Меню Закрыть

Предоставление пользователей и групп с помощью SCIM

Последнее изменение: 24.08.2022
Вы здесь:
Расчетное время чтения: 4 мин

Вы можете предоставлять и управлять пользователями и группами в рабочем пространстве Notion с помощью стандарта API System for Cross-domain Identity Management (SCIM) 🔑.

Что вы можете сделать с SCIM API Notion

Подготовка и управление пользователями:

  • Создавайте и удаляйте участников в своем рабочем пространстве.
  • Обновление информации профиля пользователя.
  • Извлечение участников в рабочем пространстве.
    • Найдите членов по электронной почте или имени.

Предоставление и управление группой:

  • Создавайте и удаляйте группы в своей рабочей области.
  • Добавляйте и удаляйте участников в группе.
  • Получите группы в вашей рабочей области.
    • Поиск групп по названию.

Не поддерживается:

  • Управление гостями рабочего пространства.

Как настроить инициализацию с помощью SCIM

В настоящее время мы поддерживаем Okta, OneLogin, Rippling и пользовательские приложения SCIM. Если вы используете другой провайдер идентификации, пожалуйста, сообщите нам об этом.

Необходимые условия для SCIM с Notion

  • Ваше рабочее пространство должно быть на тарифном плане Enterprise
  • Ваш провайдер идентификации (IdP) должен поддерживать протокол SAML 2.0
  • Только владелец рабочего пространства может настроить SCIM для рабочего пространства Notion.
  • По крайней мере один домен был проверен владельцем рабочего пространства.
  • Домены электронной почты не включены в раздел «Разрешенные домены электронной почты».

Создайте свой токен SCIM API

Владельцы рабочей области корпоративного плана могут создавать и просматривать токены SCIM API, выбрав «Настройки и участники» → «Безопасность и идентификация» → «Конфигурация SCIM».

  • Чтобы сгенерировать новый токен, нажмите на  + New Token кнопку в правом углу.
  • Для каждого владельца Workspace создается уникальный токен, который могут просматривать только они.

Отозвать токены

Когда владелец рабочей области покидает рабочую область или его роль изменяется, его токен будет аннулирован. Когда это произойдет, оставшимся владельцам Workspace будет отправлено автоматическое сообщение с уведомлением о замене отозванного токена.

Кроме того, активные токены могут быть отозваны любым из владельцев рабочей области в рабочей области. Чтобы отозвать токен, нажмите  🗑 рядом с соответствующим токеном.

Заменить существующие токены

Если токен отозван, вам нужно будет заменить его во всех существующих интеграциях.

Любая интеграция SCIM и подготовка пользователей, основанные на отозванном токене, будут отключены до тех пор, пока он не будет заменен активным токеном.

Чтобы не нарушить существующие интеграции, обязательно замените все токены, связанные с администратором, перед их деинициализацией.

Конфигурация поставщика услуг

Настройка поставщика удостоверений (IdP)

Окта конфигурация

Okta Integration Notion поддерживает следующие функции подготовки:

  • Создать пользователей
  • Обновите атрибуты пользователя (если у пользователя есть домен электронной почты, принадлежащий вашей организации)
  • Деактивировать пользователей (это удаляет пользователей из вашего рабочего пространства Notion)
  • Push-группы

Шаг 1. Включение подготовки в Notion

  • Перейдите на вкладку « Настройки и участники », затем выберите вкладку « Идентификация и подготовка».
  • Прокрутите вниз до раздела Единый вход SAML (SSO) .
  • Откройте кнопку « Изменить конфигурацию системы единого входа SAML» .
  • Нажмите ссылку «Копировать» рядом с URL-адресом службы обработки утверждений (ACS) . Вставьте его куда-нибудь, чтобы получить позже.
  • Вернитесь в « Настройки и участники» → «Идентификация и подготовка» и прокрутите вниз до раздела « Подготовка SCIM ».
  • Если токен еще не создан, нажмите + Добавить токен и скопируйте токен. Вставьте его куда-нибудь, чтобы получить позже.

