Вы можете предоставлять и управлять пользователями и группами в рабочем пространстве Ноушен с помощью стандарта API System for Cross-domain Identity Management (SCIM) 🔑.
Что вы можете сделать с SCIM API Ноушен
Подготовка и управление пользователями:
- Создавайте и удаляйте участников в своем рабочем пространстве.
- Обновление информации профиля пользователя.
- Извлечение участников в рабочем пространстве.
- Найдите членов по электронной почте или имени.
Предоставление и управление группой:
- Создавайте и удаляйте группы в своей рабочей области.
- Добавляйте и удаляйте участников в группе.
- Получите группы в вашей рабочей области.
- Поиск групп по названию.
Не поддерживается:
- Управление гостями рабочего пространства.
Как настроить инициализацию с помощью SCIM
В настоящее время мы поддерживаем Okta, OneLogin, Rippling и пользовательские приложения SCIM. Если вы используете другой провайдер идентификации, пожалуйста, сообщите нам об этом.
Необходимые условия для SCIM с Ноушен
- Ваше рабочее пространство должно быть на тарифном плане Enterprise
- Ваш провайдер идентификации (IdP) должен поддерживать протокол SAML 2.0
- Только владелец рабочего пространства может настроить SCIM для рабочего пространства Ноушен.
- По крайней мере один домен был проверен владельцем рабочего пространства.
- Домены электронной почты не включены в раздел «Разрешенные домены электронной почты».
Создайте свой токен SCIM API
Владельцы рабочей области корпоративного плана могут создавать и просматривать токены SCIM API, выбрав «Настройки и участники» → «Безопасность и идентификация» → «Конфигурация SCIM».
- Чтобы сгенерировать новый токен, нажмите на
+ New Tokenкнопку в правом углу. - Для каждого владельца Workspace создается уникальный токен, который могут просматривать только они.
Отозвать токены
Когда владелец рабочей области покидает рабочую область или его роль изменяется, его токен будет аннулирован. Когда это произойдет, оставшимся владельцам Workspace будет отправлено автоматическое сообщение с уведомлением о замене отозванного токена.
Кроме того, активные токены могут быть отозваны любым из владельцев рабочей области в рабочей области. Чтобы отозвать токен, нажмите 🗑 рядом с соответствующим токеном.
Заменить существующие токены
Если токен отозван, вам нужно будет заменить его во всех существующих интеграциях.
Любая интеграция SCIM и подготовка пользователей, основанные на отозванном токене, будут отключены до тех пор, пока он не будет заменен активным токеном.
Примечания: Чтобы не нарушить существующие интеграции, обязательно замените все токены, связанные с администратором, перед их деинициализацией.
Конфигурация поставщика услуг
GET /ServiceProviderConfigGET <https://api.notion.com/scim/v2/ServiceProviderConfig>- Получить описание доступных функций спецификации SCIM.
- Определено в Разделе 5 Спецификации протокола SCIM .
GET /ResourceTypesGET <https://api.notion.com/scim/v2/ResourceTypes>- Получите список доступных типов ресурсов SCIM.
- Определено в Разделе 6 Спецификации протокола SCIM .
Настройка поставщика удостоверений (IdP)
Окта конфигурация
Okta Integration Ноушен поддерживает следующие функции подготовки:
- Создать пользователей
- Обновите атрибуты пользователя (если у пользователя есть домен электронной почты, принадлежащий вашей организации)
- Деактивировать пользователей (это удаляет пользователей из вашего рабочего пространства Ноушен)
- Push-группы
Шаг 1. Включение подготовки в Ноушен
- Перейдите на вкладку
« Настройки и участники », затем выберите вкладку« Идентификация и подготовка ». - Прокрутите вниз до раздела Единый вход SAML (SSO) .
- Откройте кнопку
«Изменить конфигурацию системы единого входа SAML» . - Нажмите ссылку
« Копировать »рядом с URL-адресом службы обработки утверждений (ACS) . Вставьте его куда-нибудь, чтобы получить позже. - Вернитесь в
«Настройки и участники»→«Идентификация и подготовка»и прокрутите вниз до раздела« Подготовка SCIM ». - Если токен еще не создан, нажмите
+ "Добавить токен"и скопируйте токен. Вставьте его куда-нибудь, чтобы получить позже.
