Identitätsanbieter (IdP) für SAML SSO einrichten

Hier zeigen wir dir, wie du SAML SSO mit Entra ID (vormals Azure), Google, Okta und OneLogin in Notion einrichtest. Falls du einen anderen Identitätsanbieter nutzt und Hilfe bei der Konfiguration benötigst, lass es uns bitte wissen.

So erstellst du eine neue Anwendungsintegration in Entra ID:

1. Melde dich im Entra ID-Portal an. Wähle nun im Navigationsbereich links den Dienst Azure Active Directory aus.

2. Wechsle zu Unternehmensanwendungen und wähle dann Alle Anwendungen aus.

3. Klicke auf Neue Anwendung, um eine neue Anwendung hinzuzufügen.

4. Im Abschnitt Aus Galerie hinzufügen gibst du nun Notion in das Suchfeld ein. Wähle nun „Notion“ aus den Suchergebnissen aus und füge die App hinzu. Es dauert ein paar Sekunden, bis die App hinzugefügt wird.

So richtest du die SAML-Einbindung ein:

1. Gehe im Azure-Portal auf die Seite der Notion App-Einbindung, navigiere dort zum Abschnitt Verwalten und wähleSingle Sign-On.

2. Wähle auf der Seite Methode für einmaliges Anmelden auswählen die Option SAML aus.

So konfigurierst du SAML-Einstellungen in Notion:

1. Gehe in Notion zu Einstellungen → Allgemein.

2. Entferne unter Zulässige E-Mail-Domains alle E-Mail-Domains.

3. Wähle in den Einstellungen die Registerkarte Identitätaus.

4. Bestätige eine oder mehrere Domains. Eine Anleitung dazu findest du hier →

5. Schalte SAML SSO ein. Die SAML-SSO-Konfiguration wird automatisch angezeigt und du wirst aufgefordert, die Einrichtung abzuschließen.

6. Die Konfiguration für den SAML SSO besteht aus zwei Teilen:

   • Die URL des Assertion Consumer Service (ACS) muss in dem Portal deines Identitätsproviders (IdP) eingegeben werden.

   • Die Identitätsanbieter-Details sind ein Feld, in dem du entweder eine IdP-URL oder IdP-Metadaten-XML angeben musst.

So richtest du Notion in Entra ID ein:

1. Auf der Seite zur Einrichtung des einmaligen Anmeldens mit SAML klickst du auf das Stiftsymbol. So gelangst du zur SAML-Konfiguration und kannst die entsprechenden Einstellungen ändern.

2. Gib im Abschnitt Grundlegende SAML-Konfiguration die Werte in die folgenden Felder ein, wenn du die Anwendung im IdP-initiierten Modus konfigurieren möchtest:

   • Gib im Textfeld Kennung (Entitäts-ID) die folgende URL ein: https://www.notion.so/sso/saml.

   • Gib im Textfeld Antwort-URL (Assertion Consumer Service URL) die ACS-URL von Notion ein. Du findest sie in der linken Seitenleiste in den Einstellungen unterIdentität und Bereitstellung.

   • Gib im Textfeld Anmelde-URL die folgende URL ein: https://www.notion.so/login.

3. Stelle sicher, dass im Abschnitt Benutzerattribute und Ansprüche die Einstellungen für die erforderlichen Ansprüche wie folgt festgelegt sind:

   • Eindeutige Benutzer-ID (Namens-ID): user.userprincipalname [nameid-format:emailAddress]

   • firstName: user.givenname

   • lastName: user.surname

   • email: user.mail

4. Klicke auf der SeiteSingle Sign-on mit SAML einrichten im Abschnitt SAML Anmeldezertifikat auf den Button „kopieren“ neben der App Federation Metadata URL.

5. Gehe in Notion zu den Einstellungen → Identität und füge den Wert der App-Federation-Metadata-URL, den du kopiert hast, in das IdP-Metadata-URL- Textfeld ein. Achte dabei darauf, dass dieIdentitätsanbieter-URL ausgewählt ist.

So kannst du Notion Benutzer/-innen zuweisen:

1. Wähle im Azure-Portal Unternehmensanwendungen und anschließend Alle Anwendungen aus. Wähle dann in der Anwendungsliste Notion aus.

2. Navigiere auf der Übersichtsseite der App zum Abschnitt Verwalten und wähle Benutzer/-innen und Gruppen aus.

3. Wähle Benutzer hinzufügen und wähle im Dialogfeld Zuweisung hinzufügen  die Option Benutzer und Gruppen.

4. Wähle im Dialogfeld Benutzer/-innen und Gruppen in der Liste „Benutzer/-innen“ die gewünschten Personen aus und klicke dann unten auf dem Bildschirm auf den Button Auswählen.

