Usuários e grupos de provisões com SCIM

Usuários e grupos de provisões com SCIM - imagem principal
Neste artigo

Você pode provisionar e gerenciar usuários e grupos no seu espaço de trabalho Notion com o padrão da API SCIM (System for Cross-domain Identity Management) 🔑

Observação: Este recurso está disponível apenas para usuários do Plano Business ou Enterprise.

O que você pode fazer com a API SCIM do Notion

A API SCIM do Notion permite que você faça o seguinte:

Provisionamento e gerenciamento de usuário

  • Crie e remova membros no seu espaço de trabalho.

  • Atualize as informações do perfil de um membro.

  • Recupere os membros do espaço de trabalho.

  • Encontre membros por e-mail ou nome.

Provisionamento e gerenciamento de grupos

  • Crie e remova grupos no seu espaço de trabalho.

  • Adicione e remova membros de um grupo.

  • Recupere os grupos no seu espaço de trabalho.

  • Encontre grupos pelo nome.

Observação: no momento, não é possível gerenciar convidados do espaço de trabalho usando a API SCIM do Notion.

Como configurar o provisionamento com SCIM

Atualmente somos compatíveis com OneLogin, Okta, Rippling e aplicações SCIM personalizadas. Se você usar outro provedor de identidade, nos avise. Veja como configurar o Provedor de Identidade para aplicativos específicos aqui →

Pré-requisitos para usar SCIM no Notion

Para usar SCIM no Notion:

  • O espaço de trabalho precisa estar cadastrado em um Plano Enterprise.

  • O provedor de identidade (IdP) deve ser compatível com o protocolo SAML 2.0. Veja como configurar o Provedor de Identidade para aplicativos específicos aqui →

  • O proprietário do espaço de trabalho deve configurar a autenticação SAML no espaço de trabalho do Notion.

  • É preciso ter verificado a propriedade de um domínio de e-mail se quiser usar o SCIM para modificar o nome ou endereço de e-mail de usuário. Saiba mais sobre a verificação de domínio →

Como gerar token de API de SCIM

Apenas os proprietários da organização em Planos Enterprise podem gerar e visualizar tokens de API SCIM. Para criar um token de API SCIM:

  1. Abra o seletor de espaço de trabalho e selecione Gerenciar a organização. Pode ser necessário Configurar organização primeiro, caso ainda não tenha feito isso. Saiba mais aqui →

  2. Na guia Geral dos controles no nível da sua organização, selecione > ao lado de Provisionamento SCIM.

Observação: para cada espaço de trabalho que você deseja gerenciar via SCIM, é necessário gerar um token de API SCIM separado.

Como revogar tokens

Quando um proprietário deixa um espaço de trabalho ou tem sua função alterada, o token dele é revogado. Quando isso acontece, os outros proprietários do espaço de trabalho recebem uma mensagem automática para substituir o token revogado.

Além disso, tokens ativos podem ser revogados por qualquer um dos proprietários do espaço de trabalho. Para revogar um token, clique no 🗑 ao lado do token pertinente.

Como substituir tokens existentes

Se um token for revogado, será preciso substituí-lo em todas as integrações existentes.

Todas as integrações de SCIM e provisionamentos de usuários que dependam do token revogado ficarão desativadas até que haja a substituição por um token ativo.

Nota: para evitar prejuízos a integrações existentes, substitua todos os tokens associados aos administradores antes de desprovisioná-los.

Suprimir e-mails de convite

Para controlar se os usuários receberão convites para espaços de trabalho e grupos por e-mail quando provisionados pelo SCIM, os proprietários de organizações no Plano Enterprise podem:

  1. Abra o seletor de espaço de trabalho e selecione Gerenciar a organização.

  2. Na guia Geral, habilite Suprimir convites por e-mail do provisionamento de SCIM se não quiser enviar e-mails aos usuários.

Provisionar membros restritos por meio do SCIM

Para provisionar um membro restrito por meio do SCIM, você deve definir o atributo "role" do SCIM como "restricted_member":

"urn:ietf:params:scim:schemas:extension:notion:2.0:User": { role: string // "owner" | "membership_admin" | "member" | "restricted_member" }

Para fazer a transição de um convidado da página para um membro restrito por meio do SCIM, você deve usar POST /scim/v2/Users.

Configuração do Provedor de Serviços

Usuários

A tabela abaixo define o mapeamento entre os campos "Atributos de usuário SCIM" e "Perfil de usuário do Notion". Os proprietários da organização escolhem quais atributos enviar para o Notion e podem atualizá-los a qualquer momento. O Notion processa os atributos que você envia por meio da API SCIM do Notion para melhorar a experiência de provisionamento e gerenciamento de usuários e grupos.

