Настройка SAML SSO в приложении Notion

Для корпоративных клиентов Notion имеется специальная функция единого входа (SSO). Так пользователи получают доступ к приложению через единый источник аутентификации. Так IT-администраторам легче предоставлять доступ команде и при этом сохраняют все данные в хорошей безопасности ?.

Единая регистрация (SSO) у компании Notion построена на стандарте SAML (Security Assertion Markup Language) 2.0. Он разрешает менеджеру идентификации безопасно передавать учетные данные авторизации поставщикам услуг. Это может быть Notion и при этом он соединяет вашего поставщика идентификации (IdP) и рабочую область (области). Так упрощается и повышается безопасность входа в систему.

Что такое SAML SSO?

Служба единого входа разрешает пользователям применять один набор учетных данных. Ими могут стать имя или адрес электронной почты и пароль. Это даёт доступ к нескольким приложениям. Происходит аутентификация конечного пользователя единожды для всех приложений, для которых у пользователя есть права. Это позволяет устранить дальнейшие запросы в тот момент, когда человек делает переключение между приложениями во время одного сеанса.

Система SAML  для единого входа доступна только для рабочих пространств в плане предприятия Notion. Чтобы узнать больше вам следует связаться с нами →

Необходимые условия для SSO с помощью Notion

• Ваша рабочая область должна быть подключена к тарифному плану Enterprise
• Необходимо, чтобы провайдер идентификации (IdP) обязательно поддерживал стандарт SAML 2.0.
• Только владельцы рабочих областей могут настроить SAML SSO для рабочей области Notion.
• Домен обязательно должен быть проверен владельцем рабочей области.
• Не нужно включать домены электронной почты в настройки «Разрешенный домен электронной почты».

Преимущества системы единого входа

Такой принцип позволяет владельцам рабочих областей оптимизировать управление пользователями в системах. Так становится ненужным конечным пользователям запоминать несколько паролей и управлять ими. Происходит упрощение взаимодействия с конечным пользователем. Люди легко входят в систему через одну точку доступа и наслаждаются бесперебойной работой в нескольких приложениях.

Работать через систему единого входа могут только участники рабочего пространства. Для гостей такой функции нет. Только после преобразования гостя в участника ему будет назначена лицензия после успешного входа в приложение через систему единого входа.
Про участников и гостей в рабочей области Notion подробнее тут →

Настройка системы единого входа SAML для вашей рабочей области

Включить SAML SSO для одной рабочей области

• Нужно перейти в Settings & Members (Настройки и участники), далее выбираем вкладку Settings (Настройки).
• В разделе Allow email domain (Разрешить домен электронной почты) нужно удалить все домены электронной почты.
• Дале выбираем вкладку Identification and preparation (Идентификация и подготовка).

• Подтверждаем один или несколько доменов. Инструкция как это сделать смотрите здесь →
• Ставим флажок «Включить SAML SSO», и теперь автоматом появится окошко «Конфигурация SAML SSO», там будет предложение завершить настройку.
• Модальное окошко настройки единого входа SAML разделяется на две части:
  • URL — адрес Assertion Consumer Service (ACS) тут нужно вводить на ресурсе поставщика удостоверений (IDP) .
  • И ещё одно поле  — сведения о поставщике удостоверений, там для Notion должно быть предоставлено либо URL-адрес IDP, либо XML метаданных IDP.

Чтобы получить дополнительную информацию о том, куда вводить и где взять данные, вам следует обратиться к нашему руководству для IDP ниже.

Не забываем, что для гостей такая функция системы SAML SSO в Notion недоступна.

Подключение дополнительных рабочих пространств к существующей конфигурации SAML SSO

В рабочем пространстве, нужно подтвердить домен и включить систему единого входа SAML, есть раздел Linked workspaces (Связанные рабочие области). В нём перечисляются все рабочие пространства, которые связанны с вашей конфигурацией единого входа SAML.

