SSO de SAML
Notion ofrece la función de inicio de sesión único (SSO) para clientes de empresa que accedan a la aplicación a través de un solo origen de autenticación. Los administradores TI gestionarán mejor el acceso de equipos y la seguridad de la información 🔐
Ir a la sección de preguntas frecuentes
Nota: Esta función solo está disponible para los usuarios del plan Business o del plan Enterprise.
Con el inicio de sesión único (SSO), puedes agilizar la gestión de usuarios en todos los sistemas. Al permitir a los usuarios finales iniciar sesión en un único punto de acceso, ya no tendrán que recordar ni gestionar múltiples contraseñas y disfrutarán de una experiencia fluida en varias aplicaciones.
Nota: Solo los miembros pueden acceder a un espacio de trabajo mediante el inicio de sesión único (SSO). Los invitados tendrán que utilizar otro método para iniciar sesión en Notion.
Requisitos para usar el SSO con Notion
Para usar el SSO con Notion:
Tu espacio de trabajo debe pertenecer a un plan Business o Enterprise.
Tu proveedor de identidades (IdP) debe ser compatible con el estándar SAML 2.0. Consulta las instrucciones para la configuración del proveedor de identidad para aplicaciones específicas aquí →
El propietario de un espacio de trabajo de Notion debe configurar el inicio de sesión único de SAML.
El propietario del espacio de trabajo debe haber verificado al menos un dominio.
Activación del SSO de SAML para un espacio de trabajo individual
Para configurar el inicio de sesión único (SSO) de SAML para el espacio de trabajo, el propietario del espacio de trabajo puede:
Ve a
Configuración→General.Una vez en la sección
Dominios de correo electrónico autorizados, elimina todos los dominios.Selecciona la pestaña
Identidaden laConfiguración.
Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →
Habilita
Activar inicio de sesión único (SSO) de SAMLy aparecerá la ventana modal Configuración de inicio de sesión único (SSO) de SAML para que puedas completar la configuración.La ventana de configuración del SSO de SAML está dividida en dos partes:
La
URL del ACS (Assertion Consumer Service)debe introducirse en el portal de tu proveedor de identidades (IDP).En el campo
Detalles del proveedor de identidades, debes proporcionar una URL de IDP o un XML de metadatos de IDP.
Nota: Solo los clientes del plan Enterprise pueden vincular espacios de trabajo adicionales a una configuración de Inicio de sesión único de SAML. Para obtener más información, ponte en contacto con el departamento de ventas →
Dentro del espacio de trabajo donde hayas verificado tu dominio de correo electrónico y activado el inicio de sesión único (SSO) de SAML, hay una sección de Espacios de trabajo enlazadosen la que figuran todos los espacios de trabajo asociados a tu configuración del SSO de SAML.
Los usuarios que dispongan de una dirección de correo electrónico verificada y tengan acceso al espacio de trabajo principal o a uno de los espacios de trabajo enlazados podrán iniciar sesión mediante el inicio de sesión único (SSO) de SAML.
Los clientes de Enterprise asistidos por el equipo comercial pueden añadir espacios de trabajo de Enterprise a su configuración SSO de SAML o eliminarlos poniéndose en contacto con [email protected].
Aplicación forzosa del SSO de SAML
Una vez hayas completado la configuración del inicio de sesión único (SSO) de SAML para un espacio de trabajo individual, los usuarios podrán iniciar sesión a través de este, además de mediante otros métodos de inicio de sesión como nombre de usuario + contraseña o la autenticación mediante Google.
Para asegurarte de que los usuarios solo puedan iniciar sesión mediante el SSO de SAML y ningún otro método, actualiza el
Método de inicio de sesiónaSolo inicio de sesión único (SSO) de SAML. Cuando esto ocurra, se cerrará la sesión de los usuarios del espacio de trabajo y se les pedirá que vuelvan a iniciar sesión mediante el SSO de SAML.
Solo se aplicará forzosamente el SSO de SAML a los usuarios que utilicen tu dominio verificado y tengan acceso al espacio de trabajo principal o a un espacio de trabajo enlazado.
Los usuarios invitados a páginas de un espacio de trabajo de Notion no podrán usar el SSO de SAML para iniciar sesión. En su lugar, utilizarán siempre su correo electrónico y contraseña o iniciarán sesión con Google o Apple.
Los administradores del espacio de trabajo pueden optar por no utilizar el SSO de SAML y emplear en su lugar las credenciales con correo electrónico y contraseña. Esta posibilidad se ofrece para que tengan la posibilidad de acceder a Notion en caso de que se produzca un fallo relacionado con el proveedor de identidades (IDP) o con SAML. Aun en ese caso, podrán iniciar sesión y desactivar o actualizar la configuración.
