Configurar Provedor de Identidade (IdP) para SSO SAML

ca: idp scim
Neste artigo

Veja como configurar seu provedor de identidade para SAML SSO no Notion 🔑

Acessar as perguntas frequentes

Estas são as instruções para configurar a SAML SSO no Notion com Entra ID (antigo Azure), Google, Okta e OneLogin. Se você usa outro provedor de identidade e precisa de ajuda com a configuração, entre em contato com a gente.

Observação: no momento, as organizações no Plano Enterprise só podem configurar o SSO SAML com um IdP.

Entra ID

Etapa 1: crie uma nova integração de aplicativo

Para criar uma nova integração de aplicativo na Entra ID:

  1. Faça login no portal do Entra ID. No painel de navegação à esquerda, selecione o serviço  Azure Active Directory.

  2. Navegue até Aplicativos Empresariais e selecione Todos os aplicativos.

  3. Para adicionar um novo aplicativo, selecione Novo aplicativo.

  4. Na seção Adicionar da galeria, digite Notion na caixa de pesquisa. Selecione Notion no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Etapa 2: criar integração com SAML

Para configurar a integração SAML:

  1. No portal do Azure, na página de integração do aplicativo Notion, localize a seção "Gerenciar" e selecioneLogin único .

  2. Na página Selecionar um método de login único, selecione SAML.

Etapa 3: Configurações de SAML

Para definir as configurações SAML no Notion:

  1. No Notion, acesse ConfiguraçõesGeral.

  2. Na seção Domínios de e-mail autorizados, remova todos os domínios de e-mail.

  3. Selecione a guia Identidade nas Configurações.

  4. Verifique os domínios. Verifique as instruções para verificação de domínio aqui →

  5. Ative a opção Habilitar SAML SSO. O modal Configuração do SAML SSO será exibido automaticamente e solicitará que você conclua a configuração.

  6. O modal de configuração de autenticação SAML é dividido em duas partes:

    • O URL do Serviço de Declaração do Consumidor (ACS) precisa ser inserida no portal do seu Provedor de Identidade (IdP).

    • Os Detalhes do Provedor de Identidade é um campo no qual você precisa fornecer uma URL do IdP ou um XML de metadados do IdP.

Etapa 4: configure o aplicativo do Notion na Entra ID

Para configurar no Notion na Entra ID:

  1. Na página "Configurar login único com SAML", clique no ícone de lápis em "Configuração básica de SAML" para editar as configurações.

  2. Na seção Configuração básica do SAML, se quiser configurar o aplicativo no modo iniciado por  IdP , insira valores nos seguintes campos:

    • Na caixa de texto Identificador (N.o de identificação da entidade), digite o seguinte URL: https://www.notion.so/sso/saml

    • Na caixa de texto URL de resposta (Assertion Consumer Service URL), use o URL do ACS do Notion, encontrado na guia Identidade e provisionamento de Configurações na barra lateral à esquerda

    • Na caixa de texto URL de login, insira o seguinte URL: https://www.notion.so/login

  3. Na seção Atributos e requerimentos do usuário, certifique-se de que os requerimentos necessários estejam definidos para:

    • Identificador de usuário único (ID do nome): usuário.nomeprincipaldousuário [iddonome-formato:EndereçodeEmail]

    • firstName: usuário.nome

    • lastName: usuário.sobrenome

    • email: usuário.email

  4. Na páginaDefinir single sign-on com SAML, na seção Certificado de assinatura SAML , clique no botão copiar ao lado do URL do app Federation Metadata.

  5. No Notion, acesse Configurações → Identidade, cole o URL App Federation Metadata que você copiou no campo de texto URL metadata IdP. Certifique-se que a URL do provedor de identidade esteja selecionada.

Etapa 5: atribua usuários ao Notion

Para atribuir usuários ao Notion:

  1. No portal Azure, selecione Aplicativos empresariais e, em seguida, selecione Todos os aplicativos. Na lista de aplicativos, selecione Notion.

  2. Na página de visão geral do aplicativo, encontre a seção Gerenciar e selecione Usuários e grupos.

  3. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupo na caixa de diálogo Adicionar atribuição .

  4. Na caixa de diálogo Usuários e grupos, selecione na lista Usuários e clique no botão Selecionar na parte inferior da tela.