5. Soll den Benutzer/-innen eine Rolle zugewiesen werden, kannst du diese im Dropdown-Menü Rolle auswählen anklicken. Wenn für diese App keine Rolle eingerichtet wurde, ist die Rolle Standardzugriff ausgewählt.

6. Klicke im Dialogfeld Zuweisung hinzufügen auf Zuweisen.

So erhältst du Informationen vom Google Identitätsanbieter (IdP):

1. Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, damit du die entsprechenden Berechtigungen besitzt.

2. Gehe in der Admin-Konsole zu Menü → Apps → Web- und mobile Apps.

3. Gib „Notion“ in das Suchfeld ein und wähle die Notion-SAML-App aus.

4. Lade auf der Detailseite des Google Identity Providers die IdP-Metadaten-Datei herunter.

5. Öffne die Datei GoogleIDPMetadata.xml in einem kompatiblen Editor und kopiere dann deren Inhalt.

6. Lass die Admin-Konsole geöffnet. Du fährst mit dem Konfigurationsassistenten fort, sobald du den nächsten Schritt in der Notion-Anwendung abgeschlossen hast.

So richtest du Notion als SAML-Dienstanbieter ein:

1. Gehe in Notion zu Einstellungen → Allgemein.

2. Entferne unter Zulässige E-Mail-Domains alle E-Mail-Domains.

3. Wähle in den Einstellungen die Registerkarte Identitätaus.

4. Füge eine neue Domain hinzu und bestätige diese. Sie sollte mit der Domain deines Google Workspaces übereinstimmen.

5. Schalte in den Einstellungen für SAML Single Sign-On (SSO) die OptionSAML SSO aktivieren ein. Daraufhin erscheint Dialogfeld zurSAML-SSO-Konfiguration.

6. Im Dialogfeld gehst du folgendermaßen vor:

   1. Wähle unter Daten des Identity Providers die Option IDP-Metadaten-XML aus.

   2. Füge den Inhalt der Datei „GoogleIDPMetadata.xml“ (in Schritt 1 kopiert) in das Textfeld der IdP-Metadaten-XML ein.

   3. Kopiere und speichere die Assertion-Consumer-Service-(ACS)-URL. Sie wird wieder benötigt, wenn du in Schritt 3 unten die Konfiguration der Google-Seite in der Admin-Konsole abschließt.

   4. Klicke auf Änderungen speichern.

7. Stelle sicher, dass auch die verbleibenden Optionen (Anmeldemethode, Automatische Kontoerstellung und Verlinkte Workspaces)die gewünschten Werte für deine Konfiguration enthalten.

So schließt du die SSO-Konfiguration in der Admin-Konsole ab:

1. Kehre zum Browser-Tab der Admin-Konsole zurück.

2. Klicke auf der Seite zu den Details des Google Identity Providersauf Weiter.

3. Ersetze auf der Seite zu den Details des Service Providersdie ACS-URL durch die ACS-URL, die du oben in Schritt 2 aus Notion kopiert hast.

4. Klicke auf Weiter.

5. Klicke auf der Seite zur Attributzuordnung auf das Auswahlfeld-Menü und ordne die folgenden Google-Verzeichnisattribute den entsprechenden Notion-Attributen zu. Beachte, dass „Vorname“, „Nachname“ und „E-Mail“ erforderliche Attribute sind.

   

   Hinweis: Mit dem Attribut profilePhoto können Mitgliederfotos hinzugefügt werden. Dazu erstellst du ein individuelles Attribut, trägst darin im Mitgliederprofil die Foto-URL ein und verknüpfst es anschließend mit profilePhoto.

6. Wenn du möchtest, klicke auf Zuordnung hinzufügen, um weitere Zuordnungen hinzuzufügen.

7. Klicke auf Fertigstellen.

So aktivierst du Notion:

1. Gehe in der Admin-Konsole zu Menü→Apps→Web- und mobile Apps.

2. Wähle Notion aus.

3. Klicke auf Benutzerzugriff.

4. Wenn du einen Dienst für alle Mitglieder deiner Organisation aktivieren bzw. deaktivieren möchtest, klicke auf Für alle aktivierenoder Für alle deaktivierenund anschließend auf Speichern.

5. Wenn du einen Dienst für eine Organisationseinheit aktivieren bzw. deaktivieren möchtest, wähle die Organisationseinheit aus und ändere den Servicestatus, indem du Ein oder Ausauswählst.