Шаг 2: Настройка инициализации в Okta

  • Добавьте  приложение Notion из каталога приложений Okta Directory .
  • В представлении « Параметры входа » выберите « Электронная почта » для формата имени пользователя приложения на вкладке « Вход в приложение».
  • На вкладке «Подготовка » выберите « Настроить интеграцию API» и установите флажок « Включить интеграцию API».
  • Введите токен API Notion SCIM , скопированный на шаге 1, в текстовое поле Токен API и нажмите Сохранить.
  • Нажмите кнопку « Изменить » рядом с заголовком « Подготовка к приложению » и включите предпочитаемые функции: «Создать пользователей», «Обновить атрибуты пользователей» или «Деактивировать пользователей». Щелкните Сохранить.
  • После настройки интеграции API откройте вкладку Push Groups и добавьте группы Okta, которые вы хотите синхронизировать с Notion, с помощью кнопки «Push Groups».
При обновлении пользователей/групп через существующую конфигурацию SCIM, пожалуйста, не удаляйте приложение Notion App из Okta. Это приведет к удалению всех предоставленных пользователей из рабочей области.

Если у вас возникнут проблемы с настройкой подготовки с помощью Okta, свяжитесь с нами по адресу team@makenotion.com.

OneLogin

Дополнительную документацию можно найти на сайте OneLogin здесь:

Интеграция OneLogin от Notion поддерживает следующие функции подготовки:

  • Создать пользователей
  • Обновите атрибуты пользователя (если у пользователя есть домен электронной почты, принадлежащий вашей организации)
  • Деактивировать пользователей (это удаляет пользователей из вашего рабочего пространства Notion)
  • Создайте правила для сопоставления ролей OneLogin с группами разрешений в Notion
Если вы планируете предоставлять пользователям Notion через OneLogin, важно настроить SCIM перед настройкой единого входа.

Шаг 1. Включение подготовки в Notion

  • Перейдите на вкладку « Настройки и участники », затем выберите вкладку « Идентификация и подготовка ».
  • Прокрутите вниз до раздела Единый вход SAML (SSO) .
  • Откройте кнопку « Изменить конфигурацию системы единого входа SAML» .
  • Нажмите ссылку «Копировать» рядом с URL-адресом службы обработки утверждений (ACS) . Вставьте его куда-нибудь, чтобы получить позже.
  • Вернитесь в « Настройки и участники» → «Идентификация и подготовка» и прокрутите вниз до раздела « Подготовка SCIM ».
  • Если токен еще не создан, нажмите + Добавить токен и скопируйте токен. Вставьте его куда-нибудь, чтобы получить позже.
Владельцы рабочей области могут копировать и использовать только те токены, которые они сами создали. Если токен уже создан другим владельцем рабочей области, вы можете согласовать его, чтобы определить, нужен ли еще один токен. Срок действия всех токенов истечет, как только владелец рабочей области, создавший токен, покинет рабочую область или понизится до члена.

Шаг 2. Настройка подготовки в OneLogin

  • Перейдите в Администрирование → Приложения → Приложения.
  • Нажмите кнопку «Добавить приложение», найдите Notion в поле поиска и выберите версию Notion SAML 2.0.
  • Нажмите  Сохранить
  • Перейдите на вкладку Конфигурации
  • Вставьте URL- адрес службы утверждения (ACL) в текстовое поле URL-адрес потребителя .
  • Вставьте токен SCIM API в текстовое поле SCIM Bearer Token .
  • Нажмите Включить
  • Перейдите на вкладку Обеспечение
  • Установите флажок Включить подготовку в разделе Рабочий процесс.
  • Нажмите кнопку Сохранить в правом верхнем углу
  • необязательно ) Включите или отключите требование утверждения администратором при создании, удалении или обновлении пользователей в разделе Требовать утверждения администратора перед выполнением этого действия.
  • необязательно ) Выберите, что произойдет с пользователем в Notion, когда этот пользователь будет удален из OneLogin. Выберите между «Удалить» (удаляет пользователя из рабочей области Notion) или «Ничего не делать».
  • Нажмите кнопку Сохранить в правом верхнем углу

Пользователи

В таблице ниже описано соответствие между атрибутами пользователя SCIM и полями профиля пользователя Notion. Другие атрибуты пользователя будут проигнорированы.

