Configuração do SAML SSO

Os serviços de logon único (SSO) do Notion têm como base o padrão de linguagem de marcação SAML 2.0. Esse padrão permite que os gerenciadores de identidade possam não apenas emitir credenciais de autorização para provedores de serviços como o Notion, mas também estabelecer uma conexão com o seu provedor de identidade (IdP) e espaços de trabalho. Isso tudo possibilita uma experiência de login mais segura e simplificada.

Com os serviços de SSO, você pode usar uma única credencial (como, por exemplo, um endereço de e-mail e senha) para acessar vários aplicativos. Nesse caso, o usuário passa pela etapa de autenticação apenas uma vez, eliminando a necessidade de fazer login toda vez que acessar os aplicativos em uma mesma sessão.

• Facilita o gerenciamento de usuários em sistemas diferentes (o que é ótimo para os proprietários dos espaços de trabalho)

• Acaba com a necessidade de ter que salvar e administrar várias senhas diferentes e simplifica a experiência do usuário final, que vai poder fazer o login apenas uma vez e desfrutar de vários aplicativos sem interrupção.

• O espaço de trabalho precisa estar em um Plano Business ou Enterprise.

• O provedor de identidade (IdP) precisa ser compatível com o padrão SAML 2.0.

• A configuração da autenticação SAML em um espaço de trabalho do Notion só pode ser feita pela pessoa que é titular do espaço de trabalho

• Ao menos um domínio já precisa ter sido verificado pela pessoa que é proprietária do espaço de trabalho

• Vá até Configurações e membros e, em seguida, selecione a guia Configurações.

• Remova todos os domínios de e-mail listados na seção Domínios de e-mail verificados.

• Selecione a guia Identidade e provisionamento.

• Verifique os domínios. Veja como fazer isso aqui →

• Mexa na opção Habilitar SAML SSO para que o modal Configuração do SAML SSO seja exibido.

• O modal de configuração de autenticação SAML é dividido em duas partes:

  • O URL do Serviço de Declaração do Consumidor (ACS) deve ser inserida no portal do seu Provedor de Identidade (IdP)

  • No campo Detalhes do provedor de identidade um URL do IdP ou um arquivo XML de metadados do IdP deve ser fornecido ao Notion.

Para saber mais sobre onde inserir e obter essas informações, confira os nossos guias específicos sobre IdP.

Você vai perceber que, dentro do espaço de trabalho no qual você verificou o domínio e ativou a autenticação SAML, há uma seção chamada Espaços de trabalho vinculados. Essa seção contém uma lista com todos os espaços de trabalho associados à configuração de autenticação SAML.

Os usuários com um endereço de e-mail verificado e com acesso ao espaço de trabalho principal (ou um espaço de trabalho vinculado) poderão entrar na conta via autenticação SAML.

Os clientes Enterprise auxiliados por vendas podem adicionar espaços de trabalho Enterprise à sua configuração de autenticação SSO ou removê-los entrando em contato com [email protected].

O login via autenticação SAML poderá ser realizado assim que você completar a etapa de configuração no espaço de trabalho. Vale lembrar que outros métodos de login, como nome de usuário/senha e autenticação pelo Google, ainda estarão disponíveis.

• Para garantir que os usuários possam fazer login apenas via autenticação SAML, é necessário atualizar o Método de login para Apenas SAML SSO.

• A autenticação SAML será disponibilizada apenas para usuários com o domínio verificado e acesso ao espaço de trabalho principal (ou aos espaços de trabalho linkados).

• Usuários convidados para páginas de um espaço de trabalho não podem fazer login via autenticação SAML, então terão que recorrer às opções e-mail/senha ou "Continuar com o Google/Apple".

• Os proprietários de um espaço de trabalho têm a opção de não utilizar a autenticação SAML e fazer login com e-mail e senha. Dessa forma, é possível acessar o Notion mesmo em caso de falhas no IdP/SAML para desativar ou atualizar as configurações.

