SAML SSO
Notion offre une fonctionnalité d’authentification unique (SSO) aux clients Business et Enterprise pour accéder à l'appli. Cela permet aux administrateurs de gérer plus efficacement l’accès des utilisateurs et d'améliorer la sécurité 🔐
Aller directement aux questions fréquentes
Remarque : cette fonctionnalité est disponible uniquement pour les utilisateurs du forfait Business ou Entreprise.
Avec l’authentification unique (SSO), vous pouvez rationnaliser la gestion des utilisateurs sur l’ensemble des systèmes, tout en éliminant la nécessité pour eux de se souvenir et de gérer plusieurs mots de passe, en leur permettant de se connecter à un seul endroit pour accéder facilement à diverses applications.
Remarque : seuls les membres peuvent accéder à un espace de travail via le SSO. Les invités devront utiliser une autre méthode pour se connecter à Notion.
Conditions préalables à la configuration du SSO avec Notion
Pour utiliser l’authentification unique (SSO) avec Notion :
Votre espace de travail doit avoir un forfait Business ou Entreprise.
Votre fournisseur d’identité (IDP) doit prendre en charge la norme SAML 2.0. Voir les instructions pour la configuration du fournisseur d’identité pour des applications spécifiques ici →
Un propriétaire d’espace de travail doit configurer le SSO SAML pour l’espace de travail Notion.
Au moins un domaine doit être vérifié par un propriétaire d’espace de travail.
Activer le SSO SAML pour un espace de travail individuel
Pour configurer le SSO SAML dans votre espace de travail, un propriétaire de l’espace peut :
Allez dans
Paramètres, puis sélectionnez l’ongletParamètres.Dans la section
Domaines de messagerie autorisés, supprimez tous les domaines de messagerie.Dans la barre de gauche, cliquez sur l’onglet
Identité et provisionnement.
Vérifiez un ou plusieurs domaines. Voir les instructions pour la vérification de domaine →
Activez l’option
Activer l’authentification unique SAML, ce qui affichera automatiquement la fenêtre contextuelle Configuration SSO SAML, qui vous invitera à terminer la configuration.La fenêtre contextuelle de configuration du SSO SAML est divisée en deux parties :
L’
URL de l’ACS (Assertion Consumer Service)doit être renseignée dans le portail de votre fournisseur d’identité (IdP).Dans le champ des
informations sur le fournisseur d’identité, vous devez fournir l’URL ou les métadonnées XML du fournisseur d’identité.
Remarque : seuls les clients ayant souscrit un forfait Enterprise peuvent lier des espaces de travail supplémentaires à une configuration SSO SAML. Pour en savoir plus, contactez l’équipe commerciale →
Depuis les paramètres de l’espace de travail dans lequel vous avez vérifié votre domaine et activé le SSO SAML, une section Espaces de travail liés liste tous les espaces de travail associés à votre configuration SSO SAML.
Les utilisateurs avec une adresse e‑mail vérifiée qui ont accès à l’espace de travail principal ou à l’un des espaces de travail liés pourront se connecter en SSO.
Les clients ayant souscrit au forfait Entreprise peuvent contacter [email protected] pour demander l’ajout (ou la suppression) d’espaces de travail Enterprise à leur configuration SAML SSO.
Imposer l’authentification unique SAML pour les domaines configurés
Une fois que vous aurez configuré le SSO SAML pour un espace de travail, les utilisateurs pourront se connecter en SSO en plus des autres méthodes de connexion (e‑mail et mot de passe, authentification Google ou Apple).
Pour empêcher les utilisateurs de se connecter par un moyen autre que SSO SAML, changez la valeur de l’option
Méthode de connexionenUniquement l’authentification unique SAML. Dans ce cas, les utilisateurs de l’espace de travail seront déconnectés et devront se reconnecter en SSO SAML.
La connexion en SSO ne peut être imposée que pour les utilisateurs d’un de vos domaines vérifiés qui ont accès à l’espace de travail principal ou à un espace lié.
Les membres invités des pages d’un espace de travail Notion ne peuvent pas se connecter en SSO SAML. Ils peuvent se connecter en utilisant leur adresse e-mail et leur mot de passe ou via Google ou Apple.
Les propriétaires d’espace de travail auront toujours la possibilité de contourner le SSO SAML en se servant de leurs identifiants (adresse e‑mail et mot de passe). Cela leur permet d’accéder à Notion en cas de problème avec le fournisseur d’identité ou la configuration SAML. Ils pourront ainsi se connecter, et désactiver ou mettre à jour leur configuration.
