «Настроить интеграцию API». Там следует установить флажок «Включить интеграцию API».
• Вводим токен API Notion SCIM, который был скопирован на шаге 1, в нужное поле Токен API и нажимаем «Сохранить».
• Затем нажимаем кнопку «Изменить», она расположена рядом с заголовком «Подготовка к приложению» и теперь нужно включить нужную функцию: «Создать пользователей», «Обновить атрибуты пользователей» или «Деактивировать пользователей». Жмём кнопку «Сохранить».
• В завершении интеграции API открываем Push Groups и добавляем группу Okta, которые нужно синхронизировать с Notion, с помощью кнопки «Push Groups».

Обновляя пользователей/групп через имеющуюся конфигурацию SCIM, ненужно удалять приложение Notion App из Okta. Так как может произойти удаление всех предоставленных пользователей из рабочего пространства.

При возникших трудностях с настройкой подготовки с помощью Okta, следует связаться с нами адресу: team@makenotion.com.

OneLogin

Дополнительная документация располагается на сайте OneLogin посмотреть её можно тут:

• Предоставление пользователям Notion

Интеграция OneLogin от Notion включает в себя следующие возможности подготовки:

• Создавать пользователей.
• Обновление атрибутов пользователей (если у члена есть домен электронной почты, который принадлежит вашей организации).
• Деактивация пользователей (функция удалит участника из вашего рабочего пространства Notion).
• Создание правил для сопоставления ролей OneLogin с группами разрешений в Notion.

Если планируется предоставление доступа пользователям Notion через OneLogin, необходимо настроить SCIM до настройки единого входа.

Шаг 1. Подготовка включения в Notion

• Необходимо перейти на вкладку Settings & Members (Настройки и участники), далее выбираем вкладку Identification and preparation (Идентификация и подготовка).
• Прокручиваем вниз до раздела «Единый вход SAML (SSO)».
• Нажимаем на кнопку Change the configuration of the SAML single sign-on system (Изменить конфигурацию системы единого входа SAML).
• Нажимаем на ссылку Copy (Копировать) рядом с URL-адресом службы обработки утверждений (ACS). Сохраните его где-нибудь, чтобы воспользоваться им чуть позже.
• Возвращаемся в Settings & Members (Настройки и участники) → Identification and preparation (Идентификация и подготовка) и прокручиваем вниз до раздела Preparing SCIM (Подготовка SCIM).
• Для создания токена, нужно нажать + Add token (+ Добавить токен) и скопировать токен. Сохраните его где-нибудь, чтобы воспользоваться им чуть позже позже.

Владелец рабочего пространства может использовать и копировать только те токены, которые он сам создал. В случае если токен создавал другой владелец рабочей области, то другой владелец может согласовать его, так реально определить, нужен ли еще один токен. Если владелец рабочего пространства, создавший токен, покинет рабочее пространство или понизится до члена, то срок действия всех токенов сразу истечет.

Шаг 2. Настройки подготовки в OneLogin

• Нужно пройти по такому пути: Администрирование → Приложения → Приложения.
• Далее нажимаем кнопку «Добавить приложение», находим приложение Notion в поле поиска и выбераем версию Notion SAML 2.0.
• Нажимаем «Сохранить».
• Переходим на вкладку «Конфигурации».
• Вставляем URL- адрес службы утверждения (ACL) в необходимое поле URL-адрес потребителя .
• Вставляем токен SCIM API в нужное поле SCIM Bearer Token .
• Нажимаем «Включить».
• Переходим на вкладку «Обеспечение».
• Устанавливаем флажок «Включить подготовку» в разделе «Рабочий процесс».
• Нажимаем в правом верхнем углу кнопку «Сохранить».
• (необязательно) Включаем или отключаем требования утверждений админа при создании, удалении или обновлении пользователей в разделе «Требовать утверждения администратора» перед выполнением нужного действия.
• (необязательно) Выбираем, что будет с пользователем в Notion, после того, как пользователь будет удален из OneLogin. Можно выбрать между «Удалить» (удаляет участника из рабочего пространства Notion) или «Ничего не делать».
• Нажимаем в правом верхнем углу кнопку «Сохранить».