Предоставление пользователей и групп с помощью SCIM
  • GET /Users
    • GET <https://api.notion.com/scim/v2/Users>
    • Получить разбитый на страницы список членов рабочей области.
    • Вы можете разбить на страницы, используя  параметры startIndex и  count . Обратите внимание, что  startIndex это индекс 1.
    • Вы можете отфильтровать результаты с помощью  filter параметра. Допустимые атрибуты для фильтрации:  email,  given_nameи  family_name, например GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq employee@acmecorp.com
    • Обратите внимание, что  given_name и  family_name чувствительны к регистру. Электронная почта преобразуется в нижний регистр.
  • GET /Users/<id>
    • GET <https://api.notion.com/scim/v2/Users/><id>
    • Получить определенного члена рабочей области по его идентификатору пользователя Notion. Это будет UUID из 32 символов в следующем формате:  00000000-0000-0000-0000-000000000000.
    • Обратите внимание, что  meta.created и  meta.lastModified не отражают значимые значения метки времени.
  • POST /Users
    • POST <https://api.notion.com/scim/v2/Users>
    • Если у пользователя, которого вы добавляете, уже есть учетная запись пользователя Notion с таким же адресом электронной почты, он будет добавлен в вашу рабочую область.
    • Если пользователь не существует, вызов этого создаст нового пользователя Notion, а затем добавит этого пользователя в вашу рабочую область. Они будут сопоставлены с созданным профилем пользователя Notion.
  • PATCH /Users/<id>
    • PATCH <https://api.notion.com/scim/v2/Users/><id>
    • Обновление с помощью ряда операций и возврат обновленной записи пользователя.

Примечание. Вы можете обновить информацию профиля участника только в том случае, если вы подтвердили право собственности на домен электронной почты пользователя (обычно это то же самое, что и домены электронной почты, которые вы настроили для единого входа SAML с помощью Notion). Свяжитесь  с нами,  чтобы подтвердить новый домен электронной почты.

  • PUT /Users/<id>
    • PUT <https://api.notion.com/scim/v2/Users/><id>
    • Update и возвращает обновленную запись пользователя.
  • DELETE /Users/<id>
    • DELETE <https://api.notion.com/scim/v2/Users/><id>
    • Удалите пользователя из вашей рабочей области. Пользователь выходит из всех активных сеансов.
    • Примечание. Учетную запись пользователя нельзя удалить с помощью SCIM. Удаление аккаунта должно производиться вручную.

Группы

  • GET /Groups
    • GET <https://api.notion.com/scim/v2/Groups>
    • Получить разбитый на страницы список групп рабочей области.
    • Вы можете разбить на страницы, используя  параметры startIndex и  count . Обратите внимание, что  startIndex это 1-индексированный, например  GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>
    • Вы можете отфильтровать результаты с помощью  filter параметра. Группы можно фильтровать по их  displayName атрибуту, например GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
  • GET /Groups/<id>
    • GET <https://api.notion.com/scim/v2/Groups/><id>
    • Получить определенную группу рабочей области по ее идентификатору группы понятий. Это будет UUID из 32 символов в следующем формате:  00000000-0000-0000-0000-000000000000.
  • POST /Groups
    • POST <https://api.notion.com/scim/v2/Groups>
    • Создайте новую группу рабочей области.
  • PATCH /Groups/<id>
    • PATCH <https://api.notion.com/scim/v2/Groups/><id>
    • Обновите группу рабочей области с помощью ряда операций.
  • PUT /Groups/<id>
    • PUT <https://api.notion.com/scim/v2/Groups/><id>
    • Обновите группу рабочей области.
  • DELETE /Groups/<id>
    • DELETE <https://api.notion.com/scim/v2/Groups/><id>
    • Удалить группу рабочей области.
Удаление группы будет запрещено, если в результате этого ни у кого не будет полного доступа к одной или нескольким страницам.
Была ли эта статья полезной?
Нет 0
Просмотров: 23

Читать далее

Предыдущий: Настройка SAML SSO
Следующий: Журнал аудита