O Notion é compatível com provisionamento Just-in-Time quando usa autenticação SAML. Com isso, quem se conecta usando autenticação SAML entra no espaço de trabalho automaticamente como membro.

Para ativar o provisionamento Just-in-Time:

• Em Configurações e membros -> Identidade e provisionamento, confira se a opção de criação automática de conta está ativada.

Estas são as instruções para configurar a autenticação SAML do Notion com Entra ID (antigo Azure), Google, Okta e OneLogin. Se você usa outro provedor de identidade e precisa de ajuda com a configuração, entre em contato com nossa equipe de suporte.

Para obter documentação adicional, você também pode consultar as etapas no site do Entra ID:

• Integração do logon único (SSO) do Entra ID (antigo Azure Active Directory) com o Notion

Etapa 1: crie uma nova integração de aplicativo

• Faça login no portal do Entra ID. No painel de navegação à esquerda, selecione o serviço  Azure Active Directory.

• Navegue até Aplicativos Empresariais e selecione Todos os aplicativos.

• Para adicionar um novo aplicativo, selecione Novo aplicativo.

• Na seção Adicionar da galeria, digite Notion na caixa de pesquisa. Selecione Notion no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Etapa 2:criar integração SAML

• No portal do Azure, na página de integração do aplicativo Notion, localize a seção  Gerenciar e selecione Logon único.

• Na página Selecionar um método de login único, selecione SAML.

Etapa 3: Configurações de SAML

• No Notion, acesse Configurações e membros e selecione a guia Configurações.

• Na seção Domínios de e-mail permitidos, remova todos os domínios de e-mail.

• Em seguida, selecione a guia Identidade e provisionamento.

• Verifique os domínios. Veja como fazer isso aqui →

  Verificar um domínio para o espaço de trabalho

• Ative a opção Ativar SAML SSO para que o modal Configuração do SAML SSO seja exibido.

• Lembre-se de que o modal de configuração do padrão de autenticação SAML está dividido em duas partes: a primeira é o URL do Serviço de Declaração do Consumidor (ACS), que deve ser inserida no portal do provedor de identidade (IdP). A segunda é a seção de Detalhes do Provedor de Identidade, na qual você deve inserir o URL ou um arquivo XML de metadados do IdP.

Etapa 4: configure o aplicativo do Notion no Entra ID

• Na página Configurar login único com SAML, clique no ícone de lápis em Configuração básica de SAML para editar as configurações.

• Na seção Configuração básica do SAML, se quiser configurar o aplicativo no modo iniciado por  IdP , insira valores nos seguintes campos:
  

  • Na caixa de texto Identificador (ID da entidade), digite a seguinte URL: https://pages.adwile.com/sso/saml

  • Na caixa de texto URL de resposta (URL do Assertion Consumer Service), use a URL do ACS do Notion, encontrada na guia Identidade e provisionamento de Configurações e membros na barra lateral à esquerda

  • Na caixa de texto URL de login, insira a seguinte URL: https://pages.adwile.com/login

• Na seção Atributos e requerimentos do usuário, certifique-se de que o requerimento desejado esteja definido para
  

  • Identificador de usuário único (ID do nome): usuário.nomeprincipaldousuário [iddonome-formato:EndereçodeEmail]

  • firstName: usuário.nome

  • lastName: usuário.sobrenome

  • email: usuário.email

• Na página Configurar login único com SAML, na seção Certificado de assinatura SAML, clique no botão copiar próximo à URL dos metadados da federação com aplicativos.

• Vá para o espaço de trabalho do Notion Configurações e membros > Identidade e provisionamento e cole o valor do URL dos metadados da federação de aplicativos que você copiou no campo URL de metadados do IdP. Selecione a opção URL do provedor de identidade.

Etapa 5: atribua usuários ao Notion

• No portal Azure, selecione Aplicativos empresariais e, em seguida, selecione Todos os aplicativos. Na lista de aplicativos, selecione Notion.

• Na página de visão geral do aplicativo, encontre a seção Gerenciar e selecione Usuários e grupos.

• Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição.