Пользователи, которые имеют доступ к основному рабочему пространству или к одному из связанных рабочих пространств, с подтвержденным адресом электронной почты, смогут входить в систему через систему единого входа SAML.

Для добавления или удаления рабочего пространства из конфигурации системы единого входа SAML, вам потребуется обратиться в службу поддержки по адресу team@makenotion.com.

Внедрение системы единого входа SAML

Как вы завершите настраивать SAML SSO для одного рабочего пространства пользователи, в дополнение к другим методам входа, сразу смогут входить через SAML SSO. Это будут имя пользователя/пароль и синхронизация с Google.

• Если требуется сделать доступным вход в систему только с помощью SAML SSO, следует обновить метод Login до Only SAML SSO.

• В таком случае SAML SSO применяется только для пользователей с подтвержденным доменом, у них будет доступ к основному рабочему пространству или связанному рабочему пространству.
• Как уже говорилось, для приглашённых гостей на страницы в рабочем пространстве Notion, не предусмотрено использование SAML SSO для входа. По этой причине им всегда необходимо использовать свой адрес электронной почты/пароль. Но также для них доступен вход в систему через «продолжить с помощью Google/Apple».
• У владельцев рабочего пространства всегда есть возможность обойти единый вход SAML. Им придётся использовать свои учетные данные электронной почты и пароль. В случае сбоя IdP/SAML, владельцы смогут получить доступ к Notion. И тогда можно войти в систему и при необходимости отключить или обновить свои настройки.

Настройка провайдера идентификации (IdP)

Ниже представлено несколько инструкций по настройкам системы единого входа Notion SAML с Azure, Google, Okta и OneLogin. При использовании другого провайдера удостоверений и вам скорей всего потребуется помощь в настройках. В таком случае следует обратиться в нашу службу поддержки.

Azure

Чтобы получить дополнительную информацию вы можете посмотреть информацию на сайте Azure здесь:

• Интеграция единого входа (SSO) Azure Active Directory с Notion

Шаг 1. нужно создать новую интеграцию приложения

• Нужно войти на портал Azure. Затем на панели навигации слева следует выбрать службу Azure Active Directory  .
• Далее переходим к  корпоративным приложениям и выбираем «Все приложения» .
• Для добавления нового приложения, необходимо выбрать «Новое приложение».
• В раздел «Добавить из галереи» нужно ввести Notion в поле поиска. Выбираем приложение Notion из доступных вариантов, и далее добавляем приложение. Теперь следует подождать пару-тройку секунд, и приложение добавится в ваш клиент.

Шаг 2.  Делаем интеграцию SAML

• На сайте Azure на странице интеграции приложений Notion нужно найти раздел «Управление» и выбрать единый вход .
• На вкладке «Выбор метода единого входа» следует выбрать SAML .

Шаг 3. Настройки SAML

• В приложении Notion нужно перейти на вкладку Settings & Members (Настройки и участники), далее выбираем вкладку Settings (Настройки).
• В разделе Allow email domain (Разрешить домен электронной почты) нужно удалить все домены электронной почты.
• Далее нужно выбрать вкладку Identification and preparation (Идентификация и подготовка).
• И тут следует подтвердить один или несколько доменов. подробная инструкция по подтверждению домена(ов) находится здесь →Как подтвердить домен для вашего рабочего пространства.
• Устанавливаем флажок «Включить SAML SSO», и у вас автоматом появится модальное окошко «Конфигурация SAML SSO», там будет предложение завершить настройку.
• Модальное окошко конфигурации системы единого входа SAML разделяется на две части: в одной части будет находиться URL-адрес службы получателей утверждений (ACS), его нужно будет ввести на сайте поставщика удостоверений (IDP), а во второй части будет сведения о поставщике удостоверений. Там может быть либо URL-адрес IDP, либо метаданные IDP в формате XML, которые следует предоставить Notion.

Шаг 4. Настройка приложения Notion в Azure Active Directory.