Шаг 2: Настройка инициализации в Okta
- Добавьте приложение Ноушен из каталога приложений Okta Directory .
- В представлении
« Параметры входа »выберите« Электронная почта »для формата имени пользователя приложения на вкладке« Вход в приложение». - На вкладке
«Подготовка»выберите«Настроить интеграцию API»и установите флажок«Включить интеграцию API». - Введите токен API Ноушен SCIM , скопированный на шаге 1, в текстовое поле Токен API и нажмите
Сохранить. - Нажмите кнопку
« Изменить »рядом с заголовком« Подготовка к приложению »и включите предпочитаемые функции: «Создать пользователей», «Обновить атрибуты пользователей» или «Деактивировать пользователей». ЩелкнитеСохранить. - После настройки интеграции API откройте вкладку Push Groups и добавьте группы Okta, которые вы хотите синхронизировать с Ноушен, с помощью кнопки
«Push Groups».
Примечания: При обновлении пользователей/групп через существующую конфигурацию SCIM, пожалуйста, не удаляйте приложение Ноушен App из Okta. Это приведет к удалению всех предоставленных пользователей из рабочей области.
Если у вас возникнут проблемы с настройкой подготовки с помощью Okta, свяжитесь с нами по адресу team@makenotion.com.
OneLogin
Дополнительную документацию можно найти на сайте OneLogin здесь:
Интеграция OneLogin от Ноушен поддерживает следующие функции подготовки:
- Создать пользователей
- Обновите атрибуты пользователя (если у пользователя есть домен электронной почты, принадлежащий вашей организации)
- Деактивировать пользователей (это удаляет пользователей из вашего рабочего пространства Ноушен)
- Создайте правила для сопоставления ролей OneLogin с группами разрешений в Ноушен
Примечания: Если вы планируете предоставлять пользователям Ноушен через OneLogin, важно настроить SCIM перед настройкой единого входа.
Шаг 1. Включение подготовки в Ноушен
- Перейдите на вкладку
« Настройки и участники », затем выберите вкладку« Идентификация и подготовка ». - Прокрутите вниз до раздела Единый вход SAML (SSO) .
- Откройте кнопку
« Изменить конфигурацию системы единого входа SAML» . - Нажмите ссылку
«Копировать»рядом с URL-адресом службы обработки утверждений (ACS) . Вставьте его куда-нибудь, чтобы получить позже. - Вернитесь в
« Настройки и участники»→«Идентификация и подготовка»и прокрутите вниз до раздела« Подготовка SCIM ». - Если токен еще не создан, нажмите
+ Добавить токени скопируйте токен. Вставьте его куда-нибудь, чтобы получить позже.
Примечания: Владельцы рабочей области могут копировать и использовать только те токены, которые они сами создали. Если токен уже создан другим владельцем рабочей области, вы можете согласовать его, чтобы определить, нужен ли еще один токен. Срок действия всех токенов истечет, как только владелец рабочей области, создавший токен, покинет рабочую область или понизится до члена.
Шаг 2. Настройка подготовки в OneLogin
- Перейдите в Администрирование → Приложения → Приложения.
- Нажмите кнопку
«Добавить приложение», найдите Ноушен в поле поиска и выберите версию Ноушен SAML 2.0. - Нажмите
"Сохранить" - Перейдите на вкладку
"Конфигурации" - Вставьте URL- адрес службы утверждения (ACL) в текстовое поле URL-адрес потребителя .
- Вставьте токен SCIM API в текстовое поле SCIM Bearer Token .
- Нажмите
"Включить" - Перейдите на вкладку
"Обеспечение" - Установите флажок
"Включить подготовку"в разделе"Рабочий процесс". - Нажмите кнопку
"Сохранить"в правом верхнем углу - ( необязательно ) Включите или отключите требование утверждения администратором при создании, удалении или обновлении пользователей в разделе «Требовать утверждения администратора перед выполнением этого действия».
