Меню Закрыть

Настройка SAML SSO

Последнее изменение: 24.08.2022
Вы здесь:
Расчетное время чтения: 7 мин

Notion предоставляет функцию единого входа (SSO) для корпоративных клиентов, чтобы они могли получить доступ к приложению через единый источник аутентификации. Это позволяет ИТ-администраторам лучше управлять доступом команды и сохранять информацию в большей безопасности 🔐.

Услуги единой регистрации (SSO) компании Notion построены на стандарте SAML (Security Assertion Markup Language) 2.0, который позволяет менеджерам идентификации безопасно передавать учетные данные авторизации поставщикам услуг, таким как Notion, и соединять вашего поставщика идентификации (IdP) и рабочее пространство (пространства) для упрощения и повышения безопасности входа в систему.

Что такое SAML SSO?

Службы единого входа позволяют пользователю использовать один набор учетных данных (например, имя или адрес электронной почты и пароль) для доступа к нескольким приложениям. Служба аутентифицирует конечного пользователя только один раз для всех приложений, на которые пользователю были предоставлены права, и устраняет дальнейшие запросы, когда пользователь переключает приложения во время одного сеанса.

Система единого входа SAML доступна только для рабочих областей в плане предприятия Notion. Свяжитесь с отделом продаж, чтобы узнать больше →

Необходимые условия для SSO с помощью Notion

  • Ваше рабочее пространство должно находиться на плане Enterprise
  • Ваш провайдер идентификации (IdP) должен поддерживать стандарт SAML 2.0.
  • Только владелец рабочего пространства может настроить SAML SSO для рабочего пространства Notion.
  • Как минимум один домен должен быть проверен владельцем рабочего пространства.
  • Домены электронной почты не включены в настройку «Разрешенный домен электронной почты».

Преимущества системы единого входа

  • Оптимизирует управление пользователями в системах для владельцев рабочих мест.
  • Устраняет необходимость для конечных пользователей запоминать несколько паролей и управлять ими. Упрощает взаимодействие с конечными пользователями, позволяя им входить в систему через одну точку доступа и наслаждаться беспроблемным взаимодействием с несколькими приложениями.
Только участники могут получить доступ к рабочей области через систему единого входа. Гости не поддерживаются. Гости будут преобразованы в участников и им будет назначена лицензия после успешного входа в систему через систему единого входа.
Узнайте больше об участниках и гостях в рабочей области Notion →

Настройка системы единого входа SAML для вашей рабочей области

Включить SAML SSO для одной рабочей области

  • Перейдите в « Настройки и участники », затем выберите вкладку « Настройки ».
  • В разделе Разрешить домен электронной почты удалите все домены электронной почты.
  • Затем выберите вкладку « Идентификация и подготовка ».
SAML Система единого входа — меню
  • Подтвердите один или несколько доменов. Инструкции по подтверждению домена смотрите здесь →
  • Установите флажок « Включить SAML SSO », и автоматически появится модальное окно «Конфигурация SAML SSO», в котором вам будет предложено завершить настройку.
  • Модальное окно конфигурации единого входа SAML разделено на две части:
    • URL — адрес Assertion Consumer Service (ACS) необходимо ввести на портале поставщика удостоверений (IDP) .
    • Сведения о поставщике удостоверений — это поле, в котором для Notion должен быть предоставлен либо URL-адрес IDP, либо XML метаданных IDP.

Для получения дополнительной информации о том, где ввести и получить эту информацию, обратитесь к нашим руководствам для IDP ниже.

конфигурация Saml SSO
Гости не поддерживаются системой SAML SSO в Notion.

Подключение дополнительных рабочих пространств к существующей конфигурации SAML SSO

В рабочей области, в которой вы подтвердили свой домен и включили систему единого входа SAML, есть раздел « Связанные рабочие области», в котором перечислены все рабочие области, связанные с вашей конфигурацией единого входа SAML.

рабочее пространство sso-link saml

Пользователи с подтвержденным адресом электронной почты, имеющие доступ к основной рабочей области или к одной из связанных рабочих областей, смогут входить в систему через систему единого входа SAML.

Чтобы добавить или удалить рабочую область из конфигурации системы единого входа SAML, обратитесь в службу поддержки по адресу team@makenotion.com.

Внедрение системы единого входа SAML

После завершения настройки SAML SSO для одной рабочей области пользователи смогут входить через SAML SSO в дополнение к другим методам входа, таким как имя пользователя/пароль и аутентификация Google.

