SAML SSO
Notionは、ビジネスプランとエンタープライズプランのお客様に、単一の認証ソースを介してアプリにアクセスするためのシングルサインオン(SSO)機能を提供しています。これにより、IT管理者はチームのアクセスを適切に管理でき、情報をより安全に保つことができます 🔐
よくあるご質問(FAQ)に移動
注:この機能は、ビジネスプランまたはエンタープライズプランのユーザーのみが利用できます。
SSOを使用すると、システム間のユーザー管理を合理化し、単一のアクセスポイントでサインインして複数のアプリケーション間をシームレスに切り替えられるため、エンドユーザーは複数のパスワードを覚えて管理する必要がなくなります。
注意:SSO経由でワークスペースにアクセスできるのはメンバーのみです。ゲストがNotionにログインするには、別の方法を使用する必要があります。
NotionでのSSOの前提条件
NotionでSSOを使用する方法:
ビジネスプランまたはエンタープライズプランのワークスペースであること。
IDプロバイダー(IdP)がSAML 2.0標準規格をサポートしていること。特定のアプリのIDプロバイダー設定の手順はこちら →
ワークスペースオーナーが、NotionワークスペースのSAML SSOを設定すること。
ワークスペースオーナーにより、少なくとも1つのドメインが検証済みであること。
単一のワークスペースに対するSAML SSOの有効化
ワークスペースにSAML SSOを設定する方法:
設定→一般に移動します。許可されたメールドメインのセクションで、すべてのメールドメインを削除します。設定の認証タブを選択します。
1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください →
SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。SAML SSOの設定モーダルは、次の2つのパートに分かれています。
アサーションコンシューマーサービス(ACS)URLは、IDプロバイダー(IdP)のポータルで入力します。IDプロバイダーの詳細は、IdP URLまたはIdPメタデータXMLのいずれかが必要となるフィールドです。
備考: 追加のワークスペースをSAML SSO設定にリンクできるのは、エンタープライズプランをご利用のユーザーのみです。詳細については営業にお問い合わせください
ドメインを検証し、SAML SSOを有効にしたワークスペースのリンクされたワークスペースセクションに、SAML SSO設定に関連付けられているすべてのワークスペースが一覧表示されます。
検証済みメールアドレスを持ち、メインのワークスペースまたはリンクされたワークスペースの1つにアクセスできるユーザーは、SAML SSOでログインできます。
セールスチームがご支援するエンタープライズプランのお客様で、SAML SSO設定へのエンタープライズワークスペースの追加や削除をご希望される場合は、[email protected]までご連絡ください。
SAML SSOの強制
単一のワークスペースに対してSAML SSOの設定を完了すると、ユーザー名/パスワードやGoogle認証などの他のログイン方法に加えて、SAML SSOでログインできるようになります。
ユーザーがログイン時にSAML SSO以外の方法を使用できないように設定するには、
ログイン方法をSAML SSOのみに更新します。この更新を行うとワークスペースのユーザーはログアウトされ、SAML SSOを使用して再ログインすることが求められます。
SAML SSOの強制は、検証済みドメインのメールアドレスを持ち、メインのワークスペースまたはリンクされたワークスペースにアクセスできるユーザーに対してのみ有効となります。
Notionワークスペースのページに招待されているゲストは、SAML SSOを使用してのログインはできません。ログインするときには常に、メールアドレスとパスワードか、GoogleアカウントまたはAppleアカウントを使用します。
ワークスペースオーナーには常に、メールとパスワードの認証情報を使用することで、SAML SSOを回避できるオプションが用意されています。これは、IdP/SAMLに障害が発生した場合でも、Notionにアクセスできるようにするためです。ログインして、設定の無効化や更新を行えます。
Notionは、SAML SSOの使用時にジャストインタイム(JIT)プロビジョニングをサポートしています。これにより、SAML SSOでサインインしたユーザーは、メンバーとしてワークスペースに自動的に参加できます。
ジャストインタイムプロビジョンを有効にするには、設定→認証の順に移動し、アカウントの自動作成が有効になっていることを確認します。
備考: SCIMを使用している場合は、ジャストインタイム(JIT)プロビジョニングを有効にすることは推奨されません。「許可されているメールドメイン」を設定すると、そのドメインのユーザーがワークスペースに参加できるようになるため、IDプロバイダーとNotionのメンバーシップが一致しなくなる可能性があります。
詳しくはこちら
よくあるご質問(FAQ)
「SAML SSOを有効にする」がグレー表示になっているのはなぜですか?
「SAML SSOを有効にする」がグレー表示になっているのはなぜですか?
最もよくある理由として、ドメインの所有権がまだ検証されていないことが考えられます。検証されていない場合、検証済みメールドメインのセクションにドメインが表示されていないか、ドメインの検証が保留中となっているはずです。
次のステップとして、ドメイン検証を完了するための手順をご覧ください →
SAML SSO設定を変更できないのはなぜですか?
SAML SSO設定を変更できないのはなぜですか?
すでに別のSSO設定に関連付けられているリンクされたワークスペースから、検証済みのドメインまたはSSO設定を変更しようとしている可能性があります。
リンクされているワークスペースでは、ドメイン管理とSSO設定は読み取り専用です。SSO設定を変更したり、SSO設定からこのワークスペースを削除するには、メインのワークスペースにアクセスする必要があります。メインのワークスペースの名前は、設定の認証とプロビジョンタブの上部にあります。
SSOを有効にするために、なぜドメインを検証する必要があるのですか?
SSOを有効にするために、なぜドメインを検証する必要があるのですか?
メールドメインの所有権の検証をお願いしているのは、ドメインの所有者のみがユーザーのNotionへのログイン方法をカスタマイズできるようにするためです。
SSOの設定がうまくいきません。
SSOの設定がうまくいきません。
XMLの代わりにURLを使用してみてください。
ユーザーに対して強制する前に、テストアカウントを使用して設定プロセスをテストします。
上記のどちらでも解決しない場合は、
サポート([email protected])にお問い合わせください。
ワークスペースのSAML SSOを設定する前に、「許可されているメールドメイン」からメールドメインを削除する必要があるのはなぜですか?
ワークスペースのSAML SSOを設定する前に、「許可されているメールドメイン」からメールドメインを削除する必要があるのはなぜですか?
許可されているメールドメインの設定により、選択したドメインを持つユーザーは、IdP経由でプロビジョニングされることなくワークスペースへのアクセスできてしまいます。ですから、IdP経由でプロビジョニングされたユーザーのみがSAML有効なワークスペースにアクセスできるようにするために、許可されているメールドメインリストからすべてのメールアドレスを削除して、この機能を無効にします。
利用しているIDプロバイダー(IdP)がサービス停止している場合でもNotionにログインできますか?
利用しているIDプロバイダー(IdP)がサービス停止している場合でもNotionにログインできますか?
はい。SAMLが強制されている場合も、ワークスペースオーナーには、メールでログインできます。ワークスペースオーナーは、ユーザーがメールで再びログインできるように、SAML強制設定を無効にできます。
SAML設定内の他のワークスペースの管理者に新しいワークスペースの作成を許可するにはどうすればよいですか?
SAML設定内の他のワークスペースの管理者に新しいワークスペースの作成を許可するにはどうすればよいですか?
メインのワークスペースの管理者のみが、検証済みのドメインを使用して新しいワークスペースを作成できます。メインのSAMLワークスペースを、SAML設定内の別のリンクされたワークスペースに切り替える際は、サポートチーム([email protected])までご依頼ください。
