Lazy loaded image
SAML SSO 組態
00 分钟
2022-3-25
分類
👤
帳號設定與隱私(Account Settings & Privacy
狀態
Last edited by
負責編輯人
Tuanzi Lee
最後更新
Notion 為企業客戶提供了 單一登入(SSO) 功能,即通過單一身份驗證源(如 Okta )進行查訪。這使 IT 管理員可以更有效地管理團隊訪問,並確保資訊安全。
我們使用 SAML(安全斷言標記式語言),該表準允許如 Okta 這樣的身份認證平台安全地將授權憑證傳遞給 Notion 這樣的服務提供商。
👉
提示: SAML SSO 只對使用 Notion 企業版 的 workspace(工作區)可用。
 
Okta 建立建立新的 application integration(應用整合)建立 SAML integration(整合)SAML 設定將使用者指派到 NotionNotion 設定Email domains & metadata URL(電子郵件網域 & 元數據 URL )其他設定常見問題相關指南

Okta 建立

以下是使用 Okta 設定 Notion SAML SSO 的說明。若你使用其他身份認證提供商,並且需要組態方面的幫助,請聯繫我們的支援團隊
你随時可以在 Okta 網站上按照此文步驟操作:
Overview | Okta Developer
The first step in configuring an application to support SAML based Single Sign-On from Okta is to set up an application in Okta. In SAML terminology, what you will be doing here is configuring Okta (your SAML Identity Provider or "SAML IdP"), with the details of your application (the new SAML Service Provider or "SAML SP").
Overview | Okta Developer
https://developer.okta.com/docs/guides/saml-application-setup/overview/
Overview | Okta Developer
 

建立新的 application integration(應用整合)

notion image
  • Platform(平台):從下拉選單中選擇 Web(網頁)
  • Sign on method(登入方法):選擇 SAML 2.0
 

建立 SAML integration(整合)

notion image
 
  • App name(應用名稱): Notion

SAML 設定

notion image
  • Single sign on URL(單一登入 URL): 在 sidebar(側邊欄)的 Settings & Members(設定 & 成員) 中找到 Security & SAML(安全 & SAML) 標籤。
notion image
 
  • Audience URI(目標對象 URI ): https://www.notion.so/sso/saml
  • Name ID format(用戶名格式): 在下拉選單中選擇 EmailAddress(郵件地址)
  • Application username(應用用戶名): 在下拉選單中選擇 Email(電子郵件)
  • Update application username on(更新應用用戶名): 在下拉選單中選擇 Create and Update(建立與更新)
  • Attribute statements(屬性語句)(我們建議的映射):
    • firstName → user.firstName
    • lastName → user.lastName
    • profilePhoto → user.profilePhoto profilePhoto
👉
提示: profilePhoto 是可選的自定義字段。如果 Okta 中沒有個人資料照片或用戶頭像字段,則不要為其分配屬性。 Okta 中的空白個人資料照片字段不會覆蓋 Notion 中設定的頭像。
 

將使用者指派到 Notion

在 Okta 的 Assignments(指派) 選項卡中,你可以將用戶指派到 Notion 。如果你通過啟用 Automatically Create Accounts on Sign-in(登陆时自动创建账户) 選項以使用 Notion 的 Just-in-Time (JIT) 設定,則不需要進行這一步。

Notion 設定

Email domains & metadata URL(電子郵件網域 & 元數據 URL )

notion image
 
  • Email Domains(電子郵件網域):請使用 Security & SAML(安全 & SAML) 標籤中 Contact support(獲取支援) 的連結以設定啟用 SAML SSO 的電子郵件網域。
  • IDP Metadata URL( IDP 元數據 URL ): 在這裡輸入由 Okta 提供的 URL :
notion image
 

其他設定

notion image
  • Automatically create accounts on sign in(登入時自動建立帳戶): 如果要允許所有可以登入的用戶自動作為付費 members(成員)添加到 Notion workspace(工作區)中,請啟用該選項。
  • Enable SAML(啟用 SAML ): 如果關閉此設定,則團隊成員將無法使用 SAML 登入。
  • Enforce SAML (強制 SAML ): 啟用此功能意味着在配置的網域中具有電子郵件地址的用戶只能使用 SAML SSO 登入。Notion 管理員则仍然可以使用電子郵件登入。
👉
提示:在我們建議你在強制使用 SAML 之前通知大家這將是可以登入的唯一途徑,並確保他們已將與組織無關的所有 Notion workspace(工作區)綁定的電子郵件地址更改為個人電子郵件。否則,如果他们無法通過 SAML 訪問 Notion ,將失去對使用其組織電子郵件的所有 workspace(工作區)的訪問權限。

常見問題

我的組織使用的身份驗證服務提供商 (IDP)不是 Okta 。Notion 支持嗎?
如果你的 IDP 提供了用于动态配置的 SAML 元数据 URL ,则可以按照上述相同的设置步骤进行操作。请与我们的支持团队联系,以获取其他 IDP 的 SAML 配置帮助。
 
Notion SAML SSO 如何處理使用者設定?
Notion 提供了 Just-in-Time (JIT) 设置以支持启用 Automatically Create Accounts on Sign-in(登陆时自动创建账户) 选项, 。
Notion 目前不提供自动取消布署。这意味着,如果通过 IDP 删除了成员,还需要在 Notion 中通过 sidebar(侧边栏) Settings & Members(设置 & 成员) 中的 Members(成员) 标签删除该用户。
 
制 SAML SSO 會登出用戶吗?
否,活跃的用户会话将保持登录状态直到过期。下次登录时将需要使用 SAML SSO 。
 
Notion SAML SSO 是否支援單點登出?
目前不能。如果单点注销对你很重要,请与我们的支持团队联系以告知我们。
 
如果我的身份驗證服務提供商停止服務,我是否仍可以登入到 Notion?
是的,即使啟用了強制 SAML ,Notion 管理員也可以選擇使用電子郵件登入。此後,管理員可以更改 SAML 配置以禁用 Enforce SAML(強制 SAML ) ,以便用戶可以再次使用電子郵件登入。
 
Notion 支持什麼版本的 SAML ?
我们目前支持 SAML v2.0 。
 

相關指南

安全
方案和價格
💌
新增成員、管理者、訪客和小組
🖥️
工作區設定
Notion 團隊版
 
 
上一篇
读书盘点|2022年世界读书日
下一篇
第三周刊_No.34|母女之间:阿克曼、波伏瓦、费兰特,她们这样书写母亲