SAML SSO
Notionは、ビジネスプランとエンタープライズプランのお客様に、単一の認証ソースを介してアプリにアクセスするためのシングルサインオン(SSO)機能を提供しています。これにより、IT管理者はチームのアクセスを適切に管理でき、情報をより安全に保つことができます 🔐
よくあるご質問(FAQ)に移動
注:この機能は、ビジネスプランまたはエンタープライズプランのユーザーのみが利用できます。
SSOを使用すると、システム間のユーザー管理を合理化し、単一のアクセスポイントでサインインして複数のアプリケーション間をシームレスに切り替えられるため、エンドユーザーは複数のパスワードを覚えて管理する必要がなくなります。
NotionでSSOを使用する方法:
ビジネスプランまたはエンタープライズプランのワークスペースであること。
IDプロバイダー(IdP)がSAML 2.0標準規格をサポートしていること。特定のアプリのIDプロバイダー設定の手順はこちら →
ワークスペースオーナーが、NotionワークスペースのSAML SSOを設定すること。
ワークスペースオーナーにより、少なくとも1つのドメインが検証済みであること。ドメイン検証について詳しくはこちら →
備考:ワークスペースのメンバーのみが、SAML SSOを使用してログインできます。SAMLを有効にしているNotionワークスペースのページに招待されているゲストは、SAML SSOでログインすることはできません。代わりに、ユーザー名/パスワードまたはGoogleやAppleでのログインなど、別のログイン方法を使う必要があります。
ビジネスプラン
ビジネスワークスペースにSAML SSOを設定するために、ワークスペースオーナーが行う操作は次のとおりです。
設定→一般に移動します。許可されたメールドメインのセクションで、すべてのメールドメインを削除します。設定の認証タブを選択します。
1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください →
SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。SAML SSOの設定モーダルは、次の2つのパートに分かれています。
アサーションコンシューマーサービス(ACS)URLは、IDプロバイダー(IdP)のポータルで入力します。IDプロバイダーの詳細は、IdP URLまたはIdPメタデータXMLのいずれかが必要となるフィールドです。
エンタープライズプラン
エンタープライズプランの組織オーナーは、次の手順に沿って、ワークスペース(または組織に属する複数のワークスペース)のSAML SSOを管理できます。
ワークスペース切り替えメニューを開き、「組織を管理する」を選択します。まだの場合は、まず組織の設定が必要になる場合があります。詳しくはこちら →
組織設定の「
一般」タブで、「SAML SSOを有効にする」をオンに切り替えます。セットアップ方法(URLまたはメタデータXML)を選択し、IdP(アイデンティティプロバイダー)から必要な情報を貼り付けて、「
保存して有効化」を選択します。
備考:現時点では、エンタープライズプランの組織は1つのIdPでのみSAML SSOを設定できます。
ワークスペースに対してSAML SSOの設定を完了すると、メンバーはユーザー名/パスワードやGoogle認証などの他のログイン方法に加えて、SAML SSOでログインできるようになります。
メンバーがログイン時にSAML SSO以外の方法を使用できないように設定するには、SAML SSO設定に移動し、ログイン方法をSAML SSOのみに更新します。この更新を行うとワークスペースのユーザーはログアウトされ、SAML SSOを使用して再ログインすることが求められます。SAML SSOの強制は、検証済みドメインを使用するメンバーに対してのみ有効となります。
ビジネスプランでは、このようになります。
エンタープライズプランでは、このようになります。
組織のオーナーには常に、メールアドレスとパスワードの認証情報を使用することで、SAML SSOを回避できるオプションが用意されています。これは、IdP/SAMLに障害が発生した場合でも、Notionにアクセスできるようにするためです。ログインし、設定の無効化や更新を行えます。
Notionは、SAML SSOの使用時にジャストインタイム(JIT)プロビジョニングをサポートしています。これにより、SAML SSOでサインインしたユーザーは、メンバーとしてワークスペースに自動的に参加できます。
ビジネスプランを利用中でジャストインタイムプロビジョンを有効にするには、設定→認証の順に移動し、アカウントの自動作成が有効になっていることを確認します。
エンタープライズプランを利用中でジャストインタイムプロビジョンを有効にするには、組織のコンソール → 一般の順に移動し、アカウントの自動作成が有効になっていることを確認します。
備考: SCIMを使用している場合は、ジャストインタイム(JIT)プロビジョニングを有効にすることは推奨されません。「許可されているメールドメイン」を設定すると、そのドメインのユーザーがワークスペースに参加できるようになるため、IDプロバイダーとNotionのメンバーシップが一致しなくなる可能性があります。
詳しくはこちら
よくあるご質問(FAQ)
「SAML SSOを有効にする」がグレー表示になっているのはなぜですか?