Пользователи

Ниже в таблице представлены соответствия между атрибутами участника SCIM и полями профиля члена Notion. Другие атрибуты участника будут проигнорированы.

• GET /Users
  • GET <https://api.notion.com/scim/v2/Users>
  • Нужно получить список членов рабочей области, который будет разбиты на страницы.
  • Разбить на страницы, можно используя  параметры startIndex (начальный индекс) и count (считать). Следует обратить внимание, что startIndex (начальный индекс) это индекс 1.
  • Можно фильтровать результаты с помощью специального параметра  filter (фильтр). Применять можно такие атрибуты для фильтрации:  email,  given_name и  family_name, например GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq employee@acmecorp.com
  • Эти параметры: given_name и family_name чувствительны к регистру. Электронная почта будет в нижнем регистре.
• GET /Users/<id>
  • GET <https://api.notion.com/scim/v2/Users/><id>
  • По идентификатору пользователя Notion можно получить определенного члена рабочего пространства. Это будет UUID из 32 символов в таком формате: 00000000-0000-0000-0000-000000000000.
  • Эти параметры: meta.created и meta.lastModified, не отражают значимые значения метки времени.
• POST /Users
  • POST <https://api.notion.com/scim/v2/Users>
  • Если человек, которого необходимо добавить, уже имеет аккаунт в Notion с таким же адресом электронной почты, то он пропишется в вашу рабочую область.
  • Если человека нет, то его вызов сделает нового члена Notion, и потом автоматически добавит его в вашу рабочую область. Пользователи будут сопоставляться с созданным аккаунтом пользователя Notion.
• PATCH /Users/<id>
  • PATCH <https://api.notion.com/scim/v2/Users/><id>
  • Возвращение новой записи участника и обновление благодаря ряду операций.

Можно обновить данные аккаунта участника только в том случае, если было подтверждено право собственности на домен электронной почты члена (в основном это то же самое, что и домены электронной почты, которые были настроены для единого входа SAML с помощью Notion). Чтобы подтвердить новый домен электронной почты, свяжитесь с нами.

• PUT /Users/<id>
  • PUT <https://api.notion.com/scim/v2/Users/><id>
  • Update (Обновление) вернёт обновленную запись пользователя.
• DELETE /Users/<id>
  • DELETE <https://api.notion.com/scim/v2/Users/><id>
  • Нужно удалить участника из вашего рабочего пространства. Участник выйдет из всех активных сеансов.
  • Примечание. Аккаунт участника нельзя удалить с помощью SCIM. Удалить аккаунт получится только ручным способом.

Группы

• GET /Groups
  • GET <https://api.notion.com/scim/v2/Groups>
  • Список групп рабочей области можно получить разбитым на страницы.
  • Можно разбить на страницы, применяя параметры startIndex (начальный индекс) и count(считать). Следует обратить внимание на то, что startIndex (начальный индекс) это 1-индексированный, например GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>
  • Можно фильтровать результаты с помощью параметра filter (фильтр). Можно отфильтровать по их displayName атрибуту, например GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
• GET /Groups/<id>
  • GET <https://api.notion.com/scim/v2/Groups/><id>
  • Получите определенные группы рабочих областей по ее идентификатору группы понятий. Вы получите UUID из 32 символов в таком формате: 00000000-0000-0000-0000-000000000000.
• POST /Groups
  • POST <https://api.notion.com/scim/v2/Groups>
  • Создавайте новую группу рабочего пространства.
• PATCH /Groups/<id>
  • PATCH <https://api.notion.com/scim/v2/Groups/><id>
  • Обновляйте группу рабочего пространства с помощью различных операций.
• PUT /Groups/<id>
  • PUT <https://api.notion.com/scim/v2/Groups/><id>
  • Обновляйте группу рабочего пространства.
• DELETE /Groups/<id>
  • DELETE <https://api.notion.com/scim/v2/Groups/><id>
  • Удаляйте группу рабочего пространства.

Удалить группу будет нельзя, если после этого ни у кого не будет полного доступа к хотя бы одной странице из этой группы.