   • Steht der Servicestatus auf Übernommenund soll die aktualisierte Konfiguration auch bei Änderung der übergeordneten Einstellung beibehalten werden, klicke auf Überschreiben. Steht der Servicestatus dagegen auf Überschrieben, kannst du auf Übernehmengehen,um die übergeordnete Einstellung wiederherzustellen. Du kannst aber auch auf Speichernklicken, damitdie neue Konfiguration beibehalten wird, selbst wenn sich die übergeordnete Einstellung ändert. Erfahre mehr über Organisationsstruktur.

6. Aktiviere den Dienst optional nur für eine bestimmte Gruppe von Nutzer/-innen. Verwende Zugriffsgruppen , um einen Dienst für bestimmte Nutzer/-innen innerhalb oder über deine Organisationsstrukturen hinweg zu aktivieren. Erfahre mehr darüber hier →

7. Vergewissere dich, dass die E‑Mail-IDs der Notion-Konten mit denen in deiner Google-Domain übereinstimmen.

So fügst du Notion aus dem Anwendungsverzeichnis von Okta hinzu:

1. Melde dich in Okta als Admin an und rufe die Admin-Konsole von Okta auf.

2. Wechsle zur Registerkarte Anwendung, wähle App-Katalog durchsuchenaus und suche im App-Katalog von Okta nach Notion.

3. Wähle die Notion-App aus und klicke auf Einbindung hinzufügen.

4. In den Allgemeinen Einstellungen kannst du die Einstellungen überprüfen. Klicke dann aufWeiter.

5. Wähle unter Anmeldeoptionen die Option SAML 2.0 aus.

6. Oberhalb des Abschnitts für die Erweiterten Anmelde-Einstellungen klickst du auf dieMetadaten desIdentitätsanbieters. Daraufhin wird ein neuer Browser-Tab geöffnet. Kopiere den Link der URL.

So richtest du die Notion-Einstellungen für die SAML ein:

1. Gehe in Notion zu Einstellungen → Allgemein.

2. Entferne unter Zulässige E-Mail-Domains alle E-Mail-Domains.

3. Wähle in den Einstellungen die Registerkarte Identitätaus.

4. Bestätige eine oder mehrere Domains. Eine Anleitung dazu findest du hier →

5. Schalte SAML SSO aktivieren ein. Nun wird automatisch die SAML-SSO-Konfiguration angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.

6. Gib im Feld Identity Provider Details des SAML SSO-Konfigurationsmodells die Identity Provider-URL an, indem du die Identity-Provider-Metadaten, die du in Schritt 1 kopiert hast, einfügst.

7. Nun klickst du auf Änderungen speichern.

8. Kopiere auf der Registerkarte Identität den Workspace-ID- Identifier.

9. Füge im Abschnitt Okta Admin-Konsole → Erweiterte Anmeldeeinstellungen die Workspace-ID in das Textfeld Organisations-ID ein.

10. Wähle unter den Details zu den Anmeldeinformationen aus dem Dropdown-Menü für das Format des Anwendungs-Benutzernamens die Option E-Mailaus.

11. Klicke auf Fertig.

Du kannst Benutzer/-innen und Gruppen auf der Registerkarte Okta-Zuweisungen zu Notion zuweisen.

So erstellst du eine neue Anwendungsintegration:

1. Gehe zu Anwendungen → Anwendungen und wähle den Notion-App-Connector aus, den du bereits hinzugefügt hast.

   • Wenn du die Bereitstellung noch nicht konfiguriert hast, klicke auf App hinzufügen, gib „Notion“ in das Suchfeld ein und wähle dann die Notion-Version SAML 2.0 aus. Klicke auf Speichern.

2. Öffne den Tab SSO und kopiere den Issuer URL Wert. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

So konfigurierst du SAML-Einstellungen in Notion:

1. Gehe in Notion zu Einstellungen → Allgemein.

2. Entferne unter Zulässige E-Mail-Domains alle E-Mail-Domains.

3. Wähle in den Einstellungen die Registerkarte Identitätaus.

4. Bestätige eine oder mehrere Domains. Eine Anleitung dazu findest duhier →

5. Schalte SAML SSO aktivieren ein. Nun wird automatisch die SAML-SSO-Konfiguration angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.

6. Die Konfiguration für den SAML SSO besteht aus zwei Teilen:

   • Die URL des Assertion Consumer Service (ACS) muss in dem Portal deines Identitätsproviders (IdP) eingegeben werden.