Notion admite el aprovisionamiento Just-in-Time cuando se utiliza el inicio de sesión único de SAML. Esto permite que alguien que se conecte a través del inicio de sesión único de SAML se una automáticamente al espacio de trabajo como miembro.
Para activar el aprovisionamiento Just-in-Time, ve a Configuración→Identidad y asegúrate de que la Creación automática de cuentas está habilitada.
Nota: No recomendamos habilitar el aprovisionamiento Just-in-Time si utilizas SCIM.Cuando se dispone de un «dominio de correo electrónico permitido», los usuarios de ese dominio pueden unirse al espacio de trabajo, de manera que podría producirse un desajuste entre la suscripción a sus proveedores de identidad y a Notion.
Preguntas frecuentes
¿Por qué está de color gris la opción para activar el inicio de sesión único (SSO) de SAML?
¿Por qué está de color gris la opción para activar el inicio de sesión único (SSO) de SAML?
La razón más habitual es que todavía no hayas verificado la propiedad de un dominio. Si es el caso, observarás que tampoco figura ningún dominio en la sección de dominios de correo electrónico verificados o que, de figurar alguno, está pendiente de verificación.
Para saber cuáles son los pasos siguientes, consulta nuestras instrucciones para completar la verificación de dominios aquí →
¿Por qué no puedo editar mi configuración de inicio de sesión único (SSO) de SAML?
¿Por qué no puedo editar mi configuración de inicio de sesión único (SSO) de SAML?
Es posible que estés intentando modificar los dominios verificados o la configuración de inicio de sesión único (SSO) desde un espacio de trabajo enlazado ya asociado con otra configuración de inicio de sesión único (SSO).
En los espacios de trabajo enlazados, la gestión de los dominios y la configuración del SSO es de solo lectura. Para modificar la configuración del SSO o para eliminar este espacio de trabajo de la configuración del SSO debes tener acceso al espacio de trabajo principal. El nombre del espacio de trabajo principal figura en la parte superior de la pestaña Identidad y aprovisionamiento dentro de tu configuración.
¿Por qué tengo que verificar un dominio para poder activar el inicio de sesión único (SSO)?
¿Por qué tengo que verificar un dominio para poder activar el inicio de sesión único (SSO)?
Exigimos que se valide previamente la propiedad de un dominio de correo electrónico para garantizar que solo el propietario o propietaria de dicho dominio pueda personalizar cómo los usuarios inician sesión en Notion.
No consigo configurar el inicio de sesión único (SSO).
No consigo configurar el inicio de sesión único (SSO).
Intenta usar una URL en lugar de un XML.
Comprueba el proceso de configuración con una cuenta de prueba antes de aplicarlo para todos los usuarios.
Si lo anterior no te sirve de ayuda, ponte en contacto con el equipo de atención al cliente en la siguiente dirección:
¿Por qué tengo que eliminar los dominios de correo de la sección «Dominios de correo electrónico autorizados» antes de configurar el inicio de sesión único (SSO) de SAML en el espacio de trabajo?
¿Por qué tengo que eliminar los dominios de correo de la sección «Dominios de correo electrónico autorizados» antes de configurar el inicio de sesión único (SSO) de SAML en el espacio de trabajo?
La opción Dominios de correo electrónico autorizados de la configuración permite a los usuarios de los dominios que figuran en la lista acceder a tu espacio de trabajo sin pasar por el aprovisionamiento de tu IDP. Para garantizar que solo los usuarios aprovisionados mediante tu IDP puedan acceder al espacio de trabajo con SAML, tienes que desactivar esta función. Para ello, elimina todas las direcciones de trabajo que figuren en la lista de Dominios de correo electrónico permitidos.
¿Puedo seguir iniciando sesión en Notion si mi proveedor de identidades (IDP) está fuera de servicio?
¿Puedo seguir iniciando sesión en Notion si mi proveedor de identidades (IDP) está fuera de servicio?
Sí. Aunque se aplique SAML, los propietarios del espacio de trabajo tienen la opción de iniciar sesión con su correo electrónico. El propietario del espacio de trabajo puede cambiar la configuración de SAML para desactivar la opción Aplicar SAML, de manera que los usuarios puedan volver a iniciar sesión con el correo electrónico.
¿Cómo permito que los administradores de otros espacios de trabajo en mi configuración de SAML creen nuevos espacios de trabajo?
¿Cómo permito que los administradores de otros espacios de trabajo en mi configuración de SAML creen nuevos espacios de trabajo?
Únicamente los administradores de tu espacio de trabajo principal pueden crear nuevos espacios de trabajo con tus dominios verificados. Ponte en contacto con nuestro equipo de atención al cliente ([email protected]) para cambiar tu espacio de trabajo SAML principal a otro espacio de trabajo enlazado en tu configuración SAML.
