Lazy loaded image
SAML SSO 配置
00 分钟
2020-6-3
Notion 为企业客户提供了 单点登录(SSO) 功能,即通过单一身份验证源(如 Okta )进行访问。这使 IT 管理员可以更有效地管理团队访问,并确保信息安全。
我们使用 SAML(安全断言标记语言),该标准允许如 Okta 这样的身份认证平台安全地将授权凭据传递给 Notion 这样的服务提供商。
👉
提示: SAML SSO 只对使用 Notion 企业版 的 workspace(工作区)可用。
 
Okta 设置创建新的 application integration(应用整合)创建 SAML integration(整合)SAML 设置将用户指派到 NotionNotion 设定Email domains & metadata URL(电子邮件域 & 元数据 URL )其他设置常见问题相关指南

Okta 设置

以下是使用 Okta 设置 Notion SAML SSO 的说明。若你使用其他身份认证提供商,并且需要配置方面的帮助,请联系我们的支持团队
你随时可以在 Okta 网站上按照此文步骤操作:
Overview | Okta Developer
The first step in configuring an application to support SAML based Single Sign-On from Okta is to set up an application in Okta. In SAML terminology, what you will be doing here is configuring Okta (your SAML Identity Provider or "SAML IdP"), with the details of your application (the new SAML Service Provider or "SAML SP").
Overview | Okta Developer
https://developer.okta.com/docs/guides/saml-application-setup/overview/
Overview | Okta Developer
 

创建新的 application integration(应用整合)

notion image
  • Platform(平台):从下拉菜单中选择 Web(网页)
  • Sign on method(登陆方法):选择 SAML 2.0
 

创建 SAML integration(整合)

notion image
 
  • App name(应用名称): Notion

SAML 设置

notion image
  • Single sign on URL(单点登陆 URL): 在 sidebar(侧边栏)的 Settings & Members(设置 & 成员) 中找到 Security & SAML(安全 & SAML) 标签。
notion image
 
  • Audience URI(目标对象 URI ): https://www.notion.so/sso/saml
  • Name ID format(用户名格式): 在下拉菜单中选择 EmailAddress(邮件地址)
  • Application username(应用用户名): 在下拉菜单中选择 Email(电子邮件)
  • Update application username on(更新应用用户名): 在下拉菜单中选择 Create and Update(创建与更新)
  • Attribute statements(属性语句)(我们建议的映射):
    • firstName → user.firstName
    • lastName → user.lastName
    • profilePhoto → user.profilePhoto profilePhoto
👉
提示: profilePhoto 是可选的自定义字段。如果 Okta 中没有个人资料照片或用户头像字段,则不要为其分配属性。 Okta 中的空白个人资料照片字段不会覆盖 Notion 中设置的头像。
 

将用户指派到 Notion

在 Okta 的 Assignments(指派) 选项卡中,你可以将用户指派到 Notion 。如果你通过启用 Automatically Create Accounts on Sign-in(登陆时自动创建账户) 选项以使用 Notion 的 Just-in-Time (JIT) 设置,则不需要进行这一步。

Notion 设定

Email domains & metadata URL(电子邮件域 & 元数据 URL )

notion image
 
  • Email Domains(电子邮件域): 请使用 Security & SAML(安全 & SAML) 标签中 Contact support(获取支持) 的链接以配置启用 SAML SSO 的电子邮件域。
  • IDP Metadata URL( IDP 元数据 URL ): 在这里输入由 Okta 提供的 URL :
notion image
 

其他设置

notion image
  • Automatically create accounts on sign in(登陆时自动创建账户): 如果要允许所有可以登录的用户自动作为付费 members(成员)添加到 Notion workspace(工作区)中,请启用该选项。
  • Enable SAML(启用 SAML ): 如果关闭此设置,则团队成员将无法使用 SAML 登录。
  • Enforce SAML (强制 SAML ): 启用此功能意味着在配置的域中具有电子邮件地址的用户只能使用 SAML SSO登录。Notion 管理员则仍然可以使用电子邮件登录。
👉
提示: 在我们建议你在强制使用 SAML 之前通知大家这将是可以登陆的唯一途径,并确保他们已将与组织无关的所有 Notion workspace(工作区)绑定的电子邮件地址更改为个人电子邮件。否则,如果他们无法通过 SAML 访问 Notion ,将失去对使用其组织电子邮件的所有 workspace(工作区)的访问权限。

常见问题

我的组织使用的身份验证服务提供商 (IDP)不是 Okta 。Notion 支持吗?
如果你的 IDP 提供了用于动态配置的 SAML 元数据 URL ,则可以按照上述相同的设置步骤进行操作。请与我们的支持团队联系,以获取其他 IDP 的 SAML 配置帮助。
 
Notion SAML SSO 如何处理用户配置?
Notion 提供了 Just-in-Time (JIT) 设置以支持启用 Automatically Create Accounts on Sign-in(登陆时自动创建账户) 选项, 。
Notion 目前不提供自动取消布署。这意味着,如果通过 IDP 删除了成员,还需要在 Notion 中通过 sidebar(侧边栏) Settings & Members(设置 & 成员) 中的 Members(成员) 标签删除该用户。
 
强制 SAML SSO 会注销用户吗?
否,活跃的用户会话将保持登录状态直到过期。下次登录时将需要使用 SAML SSO 。
 
Notion SAML SSO 是否支持单点注销?
目前不能。如果单点注销对你很重要,请与我们的支持团队联系以告知我们。
 
如果我的身份验证服务提供商停止服务,我是否仍可以登录到 Notion?
是的,即使启用了强制 SAML ,Notion 管理员也可以选择使用电子邮件登录。此后,管理员可以更改 SAML 配置以禁用 Enforce SAML(强制 SAML ) ,以便用户可以再次使用电子邮件登录。
 
Notion 支持什么版本的 SAML ?
我们目前支持 SAML v2.0 。
 

相关指南

Security - 安全
Privacy - 隐私策略
Plans & pricing
Add members to your workspace - 添加成员到你的工作区
Workspace settings & security - 工作空间设置与安全
Notion for teams - Notion 团队版
 
我们漏掉了什么吗? 点击位于桌面应用程序底部右侧(或移动端应用程序侧边栏)的 ? 给我们发送信息,也可发送邮件至 [email protected]✌️
 
审校 Lucy Lams Apr 8, 2020
上一篇
读书盘点|2022年世界读书日
下一篇
第三周刊_No.34|母女之间:阿克曼、波伏瓦、费兰特,她们这样书写母亲