  5. Se você espera que uma função seja atribuída aos usuários, você poderá selecioná-la no menu suspenso Selecionar uma função. Se nenhuma função tiver sido configurada para esse app, você verá a função acesso-padrão selecionada.

  6. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir .

Google

Etapa 1: obtenha as informações do provedor de identidade (IDP) do Google

Para obter informações do provedor de identidade do Google (IdP):

  1. Verifique se você está conectado a uma conta de administrador para garantir que a sua conta de usuário tenha as autorizações apropriadas.

  2. No Painel de Administrador, acesse Menu → AplicativosWeb e aplicativos móveis.

  3. Digite Notion no campo de pesquisa e selecione app SAML do Notion .

  4. Na  página de detalhes do Provedor de Identidade do Google, faça o download do arquivo de metadados do IdP.

  5. Abra o arquivo GoogleIDPMetadata.xml em um editor compatível e, em seguida, selecione e copie o conteúdo do arquivo.

  6. Deixe o Painel de administrador aberto. Você continuará com o assistente de configuração depois de seguir o passo subsequente no aplicativo do Notion.

Etapa 2: configure o Notion como provedor de serviços SAML 2.0

Para configurar o Notion como um provedor de serviços SAML:

  1. No Notion, acesse ConfiguraçõesGeral.

  2. Na seção Domínios de e-mail autorizados, remova todos os domínios de e-mail.

  3. Selecione a guia Identidade nas Configurações.

  4. Adicione um novo domínio e verifique-o. Deve ser o mesmo domínio usado no espaço de trabalho do Google.

  5. Nas configurações de SAML login único (SSO), ative a opção Habilitar SAML SSO. Isso abrirá a caixa de diálogo Configuração do SAML SSO.

  6. Na caixa de diálogo, faça o seguinte:

    1. Em Detalhes do provedor de identidade, selecione XML de metadados do IDP.

    2. Cole o conteúdo do arquivo GoogleIDPMetadata.xml, (copiado na etapa 1 acima) na caixa de texto de XML de metadados de IdP.

    3. Copie e salve o URL do Serviço do Consumidor de Declaração (ACS). Ele será necessário para concluir a configuração no Console do Administrador do Google na etapa 3 abaixo.

    4. Clique em Salvar alterações.

  7. Certifique-se de que as opções restantes (Método de login, criação automática de conta e espaços de trabalho vinculadoscontenham os valores) desejados para a sua configuração.

Etapa 3: conclua a configuração do SSO no Admin Console

Para concluir a configuração do SSO no Painel de administrador:

  1. Volte à guia do navegador do Painel de Administrador.

  2. Na página detalhes do Provedor de identidade do Google (IdP), clique em Continuar.

  3. Na página Detalhes do prestador de serviços, substitua o URL do ACS pelo URL do ACS que você copiou do Notion na etapa 2 acima.

  4. Clique em Continuar.

  5. Na página Mapeamento de atributos, clique no menu Selecionar campo e mapeie os seguintes atributos de diretório do Google aos atributos correspondentes do Notion. Observe que os atributos firstName, lastName e e-mail  são obrigatórios.

    Nota: é possível adicionar o atributo profilePhoto à foto de usuário no Notion. Para usá-lo, crie um atributo personalizado e preencha-o no perfil do usuário com o caminho do URL para a foto e, em seguida, mapeie o atributo personalizado para profilePhoto.

  6. Se quiser, clique em Adicionar mapeamento para adicionar todos os outros mapeamentos que forem necessários.

  7. Clique em Concluir.

Obs.: independentemente de quantos nomes de grupo você inserir, a resposta SAML incluirá apenas grupos dos quais um usuário é membro (direta ou indiretamente). Veja mais informações aqui →

Etapa 4: ative o app do Notion

Para habilitar o Notion:

  1. No Painel de Administrador, acesse MenuAplicativosWeb e aplicativos móveis.

  2. Selecione Notion.

  3. Clique em Acesso do usuário.

  4. Para ativar ou desativar um serviço para todos na sua organização, clique em Ativado para todosou Desativado para todos e, em seguida, clique em Salvar.

  5. Para ativar ou desativar opcionalmente um serviço para uma unidade da organização, selecione a unidade da organização e altere o status do Serviço selecionando Ativado ou Desativado.

    • Se o status do serviço estiver definido como Herdadoe você desejar manter a configuração atualizada, mesmo se a configuração principal mudar, clique em Substituir. Se o status do serviço estiver definido como Substituído, clique em Herdarpara reverter para a mesma configuração do principal, ou clique em Salvarpara manter a nova configuração, mesmo se a configuração principal alterar. Saiba mais sobre estrutura organizacional.