• Na caixa de diálogo Usuários e grupos, selecione na lista Usuários e clique no botão Selecionar na parte inferior da tela.

• Se quiser que uma função seja atribuída aos usuários, você poderá selecioná-la na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.

• Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Para mais instruções, consulte a documentação na Ajuda do Administrador do Google Workspace:

• Aplicativo de nuvem do Notion

Etapa 1: obtenha as informações do provedor de identidade (IDP) do Google

• Conecte-se a uma conta de administrador para ter certeza de que a sua conta de usuário tem as permissões adequadas.

• No Admin Console, acesse Menu -> Apps -> Apps da web e para dispositivos móveis

• Digite Notion no campo de pesquisa e selecione o app de SAML do Notion.

• Na página de detalhes do provedor de identidade do Google, baixe o arquivo de metadados do IDP.

• Abra o arquivo GoogleIDPMetadata.xml em um editor compatível e, em seguida, selecione e copie o conteúdo do arquivo.

• Deixe o Admin Console aberto, pois você dará continuidade ao assistente de configuração depois da próxima etapa no aplicativo do Notion.

Etapa 2: configure o Notion como provedor de serviços SAML 2.0

• No Notion, acesse Configurações e membros e selecione a guia Configurações.

• Na seção Domínios de e-mail autorizados, remova todos os domínios de e-mail.

• Acesse a guia Identidade e provisionamento.

• Adicione um novo domínio e verifique-o. Deve ser o mesmo domínio usado no Google Workspace.

• Nas configurações de Login único com SAML, ative a opção Ativar SAML SSO para abrir a caixa de diálogo  Configuração do SAML SSO.

• Na caixa de diálogo, faça o seguinte:

  1. Em Detalhes do provedor de identidade, selecione XML de metadados do IDP.

  2. Cole o conteúdo do arquivo GoogleIDPMetadata.xml, (copiado na etapa 1 acima) na caixa de texto de XML de metadados de IdP.

  3. Copie e salve o URL do Serviço do Consumidor de Declaração (ACS). Ele será necessário para concluir a configuração no Admin Console do Google na etapa 3 abaixo.

  4. Clique em Salvar alterações.

• Deixe as outras opções Método de login, Criação automática de conta Espaços de trabalho vinculados com os valores de configuração da sua preferência.

Etapa 3: conclua a configuração do SSO no Admin Console

• Volte à guia do navegador em que o Admin Console está aberto.

• Na página Detalhes do provedor de identidade do Google, clique em Continuar.

• Na página Detalhes do provedor de serviços, substitua o URL do ACS pelo URL copiado do Notion na Etapa 2 acima.

• Clique em Continuar.

• Na página Mapeamento de atributos, clique no menu Selecionar campo e mapeie os seguintes atributos de diretório do Google aos atributos correspondentes do Notion. É importante frisar que os atributos firstName, lastName e email são obrigatórios.

  

  Nota: é possível adicionar o atributo profilePhoto à foto de usuário no Notion. Para usá-lo, crie um atributo personalizado e preencha-o no perfil do usuário com o caminho do URL para a foto e, em seguida, mapeie o atributo personalizado para profilePhoto.

• Opcional: Clique em Adicionar mapeamento para adicionar todos os outros mapeamentos que forem necessários.

• Clique em Concluir.

Etapa 4: ative o app do Notion

• No console Admin, acesse Menu > Aplicativos > Aplicativos da web e móveis.

• Selecione Notion.

• Clique em Acesso do usuário.

• Para ativar ou desativar um serviço para todos na sua organização, clique em Ativado para todos ou Desativado para todos e, em seguida, clique em Salvar.

• (Opcional) Para ativar ou desativar um serviço para uma unidade da organização:

  • À esquerda, selecione a unidade organizacional.

  • Para alterar o Status do Serviço, selecione Ligado ou Desligado.