   • Die Identitätsanbieter-Details sind ein Feld, in dem du entweder eine IdP-URL oder IdP-Metadaten-XML angeben musst.

Um Notion in OneLogin einzurichten:

1. Kopiere die Assertion-Consumer-Service-(ACS)-URL aus Notion.

2. Gehe zurück zur OneLogin-Verwaltungsoberfläche.

3. Navigiere zum Tab Konfiguration des Notion-App-Connectors, den du gerade zu deinem OneLogin-Konto hinzugefügt hast.

4. Füge die Assertion-Consumer-Service-(ACS)-URL von Notion in das Textfeld Consumer-URL ein.

5. Klicke auf Speichern.

6. Gehe zurück zu den NotionKonfigurationseinstellungen SAML SSO bearbeiten.

7. Füge die Aussteller-URL, die du unter SSO von der OneLogin-URL kopiert hast, in das Textfeld Identity Provider-URL ein. Achte dabei darauf, dass dieIdentitätsanbieter-URL ausgewählt ist.

Genauere Erläuterungen gibt es hier auf der Website von →Rippling

Genauere Erläuterungen gibt es hier auf der Website von TrustLogin →

Wenn du keinen von Notion unterstützten SAML-Provider verwendest, kannst du deinen IdP auch so konfigurieren, dass SAML mit Notion verwendet wird.

Dein IdP muss die SAML 2.0-Spezifikation unterstützen, um mit Notion verwendet zu werden. So richtest du deinen IdP ein:

1. Konfiguriere die ACS-URL auf den Wert Assertion Consumer Service (ACS)-URL von Notion. Diesen findest du unter Einstellungen → Identität und Bereitstellung → SAML SSO-Konfiguration bearbeiten.

2. Konfiguriere NameID zu urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

   1. Konfiguriere außerdem Benutzername zu urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress.

3. Konfiguriere EntityID zu https://notion.so/sso/saml. Du findest diese unter Einstellungen → unten in Identität und Bereitstellung.

4. Konfiguriere die folgenden Attribute:

   • emailAdresse: Dies ist die E-Mail-Adresse eines Benutzers oder einer Benutzerin. Die meisten IDPs legen dies standardmäßig fest.

   • Optional: Vorname

   • Optional: Nachname

   • Optional: Profilbild

5. Kopiere für die folgenden Schritte die IdP-Metadaten-URL oder die IdP-Metadaten-XML.

So richtest du SAML in Notion ein:

1. Gehe in Notion auf Einstellungen → Allgemein.

2. Füge unter Zulässige E-Mail-Domainsneue E-Mail-Domains hinzu und folge den Anweisungen, um diese zu bestätigen. Es müssen E-Mail-Domains deiner Benutzer/-innen sein, die sich bei Notion anmelden.

3. Wähle in den Einstellungen die Registerkarte Identitätaus.

4. Wähle in den Einstellungen von SAML Single sign-on (SSO)die Option SAML-SSO aktivieren. Dadurch wird der SAML-SSO-Konfigurationsdialoggeöffnet.

5. Gib unter Daten des Identity Providers die IdP-Metadaten-URL oder IdP-Metadaten-XML aus deinem IdP ein.

6. Stelle sicher, dass du deine gewünschten Eingaben für Anmeldemethode, Automatische Account-Erstellung und Verknüpfte Workspaces angibst.

So wechselst du den Identitätsanbieter:

1. Gehe in deiner Seitenleiste zu Einstellungen → Identität SAML SSO-Konfiguration → SAML SSO-Konfiguration bearbeiten .

2. Gib deine neuen Informationen ein und wähle dann Änderungen speichern.

Wenn du zu einem neuen Identitätsanbieter wechselst, empfehlen wir Folgendes:

• SSO sollte während der Umstellung nicht erzwungen werden. Dadurch verringerst du das Risiko, Benutzer/-innen auszusperren.

• Die E-Mail-Adressen der Benutzer/-innen unter dem neuen Identitätsanbieter sollten mit denen in Notion übereinstimmen.

Falls es bei der Einrichtung von SAML-SSO zu Fehlern kommt, sollten die Metadaten des IDP und die Gültigkeit der SAML-Anfragen und -Antworten anhand der SAML-XSD-Schemata überprüft werden. Dazu gibt es ein Online-Tool.

Bitte beachte, dass wir das Element EntitiesDescriptor nicht unterstützen. Enthalten die IDP-Metadaten dieses Element, extrahiere dasEntityDescriptor- Element und versuche es erneut.