「SAML SSOを有効にする」がグレー表示になっているのはなぜですか?
最もよくある理由として、ドメインの所有権がまだ検証されていないことが考えられます。検証されていない場合、検証済みメールドメインのセクションにドメインが表示されていないか、ドメインの検証が保留中となっているはずです。
次のステップとして、ドメイン検証を完了するための手順をご覧ください →
SAML SSO設定を変更できないのはなぜですか?
SAML SSO設定を変更できないのはなぜですか?
すでに別のSSO設定に関連付けられているリンクされたワークスペースから、検証済みのドメインまたはSSO設定を変更しようとしている可能性があります。
リンクされたワークスペースでは、すべてのドメイン管理とSSO設定は読み取り専用です。SSO設定を変更したり、SSO設定からこのワークスペースを削除するには、メインのワークスペースにアクセスする必要があります。メインのワークスペースの名前は、設定の認証とプロビジョンタブの上部にあります。
SSOを有効にするために、なぜドメインを検証する必要があるのですか?
SSOを有効にするために、なぜドメインを検証する必要があるのですか?
メールドメインの所有権の検証をお願いしているのは、ドメインの所有者のみがユーザーのNotionへのログイン方法をカスタマイズできるようにするためです。
SSOの設定がうまくいきません。
SSOの設定がうまくいきません。
XMLの代わりにURLを使用してみてください。
ユーザーに対して強制する前に、テストアカウントを使用して設定プロセスをテストします。
上記のどちらでも解決しない場合は、
サポート([email protected])にお問い合わせください。
ワークスペースのSAML SSOを設定する前に、「許可されているメールドメイン」からメールドメインを削除する必要があるのはなぜですか?
ワークスペースのSAML SSOを設定する前に、「許可されているメールドメイン」からメールドメインを削除する必要があるのはなぜですか?
許可されているメールドメインの設定により、選択したドメインを持つユーザーは、IdP経由でプロビジョニングされることなくワークスペースへのアクセスできてしまいます。ですから、IdP経由でプロビジョニングされたユーザーのみがSAML有効なワークスペースにアクセスできるようにするために、許可されているメールドメインリストからすべてのメールアドレスを削除して、この機能を無効にします。
利用しているIDプロバイダー(IdP)がサービス停止している場合でもNotionにログインできますか?
利用しているIDプロバイダー(IdP)がサービス停止している場合でもNotionにログインできますか?
はい。SAMLが強制されている場合も、ワークスペースオーナーには、メールでログインできます。ワークスペースオーナーは、ユーザーがメールで再びログインできるように、SAML強制設定を無効にできます。
SAML設定内の他のワークスペースの管理者に新しいワークスペースの作成を許可するにはどうすればよいですか?
SAML設定内の他のワークスペースの管理者に新しいワークスペースの作成を許可するにはどうすればよいですか?
メインのワークスペースの管理者のみが、検証済みのドメインを使用して新しいワークスペースを作成できます。メインのSAMLワークスペースを、SAML設定内の別のリンクされたワークスペースに切り替える際は、サポートチーム([email protected])までご依頼ください。