  • Escolha um: se o status do serviço estiver definido como Herdado e você desejar manter a configuração atualizada, mesmo que a configuração principal mude, clique em Substituir. Se o status do serviço estiver definido como Substituído, clique em Herdar para reverter para a mesma configuração do principal, ou clique em Salvar para manter a nova configuração, mesmo se a configuração principal alterar. Observação: mais informações sobre a estrutura organizacional.

• Opcional: ative o serviço para um grupo de usuários. Utilize grupos de acesso para ativar um serviço para usuários específicos dentro ou por meio de suas unidades organizacionais. Saiba mais.

• Os IDs dos e-mails das contas de usuários do Notion devem ser iguais aos do domínio do Google.

Para obter documentação adicional, você também pode consultar as etapas no site do Okta:

• Como configurar o SAML 2.0 para o Notion

Passo 1: adicione o aplicativo Notion a partir do diretório de aplicativos do Okta

• Entre no Okta como administrador e acesse o console de Administração do Okta.

• Acesse a guia Aplicativo, selecione Procurar catálogo de aplicativos e busque por Notion no catálogo de aplicativos Okta.

• Selecione o aplicativo Notion e clique em Adicionar integração.

• Na visualização Configurações gerais, revise as configurações e clique em Próximo.

• Na visualização Opções de login, selecione a opção SAML 2.0.

• Acima da seção Configurações avançadas de login, clique nos Metadados do provedor de identidade. Isso vai abrir uma nova guia do navegador. Copie o link da URL.

Etapa 2: defina as configurações SAML no Notion

• No Notion, acesse Configurações e membros e selecione a guia Configurações.

• Na seção Domínios de e-mail permitidos, remova todos os domínios de e-mail.

• Em seguida, selecione a guia Identidade e provisionamento.

• Verifique os domínios. Veja as instruções de verificação de domínio aqui →

• Ative a opção Ativar SAML SSO para que o modal Configuração do SAML SSO seja exibido.

• Lembre-se de que o modal de configuração do padrão de autenticação SAML está dividido em duas partes: a primeira é o URL do Serviço de Declaração do Consumidor (ACS), que deve ser inserida no portal do provedor de identidade (IdP). A segunda é a seção de Detalhes do Provedor de Identidade, na qual você deve inserir o URL ou um arquivo XML de metadados do IdP.

  • Escolha a URL do provedor de identidade e cole a URL dos Metadados do provedor de identidade que você copiou no Passo 1. Clique em Salvar alterações.

• Na guia Identidade e provisionamento, role para baixo e copie o identificador do ID do espaço de trabalho.

• Em Console do Administrador Okta > seção Configurações avançadas de login, cole a ID do espaço de trabalho na caixa de texto ID da organização.

• Em Detalhes de credenciais, selecione E-mail no menu suspenso Formato de nome de usuário do aplicativo e clique em Concluído.

Passo 3: atribua usuários e grupos ao Notion

• Na guia Okta > Atribuições, agora você pode atribuir usuários e grupos ao Notion.

Para obter documentação adicional, você também pode consultar as etapas no site do OneLogin:

• Como configurar o SAML para o Notion

Etapa 1: crie uma nova integração de aplicativo

• Se você ainda não configurou o provisionamento, acesse Administration → Applications → Applications (Administração → Aplicativos → Aplicativos), clique no botão Add app (Adicionar aplicativo), pesquise pelo Notion na caixa de pesquisa e selecione a versão SAML 2.0 do Notion.

• Clique em Save (Salvar).

Etapa 2: criar integração com SAML

• Caso contrário, acesse Applications → Applications (Aplicativos → Aplicativos) e selecione o conector do app Notion que você já adicionou antes.

• Acesse a guia SSO e copie o valor do campo URL do emissor. Cole esse valor em algum lugar para tê-lo à mão depois.

Etapa 3: Configurações de SAML

• No Notion, acesse Configurações e membros e selecione a guia Configurações.

• Na seção Domínios de e-mail permitidos, remova todos os domínios de e-mail.

• Em seguida, selecione a guia Identidade e provisionamento.

• Verifique os domínios. Veja como fazer isso aqui → Verificar um domínio para o espaço de trabalho

• Ative a opção Ativar SAML SSO para que o modal Configuração do SAML SSO seja exibido.