  6. Opcionalmente, ative o serviço para um grupo de usuários. Utilize grupos de acesso para ativar um serviço para usuários específicos dentro ou por meio de suas unidades organizacionais. Saiba mais aqui →

  7. Os IDs dos e-mails das contas de usuários do Notion devem ser iguais aos do domínio do Google.

Okta

Passo 1: adicione o aplicativo Notion a partir do diretório de aplicativos do Okta

Para adicionar o Notion a partir do diretório de aplicativos do Okta:

  1. Entre no Okta como administrador e acesse o console de Administração do Okta.

  2. Acesse a guia Aplicativo, selecione Navegar pelo catálogo de aplicativos e busque Notion no catálogo de aplicativos do Okta.

  3. Selecione o app do Notion e clique em Adicionar integração.

  4. Na visualização Configurações gerais, revise as configurações e clique em Próximo.

  5. Na visualização Opções de login, selecione a opção SAML 2.0.

  6. Acima da seção Configurações de login avançadas, clique em metadados do Fornecedor de Identidade. Isso irá abrir uma nova guia do navegador. Copie o link do URL.

Etapa 2: defina as configurações SAML no Notion

Para fazer as configurações do Notion para SAML:

  1. No Notion, acesse ConfiguraçõesGeral.

  2. Na seção Domínios de e-mail autorizados, remova todos os domínios de e-mail.

  3. Selecione a guia Identidade nas Configurações.

  4. Verifique os domínios. Veja as instruções de verificação de domínio aqui

  5. Ative a opção Ativar SAML SSO para que o modal Configuração do SAML SSO seja exibido.

  6. No campo Detalhes do provedor de identidade do modelo de configuração SAML SSO, forneça a URL do provedor de identidade colando a URL dos Metadados do provedor de identidade que você copiou no Passo 1.

  7. Clique em Salvar alterações.

  8. Na guia Identidade, copie o identificador do ID do espaço de trabalho.

  9. No Painel de administrador do Okta → seção Configurações avançadas de login, cole o identificador do ID do espaço de trabalho na caixa de texto Identidade da organização.

  10. Em Detalhes de credenciais, selecione E-mail no menu dropdown Formato de nome de usuário do aplicativo.

  11. Clique em Concluído.

Você poderá atribuir usuários e grupos ao Notion na guia Okta - Atribuições.

OneLogin

Etapa 1: crie uma integração SAML

Para criar uma nova integração de aplicativo:

  1. Acesse AplicativosAplicativos e selecione o conector do app do Notion que você adicionou anteriormente.

    • Se você ainda não configurou o provisionamento, clique no botão Adicionar aplicativo, pesquise "Notion" na caixa de pesquisa e selecione a versão SAML 2.0 do Notion. Clique em Salvar.

  2. Acesse a guia SSO e copie o valor do campo URL do emissor. Cole esse valor em algum lugar para tê-lo à mão depois.

Etapa 2: configurações SAML

Para definir as configurações SAML no Notion:

  1. No Notion, acesse ConfiguraçõesGeral.

  2. Na seção Domínios de e-mail autorizados, remova todos os domínios de e-mail.

  3. Selecione a guia Identidade nas Configurações.

  4. Verifique os domínios. Verifique as instruções para verificação de domínio aqui →

  5. Ative a opção Ativar SAML SSO para que o modal Configuração do SAML SSO seja exibido.

  6. O modal de configuração de autenticação SAML é dividido em duas partes:

    • O URL do Serviço de Declaração do Consumidor (ACS) precisa ser inserida no portal do seu Provedor de Identidade (IdP).

    • Os Detalhes do Provedor de Identidade é um campo no qual você precisa fornecer uma URL do IdP ou um XML de metadados do IdP.

Etapa 3: configure o app Notion no OneLogin

Para configurar o Notion no OneLogin:

  1. Copie o URL do Serviço do Consumidor de Declaração (ACS) do Notion.

  2. Retorne à interface de usuário de Administração do OneLogin.

  3. Acesse a guia Configuração do conector do app do Notion que você acabou de adicionar à conta do OneLogin.

  4. Cole o URL do Serviço do Consumidor de Declaração (ACS) do Notion na caixa de texto URL do Consumidor.

  5. Clique em Salvar.

  6. No Notion, retorne para Editar a configuração SAML SSO.

  7. Cole o URL do emissor copiado na guia SSO no URL do OneLogin, na caixa de texto URL do provedor de identidade. Certifique-se que a URL do provedor de identidade esteja selecionada.