  • Чтобы пользователи могли входить в систему только с помощью SAML SSO и никаким другим способом, обновите метод Login до Only SAML SSO.
применять SAML SSO
  • SAML SSO будет применяться только для пользователей с подтвержденным доменом, у которых есть доступ к основной рабочей области или связанной рабочей области.
  • Гости, приглашенные на страницы в рабочей области Notion, не могут использовать SAML SSO для входа; поэтому они всегда будут использовать свой адрес электронной почты/пароль или опцию «продолжить с помощью Google/Apple» для входа в систему.
  • Владельцы рабочей области всегда будут иметь возможность обойти единый вход SAML, используя свои учетные данные электронной почты и пароль. Это позволит им получить доступ к Notion в случае сбоя IdP/SAML. Они смогут войти в систему и отключить или обновить свою конфигурацию.

Настройка провайдера идентификации (IdP)

Это инструкции по настройке системы единого входа Notion SAML с Azure, Google, Okta и OneLogin. Если вы используете другого провайдера удостоверений и вам нужна помощь в настройке, обратитесь в нашу службу поддержки.

Azure

Для получения дополнительной документации вы также можете обратиться к шагам на сайте Azure здесь:

Шаг 1. Создайте новую интеграцию приложения

  • Войдите на портал Azure. На левой панели навигации выберите  службу Azure Active Directory  .
  • Перейдите к  корпоративным приложениям  и выберите «  Все приложения» .
  • Чтобы добавить новое приложение, выберите  Новое приложение .
  • В разделе  Добавить из галереи введите  Notion  в поле поиска. Выберите Notion на панели результатов, а затем добавьте приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш клиент.

Шаг 2.  Создайте интеграцию SAML

  • На портале Azure на странице интеграции приложений Notion найдите  раздел Управление  и выберите  единый вход .
  • На   странице Выбор  метода единого входа выберите SAML .

Шаг 3. Настройки SAML

  • В Notion перейдите на вкладку «  Настройки и участники  », затем выберите   вкладку « Настройки ».
  • В разделе  Разрешить домен  электронной почты удалите все домены электронной почты.
  • Затем выберите вкладку «  Идентификация и подготовка  ».
  • Подтвердите один или несколько доменов. Инструкции по подтверждению домена смотрите здесь →Подтвердите домен для вашей рабочей области
  • Установите флажок « Включить  SAML SSO »,  и   автоматически появится модальное окно « Конфигурация SAML SSO », в котором вам будет предложено завершить настройку.
  • Модальное окно конфигурации системы единого входа SAML разделено на две части: одна часть — это  URL-адрес службы получателей утверждений (ACS)  , который необходимо ввести на портале поставщика удостоверений (IDP), а вторая —  сведения о поставщике удостоверений,  в которых содержится либо URL-адрес IDP, либо метаданные IDP в формате XML. который должен быть предоставлен Notion.

Шаг 4. Настройте приложение Notion в Azure Active Directory.

  • На странице Настройка единого входа с помощью SAML щелкните значок карандаша для  базовой конфигурации SAML  , чтобы изменить параметры.
  • В разделе «  Базовая конфигурация SAML  », если вы хотите настроить приложение в режиме, инициированном IDP, введите значения для следующих полей:
    • В текстовом поле Идентификатор (идентификатор объекта) введите следующий URL-адрес:https://www.notion.so/sso/saml
    • В  текстовом поле URL- адрес ответа (URL-адрес службы поддержки утверждений)  используйте URL-адрес ACS из Notion, который находится на   вкладке «  Идентификация и подготовка» в разделе « Настройки и участники »  на левой боковой панели .
    • В текстовом поле URL -адрес для входа введите следующий URL-адрес:https://www.notion.so/login
  • В разделе User Attributes & Claims убедитесь, что для необходимого утверждения установлено значение
    • Уникальный идентификатор пользователя (идентификатор имени): user.userprincipalname [nameid-format:emailAddress]
    • имя: user.givenname
    • фамилия: user.surname
    • электронная почта: user.mail
  • На  странице Настройка единого входа с помощью SAML в  разделе Сертификат подписи SAML  нажмите кнопку копирования рядом с  URL-адресом метаданных App Federation .
  • Перейдите в рабочую область Notion  Settings & Members  >  Identity & Provisioning и вставьте значение URL-адреса метаданных App Federation , которое вы скопировали, в текстовое поле URL-адреса метаданных IDP . Убедитесь, что переключатель  URL-адрес поставщика удостоверений  выбран .