• На странице «Настройка единого входа с помощью SAML» для базовой конфигурации SAML нужно щелкнуть на значок карандаша, так можно изменять параметры.
• Далее в разделе «Базовая конфигурация SAML», если необходимо настроить приложение в режиме, инициированном IDP, нужно ввести такие значения для следующих полей:
  • В текстовое поле «Идентификатор» (идентификатор объекта) вводим такой URL-адрес: https://www.notion.so/sso/saml
  • В  текстовое поле URL- адрес ответа (URL-адрес службы поддержки утверждений) нужно использовать URL-адрес ACS из Notion, его можно найти на вкладке Identification and preparation (Идентификация и подготовка) на левой боковой панели в разделе Settings & Members (Настройки и участники).
  • В текстовое поле URL -адрес для входа вводим следующий URL-адрес: https://www.notion.so/login
• В разделе User Attributes & Claims (Атрибуты пользователя и претензии) нужно убедится, что для необходимых утверждений стоят значения:
  • Уникальное обозначение пользователя (идентификатор имени): user.userprincipalname [nameid-format:emailAddress]
  • имя: user.givenname
  • фамилия: user.surname
  • электронная почта: user.mail
• На  странице «Настройка единого входа с помощью SAML» в  разделе «Сертификат подписи SAML»  нужно нажать кнопку копирования рядом с URL-адресом данных App Federation .
• Далее переходим в рабочее пространство Notion Settings & Members > Identity & Provisioning и вставляем значение URL-адреса данных App Federation, которое вы скопировали. В текстовом поле URL-адреса метаданных IDP следует убедиться, что выбран переключатель URL-адрес поставщика удостоверений.

Шаг 5: Назначаем пользователей Notion

• На сайте Azure выбираем «Корпоративные приложения», а далее выбираем «Все приложения». В списке приложений выбираем Notion.
• В странице обзора приложений находим раздел «Управление» и выбираем «Пользователи и группы».
• Теперь выбираем «Добавить пользователя», далее выбираем «Пользователи и группы» в диалоговом окне «Добавить назначение».
• В окошке «Пользователи и группы» выбираем из списка «Пользователи», затем в нижней части экрана нажимаем кнопку «Выбрать».
• При назначении пользователю нужной роли, вы её можно выбрать в раскрывающемся списке «Выбор роли». Если роль для текущего приложения не настроена, то будет выбрана роль «Доступ по умолчанию».
• В  окошке «Добавить назначение» нужно нажать кнопку «Назначить».

Google

Чтобы получить дополнительную документацию вы также можете прибегнуть к шагам на веб-сайте Google, нужно пройти по ссылкам ниже:

• Настройте систему единого входа с помощью Google в качестве поставщика удостоверений.
• Настройка системы единого входа на основе SAML для пользовательских приложений.
• Настройте собственное SAML-приложение.

Шаг 1. Создаём новую интеграцию приложения

• Сперва следует войти в свой личный кабинет администратора на странице https://admin.google.com/. Необходимо убедится, что вы используете учетную запись с правами супер администратора!
• На консоли администратора на главной странице нужно перейти к «Приложения > Интернет и мобильные приложения».
• Нажимаем «Добавить приложение» > «Добавить частное приложение SAML» .
• На листе сведений о приложении вводим имя пользовательского приложения.
• Нажимаем «Продолжить».
• На странице сведений о поставщике идентификационной информации Google нужно загрузить  метаданные от поставщика идентификационной информации. Нужно открыть загруженный файл GoogleIDPMetadata.xml и скопировать его содержимое.