Rippling

Consulte documentações detalhadas no site da Rippling aqui →

TrustLogin

Consulte documentações detalhadas no site da TrustLogin aqui →

Configuração personalizada de SAML SSO

Se você não usa um dos provedores de SAML compatíveis com o Notion, também pode configurar seu IdP para usar o padrão SAML com o Notion.

Etapa 1: configuração do IDP

Para ser usado com o Notion, seu IdP deve ser compatível com o padrão SAML 2.0. Para configurar seu IdP:

  1. Configure o URL do ACS com o URL do valor Assertion Consumer Service (ACS) a partir do Notion. Você encontrará em ConfiguraçõesIdentidade e ProvisionamentoEditar Configuração de SAML SSO.

  2. Configure NameID com urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress.

    1. Da mesma forma, configure username com urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress.

  3. Configure o EntityID com https://notion.so/sso/saml. Você encontra em Configurações na parte inferior de Identidade e Provisionamento.

  4. Configure os seguintes atributos:

    • emailAddress: este é o endereço de e-mail de um usuário. A maioria dos IdPs define isso por padrão.

    • (Opcional) firstName

    • (Opcional) lastName

    • (Opcional) profilePicture

  5. Copie o URL de metadados do IdP ou arquivo XML de metadados do IdP para os próximos passos.

Etapa 2: Configuração do SAML no Notion

Para configurar o SAML no Notion:

  1. No Notion, clique em ConfiguraçõesGerais.

  2. Na seção Domínios de e-mail autorizados, adicione novos domínios de e-mail e siga as instruções para verificá-los. Esses devem ser os domínios de e-mail dos seus usuários que entrarão no Notion.

  3. Selecione a guia Identidade nas Configurações.

  4. Nas configurações de logon único de SAML (SSO), ative Habilitar SAML SSO. Isso abrirá a caixa de diálogo Configuraçãode SAML SSO.

  5. Em Detalhes do provedor de identidade, insira o URL de metadados do IdP ou arquivo XML de metadados do IdP.

  6. É importante que você informe as entradas desejadas para Login method (Método de login), Automatic account creation (Criação automática de conta) e Linked workspaces (Espaços de trabalho vinculados).

Mudar de provedor de identidade

Para alternar entre provedores de identidade:

  1. Acesse Configurações na barra lateral → IdentidadeEditar configurações SAML SSO.

  2. Insira seus novos dados e clique em Salvar alterações.

Ao mudar para um novo provedor de identidade, recomendamos que:

  • O SSO não aconteça durante a transição a fim de minimizar o risco de bloquear usuários.

  • Os endereços de e-mail dos usuários no novo provedor de identidade correspondam aos endereços de e-mail dos usuários utilizados no Notion.

Observação: a alteração dos provedores de identidade não encerra as sessões do usuário nem desativa os usuários.

Solução de problemas

Se você encontrar erros ao configurar o SAML SSO, verifique se os metadados, as solicitações e as respostas SAML do IdP são arquivos XML válidos nos esquemas SAML XSD. Você pode fazer isso usando essa ferramenta online.

Observe que não oferecemos suporte ao elemento EntitiesDescriptor. Se os metadados do IDP contiverem esse elemento, extraia o elemento EntityDescriptor contido e tente novamente.

Perguntas frequentes

As fotos de perfil são transmitidas ao Notion pelo IdP?

Sim, "profilePhoto" é um atributo personalizado opcional. É possível definir esse atributo para um atributo correspondente no seu IdP, desde que ele inclua o URL de uma imagem. Se o campo "profilePhoto" for definido, essa imagem substituirá o avatar no Notion quando o usuário fizer login usando SAML SSO.

Posso fazer login no Notion se meu provedor de identidade (IdP) estiver fora de serviço?

Sim, mesmo com o SAML aplicado, os titulares do espaço de trabalho têm a opção de fazer login com e-mail. Um proprietário de espaço de trabalho pode alterar a configuração de SAML para desativar Aplicar SAML para que os usuários possam fazer login com e-mail novamente.

Dar feedback

Este recurso foi útil?