- ( необязательно ) Выберите, что произойдет с пользователем в Ноушен, когда этот пользователь будет удален из OneLogin. Выберите между
«Удалить»(удаляет пользователя из рабочей области Ноушен) или«Ничего не делать». - Нажмите кнопку
"Сохранить"в правом верхнем углу
Пользователи
В таблице ниже описано соответствие между атрибутами пользователя SCIM и полями профиля пользователя Ноушен. Другие атрибуты пользователя будут проигнорированы.
GET /UsersGET <https://api.notion.com/scim/v2/Users>- Получить разбитый на страницы список членов рабочей области.
- Вы можете разбить на страницы, используя параметры
startIndexиcount. Обратите внимание, чтоstartIndexэто индекс 1. - Вы можете отфильтровать результаты с помощью
filterпараметра. Допустимые атрибуты для фильтрации:email,given_nameиfamily_name, напримерGET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq employee@acmecorp.com - Обратите внимание, что
given_nameиfamily_nameчувствительны к регистру. Электронная почта преобразуется в нижний регистр.
GET /Users/<id>GET <https://api.notion.com/scim/v2/Users/><id>- Получить определенного члена рабочей области по его идентификатору пользователя Ноушен. Это будет UUID из 32 символов в следующем формате:
00000000-0000-0000-0000-000000000000. - Обратите внимание, что
meta.createdиmeta.lastModifiedне отражают значимые значения метки времени.
POST /UsersPOST <https://api.notion.com/scim/v2/Users>- Если у пользователя, которого вы добавляете, уже есть учетная запись пользователя Ноушен с таким же адресом электронной почты, он будет добавлен в вашу рабочую область.
- Если пользователь не существует, вызов этого создаст нового пользователя Ноушен, а затем добавит этого пользователя в вашу рабочую область. Они будут сопоставлены с созданным профилем пользователя Ноушен.
PATCH /Users/<id>PATCH <https://api.notion.com/scim/v2/Users/><id>- Обновление с помощью ряда операций и возврат обновленной записи пользователя.
Примечание: Вы можете обновить информацию профиля участника только в том случае, если вы подтвердили право собственности на домен электронной почты пользователя (обычно это то же самое, что и домены электронной почты, которые вы настроили для единого входа SAML с помощью Ноушен). Свяжитесь с нами, чтобы подтвердить новый домен электронной почты.
PUT /Users/<id>PUT <https://api.notion.com/scim/v2/Users/><id>- Update и возвращает обновленную запись пользователя.
DELETE /Users/<id>DELETE <https://api.notion.com/scim/v2/Users/><id>- Удалите пользователя из вашей рабочей области. Пользователь выходит из всех активных сеансов.
Примечание: Учетную запись пользователя нельзя удалить с помощью SCIM. Удаление аккаунта должно производиться вручную.
Группы
GET /GroupsGET <https://api.notion.com/scim/v2/Groups>- Получить разбитый на страницы список групп рабочей области.
- Вы можете разбить на страницы, используя параметры
startIndexиcount. Обратите внимание, чтоstartIndexэто 1-индексированный, напримерGET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5> - Вы можете отфильтровать результаты с помощью
filterпараметра. Группы можно фильтровать по ихdisplayNameатрибуту, напримерGET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
GET /Groups/<id>GET <https://api.notion.com/scim/v2/Groups/><id>- Получить определенную группу рабочей области по ее идентификатору группы понятий. Это будет UUID из 32 символов в следующем формате:
00000000-0000-0000-0000-000000000000.
POST /GroupsPOST <https://api.notion.com/scim/v2/Groups>- Создайте новую группу рабочей области.
PATCH /Groups/<id>PATCH <https://api.notion.com/scim/v2/Groups/><id>- Обновите группу рабочей области с помощью ряда операций.
PUT /Groups/<id>PUT <https://api.notion.com/scim/v2/Groups/><id>- Обновите группу рабочей области.
DELETE /Groups/<id>DELETE <https://api.notion.com/scim/v2/Groups/><id>- Удалить группу рабочей области.
Примечания: Удаление группы будет запрещено, если в результате этого ни у кого не будет полного доступа к одной или нескольким страницам.