Шаг 5: Назначьте пользователей Notion

  • На портале Azure выберите  Корпоративные приложения , а затем выберите  Все приложения . В списке приложений выберите  Notion .
  • На странице обзора приложения найдите  раздел « Управление  » и выберите  « Пользователи и группы » .
  • Выберите  « Добавить пользователя », затем выберите  « Пользователи и группы  » в диалоговом окне «Добавить назначение».
  • В  диалоговом окне «Пользователи и группы» выберите из списка «Пользователи», затем нажмите кнопку «  Выбрать  » в нижней части экрана.
  • Если вы ожидаете, что пользователям будет назначена роль, вы можете выбрать ее в  раскрывающемся списке «Выбор роли» . Если для этого приложения не настроена роль, вы увидите выбранную роль «Доступ по умолчанию».
  • В  диалоговом окне «Добавить назначение» нажмите кнопку «Назначить»  .

Google

Для получения дополнительной документации вы также можете обратиться к шагам на веб-сайте Google здесь:

Шаг 1. Создайте новую интеграцию приложения

  • Войдите в свой кабинет администратора на   странице https://admin.google.com/ . Убедитесь, что вы используете учетную запись с  правами супер администратора !
  • На главной странице консоли администратора перейдите к Приложения > Интернет и мобильные приложения .
  • Нажмите  «Добавить приложение» > «Добавить частное приложение SAML» .
  • На странице сведений о  приложении  введите имя пользовательского приложения.
  • Нажмите «Продолжить».
  • На странице сведений о поставщике идентификационной информации Google загрузите  метаданные поставщика идентификационной информации . Откройте загруженный файл GoogleIDPMetadata.xml и скопируйте его содержимое.

Шаг 2. Настройте параметры SAML в Notion

  • В Notion перейдите на вкладку «  Настройки и участники  », затем выберите   вкладку « Настройки ».
  • В разделе  Разрешить домен  электронной почты удалите все домены электронной почты.
  • Затем выберите вкладку «  Идентификация и подготовка  ».
  • Подтвердите один или несколько доменов. Инструкции по подтверждению домена см. здесь→ Подтвердите домен для своей рабочей области.
  • Установите флажок « Включить  SAML SSO »,  и   автоматически появится модальное окно «Конфигурация SAML SSO», в котором вам будет предложено завершить настройку.
  • Модальное окно конфигурации системы единого входа SAML разделено на две части: одна часть — это  URL-адрес службы получателей утверждений (ACS)  , который необходимо ввести на портале поставщика удостоверений (IDP), а вторая —  сведения о поставщике удостоверений,  в которых содержится либо URL-адрес IDP, либо метаданные IDP в формате XML. который должен быть предоставлен Notion.
  • Вставьте скопированное содержимое из файла GoogleIDPMetadata.xml, загруженного на шаге 1 выше, в текстовое поле XML метаданных IDP .
  • Скопируйте URL-адрес службы приема утверждений (ACS) и нажмите « Включить SAML » .

Шаг 3. Настройте параметры SAML в Google Workspace

  • В консоли администратора Google Workspace нажмите Продолжить .
  • На странице сведений о поставщике услуг введите  URL-адрес службы приема утверждений (ACS) , скопированный из Notion на шаге 2 выше, и введите https://www.notion.so/sso/samlего в текстовое поле идентификатора объекта.
  • В раскрывающемся списке Формат идентификатора имени выберите EMAIL .
  • В раскрывающемся списке Идентификатор имени выберите Основная информация > Основной адрес электронной почты .
  • Нажмите  « Продолжить » , чтобы перейти на страницу « Атрибуты приложения », где вы можете сопоставить дополнительные атрибуты или настроить членство в группах в качестве дополнительных шагов.
  • Нажмите Готово , чтобы завершить настройку.

Окта

Для получения дополнительной документации вы также можете обратиться к шагам на веб-сайте Okta здесь:

Шаг 1: Добавьте приложение Notion из каталога приложений Okta.

  • Войдите в Okta как администратор и перейдите в консоль администратора Okta.
  • Перейдите на вкладку « Приложение », выберите « Обзор приложений » и найдите « Notion » в каталоге приложений Okta .
  • Выберите приложение Notion и нажмите Добавить интеграцию .
  • В представлении « Общие настройки » просмотрите настройки и нажмите «Далее».
  • В представлении « Параметры входа » выберите вариант SAML 2.0.
  • Над разделом «Дополнительные параметры входа» щелкните метаданные поставщика удостоверений. Это откроет новую вкладку браузера. Скопируйте ссылку URL.