• Lembre-se de que o modal de configuração do padrão de autenticação SAML está dividido em duas partes: a primeira é o URL do Serviço de Declaração do Consumidor (ACS), que deve ser inserida no portal do provedor de identidade (IdP). A segunda é a seção de Detalhes do Provedor de Identidade, na qual você deve inserir o URL ou um arquivo XML de metadados do IdP.

Etapa 4: configure o app Notion no OneLogin

• Copie o URL do Serviço do Consumidor de Declaração (ACS) do Notion.

• Retorne à interface de Administração do OneLogin.

• Acesse a guia Configuração do conector do app Notion que você acabou de adicionar à conta do OneLogin.

• Cole o URL do Serviço do Consumidor de Declaração (ACS) do Notion na caixa de texto Consumer URL (URL do consumidor).

• Clique em Save (Salvar).

• No Notion, retorne para Editar a configuração do SAML SSO.

• Cole o URL do emissor copiado da guia SSO no URL do OneLogin, na caixa de texto Identity Provider URL (URL do provedor de identidade). Selecione a opção URL do provedor de identidade.

Para obter uma documentação detalhada, consulte o site da Rippling aqui

Se você não usa um dos provedores de SAML compatíveis com o Notion, também pode configurar seu IdP para usar o padrão SAML com o Notion.

Etapa 1: Configure seu IdP

Para ser usado com o Notion, seu IdP deve ser compatível com o padrão SAML 2.0.

• Configure o URL do ACS com o URL do valor Assertion Consumer Service (ACS) a partir do Notion. Você encontrará em Configurações → Identidade e Provisionamento → Editar Configuração de SAML SSO.

• Configure NameID com urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress.

  • Da mesma forma, configure username com urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress.

• Configure o EntityID com https://notion.so/sso/saml. Você encontra em Configurações na parte inferior de Identidade e Provisionamento.

• Configure os seguintes atributos:

  • emailAddress: este é o endereço de e-mail de um usuário. A maioria dos IdPs define isso por padrão.

  • (Opcional) firstName

  • (Opcional) lastName

  • (Opcional) profilePicture

• Copie o URL de metadados do IdP ou arquivo XML de metadados do IdP para os próximos passos.

Etapa 2: Configuração do SAML no Notion

• Em Notion, abra Configurações, → Identidade e Provisionamento.

• Adicione novos domínios de e-mail e siga as instruções para verificá-los. Esses devem ser os domínios de e-mail dos seus usuários que entrarão no Notion.

• Nas configurações de logon único de SAML (SSO) , ative Habilitar SAML SSO. Isso abrirá a caixa de diálogo Configuração de SAML SSO.

• Em Detalhes do provedor de identidade, insira o URL de metadados do IdP ou arquivo XML de metadados do IdP.

• É importante que você informe as entradas desejadas para Login method (Método de login), Automatic account creation (Criação automática de conta) e Linked workspaces (Espaços de trabalho vinculados).

Para alternar entre provedores de identidade, acesse Configurações e membros na barra lateral esquerda → Identidade e provisionamento → Editar configuração SAML SSO. Insira seus novos dados e clique em Salvar alterações.

Ao mudar para um novo provedor de identidade, recomendamos que:

• O SSO não aconteça durante a transição a fim de minimizar o risco de bloquear usuários.

• Os endereços de e-mail dos usuários no novo provedor de identidade correspondam aos endereços de e-mail dos usuários utilizados no Notion.

Se encontrar erros ao configurar o padrão SAML SSO, verifique se os metadados, as solicitações e as respostas de SAML do IdP são arquivos XML válidos de acordo com os esquemas XSD SAML. Para isso, use esta ferramenta online: https://www.samltool.com/validate_xml.php.

Observe que não oferecemos suporte ao elemento EntitiesDescriptor. Se os metadados do IdP contiverem esse elemento, extraia o elemento EntityDescriptor contido e tente novamente.