Notion 为企业客户提供了 单点登录(SSO) 功能,即通过单一身份验证源(如 Okta)进行访问。这使 IT 管理员可以更有效地管理团队访问,并确保信息安全。

我们使用 SAML(安全断言标记语言),该标准允许如 Okta 这样的身份认证平台安全地将授权凭据传递给 Notion 这样的服务提供商。

提示: SAML SSO 只对使用 Notion企业版的 workspace(工作区)可用。

Okta 设置

以下是使用 Okta 设置 Notion SAML SSO 的说明。

创建新的 application integration(应用整合)

1.png

  • Platform(平台):从下拉菜单中选择 Web(网页)
  • Sign on method(登陆方法):选择 SAML 2.0

创建 SAML integration(整合)

2.png

  • App name(应用名称): Notion
  • 你可以上传这一 LOGO 文件

SAML 设置

3.png

  • Single sign on URL(单点登陆 URL): 在 sidebar(侧边栏)的 Settings & Members(设置 & 成员) 中找到 Security & SAML(安全 & SAML) 标签。

4.png

  • Audience URI(目标对象 URI ): https://www.notion.so/sso/saml
  • Name ID format(用户名格式): 在下拉菜单中选择 EmailAddress(邮件地址)
  • Application username(应用用户名): 在下拉菜单中选择 Email(电子邮件)
  • Update application username on(更新应用用户名): 在下拉菜单中选择 Create and Update(创建与更新)

  • Attribute statements(属性语句)(我们建议的映射):

    • firstName → user.firstName
    • lastName → user.lastName
    • profilePhoto → user.profilePhoto profilePhoto

提示: profilePhoto 是可选的自定义字段。如果 Okta 中没有个人资料照片或用户头像字段,则不要为其分配属性。 Okta 中的空白个人资料照片字段不会覆盖 Notion 中设置的头像。

将用户指派到 Notion

在 Okta 的 Assignments(指派) 选项卡中,你可以将用户指派到 Notion 。如果你通过启用 Automatically Create Accounts on Sign-in(登陆时自动创建账户) 选项以使用 Notion 的 Just-in-Time (JIT) 设置,则不需要进行这一步。

Notion 设定

Email domains & metadata URL(电子邮件域 & 元数据 URL )

5.png

  • Email Domains(电子邮件域): 请使用 Security & SAML(安全 & SAML) 标签中 Contact support(获取支持) 的链接以配置启用 SAML SSO 的电子邮件域。
  • IDP Metadata URL( IDP 元数据 URL ): 在这里输入由 Okta 提供的 URL :

6.png

其他设置

7.png

  • Automatically create accounts on sign in(登陆时自动创建账户): 如果要允许所有可以登录的用户自动作为付费 members(成员)添加到 Notion workspace(工作区)中,请启用该选项。
  • Enable SAML(启用 SAML ): 如果关闭此设置,则团队成员将无法使用 SAML 登录。
  • Enforce SAML (强制 SAML ): 启用此功能意味着在配置的域中具有电子邮件地址的用户只能使用 SAML SSO登录。Notion 管理员则仍然可以使用电子邮件登录。

提示: 在我们建议你在强制使用 SAML 之前通知大家这将是可以登陆的唯一途径,并确保他们已将与组织无关的所有 Notion workspace(工作区)绑定的电子邮件地址更改为个人电子邮件。否则,如果他们无法通过 SAML 访问 Notion ,将失去对使用其组织电子邮件的所有 workspace(工作区)的访问权限。

常见问题

  • 我的组织使用的身份验证服务提供商 (IDP)不是 Okta 。Notion 支持吗?

如果你的 IDP 提供了用于动态配置的 SAML 元数据 URL ,则可以按照上述相同的设置步骤进行操作。

  • Notion SAML SSO 如何处理用户配置?

Notion 提供了 Just-in-Time (JIT) 设置以支持启用 Automatically Create Accounts on Sign-in(登陆时自动创建账户) 选项, 。

Notion 目前不提供自动取消布署。这意味着,如果通过 IDP 删除了成员,还需要在 Notion 中通过 sidebar(侧边栏) Settings & Members(设置 & 成员) 中的 Members(成员) 标签删除该用户。

  • 强制 SAML SSO 会注销用户吗?

不会的,活跃的用户会话将保持登录状态直到过期。下次登录时将需要使用 SAML SSO 。

  • 如果我的身份验证服务提供商停止服务,我是否仍可以登录到 Notion?

是的,即使启用了强制 SAML ,Notion 管理员也可以选择使用电子邮件登录。此后,管理员可以更改 SAML 配置以禁用 Enforce SAML(强制 SAML ) ,以便用户可以再次使用电子邮件登录。

  • Notion 支持什么版本的 SAML ?

我们目前支持 SAML v2.0 。

标签: Notion, Notion教程, Notion使用教程, Notion入门教程, Notion高级教程, Notion核心教程, Notion怎么用, Notion使用, Notion配置, Notion技巧, Notion下载, Notion数据库, Notion页面, Notion工作空间, Notion权限, Notion共享, Notion安全