Notion prend en charge le provisionnement juste-à-temps (aussi appelé Just-in-Time ou JIT) lorsque vous utilisez SSO SAML. Cela permet à toute personne se connectant via SSO SAML de rejoindre automatiquement l’espace de travail en tant que membre.
Pour activer le provisionnement juste-à-temps, accédez aux Paramètres → Identité et provisionnement et assurez-vous que la création automatique de compte est activée.
Remarque : nous vous déconseillons d’activer le provisionnement juste-à-temps si vous utilisez le protocole SCIM pour l’identification des utilisateurs. La mise en place d’un « domaine de messagerie autorisé » permet aux utilisateurs de ce domaine de rejoindre l’espace de travail. Une inadéquation peut donc apparaître entre les règles du fournisseur d’identité et les autorisations dans Notion.
Questions fréquentes
Pourquoi l’option « Activer l’authentification unique SAML » est-elle grisée ?
Pourquoi l’option « Activer l’authentification unique SAML » est-elle grisée ?
La raison la plus courante est que vous n’avez encore vérifié la propriété d’aucun domaine (soit aucun de vos domaines n’est répertorié dans la section de vérification des domaines de messagerie, soit le domaine concerné est en attente de vérification).
Pourquoi ne puis-je pas modifier mes paramètres SSO SAML ?
Pourquoi ne puis-je pas modifier mes paramètres SSO SAML ?
Il est possible que vous tentiez de modifier les domaines vérifiés ou la configuration SSO depuis un espace de travail lié déjà associé à une autre configuration SSO.
Dans les espaces de travail liés, tous les paramètres de gestion de domaine et de configuration SSO sont en lecture seule. Pour changer la configuration SSO ou supprimer le lien entre l’espace de travail et la configuration SSO, vous devez avoir accès à l’espace de travail principal. Le nom de l’espace principal est affiché en haut de l’onglet Identité et provisionnement dans vos paramètres.
Pourquoi ai-je besoin de vérifier un domaine pour activer le SSO SAML ?
Pourquoi ai-je besoin de vérifier un domaine pour activer le SSO SAML ?
Nous demandons que la propriété du domaine de messagerie soit validée pour garantir que seul le propriétaire du domaine puisse personnaliser la façon dont ses utilisateurs se connectent à Notion.
Je rencontre des difficultés pour configurer l’authentification unique (SSO).
Je rencontre des difficultés pour configurer l’authentification unique (SSO).
Tentez d’utiliser une URL plutôt qu’un XML.
Testez le processus de configuration avec un compte de test avant de l’appliquer pour les utilisateurs.
Si aucune de ces options ne résout le problème, contactez notre service client à cette adresse :
Pourquoi dois-je supprimer les domaines dans le champ « Domaines de messagerie autorisés » avant de configurer le SSO SAML pour mon espace de travail ?
Pourquoi dois-je supprimer les domaines dans le champ « Domaines de messagerie autorisés » avant de configurer le SSO SAML pour mon espace de travail ?
Si un utilisateur avec une adresse e-mail dont le domaine est listé dans les « Domaines de messagerie autorisés » tente de se connecter à votre espace de travail, il pourra y accéder même s’il est inconnu de votre fournisseur d’identité. Pour garantir que seuls les utilisateurs provisionnés via votre fournisseur d’identité peuvent accéder à votre espace de travail à l’aide de SAML, il est nécessaire de désactiver cette fonction en supprimant tous les domaines de la liste «Domaines de messagerie autorisés».
Puis-je me connecter à Notion même si mon fournisseur d’identité (IdP) est indisponible ?
Puis-je me connecter à Notion même si mon fournisseur d’identité (IdP) est indisponible ?
Oui, les propriétaires d’espace de travail peuvent se connecter avec leur adresse e-mail, même si le SAML est imposé. Un propriétaire d’espace de travail peut modifier la configuration SAML pour désactiver l’option Appliquer SAML afin que les utilisateurs puissent à nouveau se connecter avec leur adresse e-mail.
Comment puis-je autoriser les administrateurs des autres espaces de travail de ma configuration SAML à créer de nouveaux espaces de travail ?
Comment puis-je autoriser les administrateurs des autres espaces de travail de ma configuration SAML à créer de nouveaux espaces de travail ?
Uniquement les administrateurs de votre espace de travail principal peuvent créer des espaces de travail avec vos domaines vérifiés. Si vous souhaitez choisir un nouvel espace de travail principal dans votre configuration SAML, contactez notre service client ([email protected]). L’ancien espace de travail principal deviendra un espace de travail lié.