Atributo SCIM

Campo de perfil de usuário do Notion

userName

E-mail (campo obrigatório)

name.formatted

Nome (O campo recomendado para nome. Como o Notion tem um único campo de nome, você pode criar uma expressão no Okta para combinar quaisquer campos de nome.)

name.familyName

Nome (Pode ser usado em combinação com name.givenName como uma alternativa para name.formatted.)

name.givenName

Nome (Pode ser usado em combinação com name.familyName como uma alternativa para name.formatted.)

fotos

Foto do perfil

título

Título

enterprise.manager.value

Gerente (deve ser um endereço de e-mail)

enterprise.manager.displayName

Gerente

phoneNumbers

Número de telefone

endereços

Endereço

enterprise.division

Divisão

enterprise.department

Departamento

enterprise.costCenter

Centro de custo

enterprise.organization

Organização

enterprise.employeeNumber

Número do funcionário

funções

Funções

fuso horário

Fuso horário

local

Local

preferredLanguage

Idioma preferencial

userType

UserType

emails

E-mail

ativo

Ativo

  • GET /Users

    • GET

    • Recupere uma lista paginada de membros do espaço de trabalho.

    • Você pode paginar usando os parâmetros startIndex e count. Observe que startIndex está indexado a 1, e o máximo de count é 100.

    • Você pode filtrar os resultados com o parâmetro filtro.  Os atributos válidos para filtragem são emailgiven_name, e family_name, por exemplo, GET

    • Observe que given_name e family_name diferenciam maiúsculas e minúsculas. O e-mail é convertido para minúsculas.

  • GET /Users/

    • GET

    • Recupere um membro específico do espaço de trabalho pela sua ID de usuário do Notion. Ela será um UUID com 32 caracteres no seguinte formato: 00000000-0000-0000-0000-000000000000.

    • Observe que meta.createde meta.lastModifiednão refletem valores significativos de data/hora.

  • POST /Users

    • POST

    • Se o usuário que você está adicionando já tiver uma conta no Notion com o mesmo e-mail, ele será adicionado ao seu espaço de trabalho.

    • Se o usuário não existir, essa chamada criará um novo usuário Notion e adicionará este usuário ao seu espaço de trabalho. Um mapa será enviado para o perfil de usuário Notion que for criado.

    • A API SCIM lerá a propriedade da foto de perfil na criação do usuário, mas não em atualizações futuras.

  • PATCH /Users/

    • PATCH

    • Atualiza por meio de uma série de operações e fornece o registro de usuário atualizado.

Observação: você só pode atualizar as informações do perfil de um membro se tiver verificado a propriedade do domínio de e-mail do usuário (normalmente, é igual aos domínios de e-mail configurados para login único do SAML com o Notion). Para verificar o domínio, siga as instruções aqui

  • PUT /Users/

    • PUT

    • Atualiza e retorna o registro do usuário atualizado.

  • DELETE /Users/

    • DELETE

    • Remova um usuário do seu espaço de trabalho. O usuário está desconectado de todas as sessões ativas.

      • A conta de usuário não pode ser excluída pelo SCIM. A exclusão da conta deve ser feita manualmente.

      • Também é possível remover um usuário do seu espaço de trabalho definindo o atributo do usuário active como false ao enviar PATCH /Users/ ou uma solicitação PUT /Users/.

      • O proprietário do espaço de trabalho que criou o token do bot do SCIM não pode ser removido por meio da API. Quando o proprietário de um espaço de trabalho é removido por meio da API do SCIM, todos os tokens criados por ele serão revogados e todas as integrações que usarem esse bot serão interrompidas.

Nota: É possível atribuir níveis de espaço de trabalho aos usuários usando o atributo função, que é uma extensão do esquema de usuário existente. O formato é:

"urn:ietf:params:scim:schemas:extension:notion:2.0:User": { role: string // "owner" | "membership_admin" | "member" }

Grupos

  • GET /Groups

    • GET

    • Recupere uma lista paginada de grupos do espaço de trabalho.

    • Você pode paginar usando os parâmetros startIndex e count. Observe que startIndex está indexado a 1, e o máximo de count é 100, por exemplo

      • Se não for usada paginação, o máximo de 100 grupos de espaços de trabalho retornará em uma solicitação.

    • Você pode filtrar os resultados com o parâmetro filtro.  Os grupos podem ser filtrados por seu atributo displayName,  por exemplo GET

  • GET /Groups/

    • GET

    • Recupere um membro específico do espaço de trabalho pela sua ID de usuário do Notion. Ela será um UUID com 32 caracteres no seguinte formato: 00000000-0000-0000-0000-000000000000.

  • POST /Groups

    • POST

    • Crie um novo grupo de espaço de trabalho.

  • PATCH /Groups/

    • PATCH

    • Atualize um grupo de espaço de trabalho por meio de uma série de operações.

  • PUT /Groups/

    • PUT

    • Atualize um grupo de espaço de trabalho.

  • DELETE /Groups/

    • DELETE

    • Exclua um grupo de espaço de trabalho.

Nota: a exclusão do grupo será proibida se isso fizer com que ninguém mais tenha acesso completo a uma ou mais páginas.

Dar feedback

Este recurso foi útil?