Шаг 2. Настраиваем параметры SAML в Notion

• В Notion нужно перейти на вкладку Settings & Members (Настройки и участники), далее выбираем вкладку Settings (Настройки).
• В разделе Allow email domain (Разрешить домен  электронной почты) нужно удалить все домены электронной почты.
• Затем выбираем вкладку Identification and preparation (Идентификация и подготовка).
• Нужно подтвердить один или несколько доменов. подробная инструкция как это сделать см. здесь→ Подтвердите домен для своей рабочей области.
• Устанавливаем флажок «Включить SAML SSO», и автоматом у вас появится модальное окошко «Конфигурация SAML SSO», там будет предложение завершить настройку.
• Модальное окошко настройки системы единого входа SAML разделяется на две части: в одной части будет URL-адрес службы получателей утверждений (ACS), его нужно ввести на портале поставщика удостоверений (IDP), а во второй части будут присутствовать сведения о поставщике удостоверений. Там будет содержаться либо URL-адрес IDP, либо метаданные IDP в формате XML. Их следует предоставить в Notion.
• Скопированное содержимое из файла GoogleIDPMetadata.xml, который загружался на шаге 1 выше, нужно вставить в текстовое поле XML метаданных IDP .
• Копируем URL-адрес службы приема утверждений (ACS) и нажимаем «Включить SAML» .

Шаг 3. Настраиваем параметры SAML в Google Workspace

• Необходимо перейти в консоль администратора Google Workspace и нажать «Продолжить».
• Нужно ввести  URL-адрес службы приема утверждений (ACS) на странице сведений о поставщике услуг, который вы скопируете из Notion на шаге 2 выше, и далее вводим https://www.notion.so/sso/saml такое значение в текстовое поле идентификатора объекта.
• В раскрывающемся списке «Формат идентификатора имени» выбираем EMAIL .
• В раскрывшемся списке «Идентификатор имени» выбираем «Основная информация > Основной адрес электронной почты».
• Далее жмём «Продолжить», и так вы перейдёте на страницу «Атрибуты приложения», там можно сопоставить дополнительные атрибуты или произвести настройку членства в группах, это будут дополнительные шаги.
• Нажимаем «Готово», и этим завершаем настройку.

Окта

Чтобы получить дополнительную документацию вы можете посмотреть шаги настройки на веб-сайте Okta. Нужно перейти по ссылке ниже:

• Как настроить SAML 2.0 для Notion

Шаг 1: Добавляем приложение Notion из возможных приложений Okta.

• Входим в Okta с учёткой администратора и затем переходим в консоль админа Okta.
• Идём на вкладку «Приложение», выбираем «Обзор приложений» и находим «Notion» в каталоге приложений Okta .
• Далее выбираем приложение Notion и нажимаем «Добавить интеграцию».
• Во вкладке «Общие настройки» смотрим настройки и нажимаем «Далее».
• В представлении «Параметры входа» выбираем вариант SAML 2.0.
• Над пунктом «Дополнительные параметры входа» нужно щелкнуть по метаданным поставщика удостоверений. Так откроется новая вкладка в браузере. Скопируйте появившуюся ссылку URL.

Шаг 2. Настраиваем параметры SAML в Notion

• В приложении Notion переходим на вкладку Settings & Members (Настройки и участники), затем выбираем вкладку Settings (Настройки).
• В разделе Allow email domain (Разрешить домен электронной почты) удаляем все домены электронной почты.
• Далее выбираем вкладку Identification and preparation (Идентификация и подготовка).
• Подтверждаем один или несколько доменов. Более подробная инструкция по утверждению домена см. здесь→ Подтверждение домена для своего рабочего пространства.
• Устанавливаем флажок «Включить SAML SSO», и автоматом появится модальное окно «Конфигурация SAML SSO», там можно будет завершить настройку.
• Модальное окошко настройки системы единого входа SAML разделяется на две части: в одной части будет отображаться URL-адрес службы получателей утверждений (ACS), там нужно ввести на портале поставщика удостоверений (IDP), а во второй части будут сведения о поставщике удостоверений, там будет содержаться либо URL-адрес IDP, либо метаданные IDP в формате XML. Его необходимо предоставить в Notion.
  • Выбираем URL- адрес поставщика удостоверений и вставляем URL- адрес данных поставщика удостоверений , который вы скопировали на шаге 1. Нажимаем «Сохранить изменения».
• На странице «Идентификация и подготовка» прокручиваем вниз и копируем идентификатор рабочего пространства.
• В админ-консоли Okta в раздел «Дополнительные параметры входа» вставляем идентификатор рабочего пространства в текстовое поле «Идентификатор организации».
• И уже в разделе «Учетные данные» выбираем «Электронная почта» из раскрывающегося списка «Формат имени пользователя приложения» и нажимаем «Готово».