Шаг 2. Настройте параметры SAML в Notion

  • В Notion перейдите на вкладку «  Настройки и участники  », затем выберите   вкладку «Настройки».
  • В разделе  Разрешить домен  электронной почты удалите все домены электронной почты.
  • Затем выберите вкладку «Идентификация и подготовка».
  • Подтвердите один или несколько доменов. Инструкции по подтверждению домена см. здесь→ Подтвердите домен для своей рабочей области.
  • Установите флажок « Включить  SAML SSO »,  и   автоматически появится модальное окно « Конфигурация SAML SSO », в котором вам будет предложено завершить настройку.
  • Модальное окно конфигурации системы единого входа SAML разделено на две части: одна часть — это  URL-адрес службы получателей утверждений (ACS), который необходимо ввести на портале поставщика удостоверений (IDP), а вторая —  сведения о поставщике удостоверений ,  в которых содержится либо URL-адрес IDP, либо метаданные IDP в формате XML. который должен быть предоставлен Notion.
    • Выберите URL- адрес поставщика удостоверений и вставьте URL- адрес метаданных поставщика удостоверений , скопированный на шаге 1. Нажмите Сохранить изменения.
  • На  вкладке « Идентификация и подготовка» прокрутите вниз и скопируйте идентификатор идентификатора рабочей области.
  • В консоли администратора Okta в разделе «Дополнительные параметры входа» вставьте идентификатор рабочей области в текстовое поле « Идентификатор организации ».
  • В разделе «Учетные данные» выберите «Электронная почта из раскрывающегося списка « Формат имени пользователя приложения» и нажмите «Готово».

Шаг 3: Назначьте пользователей и группы в Notion

  • В Okta > вкладка «Назначения» теперь вы можете назначать пользователей и группы для Notion.

OneLogin

Для получения дополнительной документации вы также можете обратиться к шагам на веб-сайте OneLogin здесь:

Если вы планируете настроить подготовку с помощью SCIM, сделайте это перед настройкой SAML SSO. Инструкции по настройке подготовки SCIM с помощью OneLogin →

Шаг 1. Создайте новую интеграцию приложения

  • Если вы еще не настроили подготовку, перейдите в раздел « Администрирование» → «Приложения» → «Приложения », затем нажмите кнопку «Добавить приложение», найдите Notion в поле поиска и выберите версию Notion SAML 2.0.
  • Нажмите Сохранить .

Шаг 2. Создайте интеграцию SAML

  • В противном случае перейдите в « Приложения» → «Приложения » и выберите уже добавленный коннектор приложения Notion.
  • Перейдите на вкладку SSO и скопируйте значение URL -адреса издателя. Вставьте его куда-нибудь, чтобы получить позже.

Шаг 3. Настройки SAML

  • В Notion перейдите на вкладку « Настройки и участники », затем выберите вкладку «Настройки».
  • В разделе  Разрешить домен  электронной почты удалите все домены электронной почты.
  • Затем выберите вкладку «  Идентификация и подготовка  ».
  • Подтвердите один или несколько доменов. Инструкции по подтверждению домена см. здесь → Подтвердите домен для своей рабочей области.
  • Установите флажок «Включить  SAML SSO»,  и   автоматически появится модальное окно « Конфигурация SAML SSO », в котором вам будет предложено завершить настройку.
  • Модальное окно конфигурации системы единого входа SAML разделено на две части: одна часть — это  URL-адрес службы получателей утверждений (ACS)  , который необходимо ввести на портале поставщика удостоверений (IDP), а вторая —  сведения о поставщике удостоверений ,  в которых содержится либо URL-адрес IDP, либо метаданные IDP в формате XML. который должен быть предоставлен Notion.

Шаг 4. Настройте приложение Notion в OneLogin

  • Скопируйте URL-адрес службы поддержки утверждений (ACS) из Notion
  • Вернитесь в интерфейс администрирования OneLogin.
  • Перейдите на вкладку « Конфигурация » соединителя приложения Notion, который вы только что добавили в свою учетную запись OneLogin.
  • Вставьте URL- адрес службы утверждения (ACS) из Notion в текстовое поле URL-адрес потребителя .
  • Нажмите Сохранить
  • Вернитесь к настройкам Notion Edit SAML SSO .
  • Вставьте URL -адрес издателя , скопированный с вкладки единого входа в URL-адрес OneLogin, в текстовое поле URL-адрес поставщика удостоверений . Убедитесь, что переключатель URL-адрес поставщика удостоверений выбран .

Исправление проблем

Если вы столкнулись с ошибками при настройке SAML SSO, убедитесь, что метаданные вашего IDP, запросы и ответы SAML соответствуют XML-схемам SAML XSD. Вы можете сделать это с помощью этого онлайн-инструмента: https://www.samltool.com/validate_xml.php .

Обратите внимание, что мы не поддерживаем EntitiesDescriptorэлемент. Если метаданные вашего IDP содержат этот элемент, извлеките его EntityDescriptorи повторите попытку.

Была ли эта статья полезной?
Нет 0
Просмотров: 58

Читать далее

Предыдущий: Управление доменом
Следующий: Предоставление пользователей и групп с помощью SCIM