Шаг 3: Назначаем пользователей и группы в Notion

• В Okta > идём на вкладку «Назначения», так вы сможете назначать пользователей и группы для Notion.

OneLogin

Чтобы получить дополнительную документацию вы сможете обратиться к представленной настройке на веб-сайте OneLogin, пройдите по ссылке:

• Настройка SAML для Notion

Планируя настраивать подготовку с помощью SCIM, это следует сделать перед настройкой SAML SSO. Здесь подробная инструкция SCIM с помощью OneLogin →

Шаг 1. Создаём новую интеграцию приложения

• Для настройки подготовки, нужно перейти в раздел «Администрирование» → «Приложения» → «Приложения», далее нажимаем кнопку «Добавить приложение». Теперь находим Notion в поле поиска и выбираем версию Notion SAML 2.0.
• Нажимаем «Сохранить».

Шаг 2. Создаём интеграцию SAML

• В другом случае необходимо перейти в «Приложения» и там выбираем уже существующий коннектор приложения Notion.
• Далее переходим к вкладке SSO и нужно скопировать значение URL -адреса издателя. Сохраняем его куда-нибудь, чтобы он был доступен позже.

Шаг 3. Настройка SAML

• В приложении Notion переходим на вкладку Settings & Members(Настройки и участники), затем выбираем вкладку Settings & Members(Настройки).
• В разделе Allow email domain (Разрешить домен электронной почты) нужно удалить все домены электронной почты.
• Далее выбираем вкладку Identification and preparation(Идентификация и подготовка).
• Нужно предварительно подтвердить один или несколько доменов.
• Затем устанавливаем флажок «Включить SAML SSO», у вас автоматом раскроется модальное окно «Конфигурация SAML SSO», там будет предложение о завершении настройки.
• Модальное окошко настройки системы единого входа SAML разделяется на две части: в одной части будет находится URL-адрес службы получателей утверждений (ACS), его нужно будет ввести на сайте поставщика удостоверений (IDP), а во втором находятся сведения о поставщике удостоверений, Там будет содержаться либо URL-адрес IDP, либо метаданные IDP в формате XML. Данные следует предоставить в Notion.

Шаг 4. Настраиваем приложение Notion в OneLogin

• Нужно скопировать URL-адрес службы поддержки утверждений (ACS) из Notion.
• Возвращаемся в интерфейс админ-консоли OneLogin.
• Переходим на вкладку «Конфигурация» соединителя приложения Notion, его вы по сути добавили только что в свою учетную запись OneLogin.
• Вставляем URL- адрес службы утверждения (ACS) из Notion в текстовое поле URL-адрес потребителя.
• Нажимаем «Сохранить».
• Возвращайтесь к настройкам Notion Edit SAML SSO.
• Вставляем URL -адрес издателя, который скопирован с вкладки единого входа в URL-адрес OneLogin, в текстовое поле URL-адрес поставщика удостоверений. Нужно убедиться, что выбран переключатель URL-адрес поставщика удостоверений.

Исправление проблем

Если возникают какие-либо ошибки при настройке SAML SSO, следует убедиться, что метаданные вашего IDP, запросы и ответы SAML соответствуют XML-схемам SAML XSD. Это можно сделать с помощью простого онлайн-инструмента: https://www.samltool.com/validate_xml.php.

Следует обратить внимание, что система не поддерживает элемент EntitiesDescriptor. Если метаданные вашего IDP содержат подобные элементы, то следует извлечь их EntityDescriptor и затем нужно повторить попытку.