SCIM-Bereitstellung für Benutzer/-innen und Gruppen

Benutzer/-in erstellen und verwalten:

• Workspace-Mitglieder erstellen und entfernen

• Profilinformationen von Mitgliedern ändern

• Workspace-Mitglieder abrufen

  • Mitglieder anhand von E-Mail-Adresse und Namen suchen

Gruppen erstellen und verwalten:

• Workspace-Gruppen erstellen und entfernen

• Gruppenmitglieder hinzufügen und entfernen

• Workspace-Gruppe abrufen

  • Gruppen anhand von Namen suchen

Nicht unterstützt:

• Workspace-Gäste verwalten

Derzeit unterstützt Notion Okta, OneLogin, Rippling, Gusto und benutzerdefinierte SCIM-Anwendungen. Falls du einen anderen Identitätsanbieter nutzt, teile uns das bitte mit.

• Der Workspace gehört zu einem Enterprise Plan.

• Der Identitätsanbieter (IdP) unterstützt das Protokoll SAML 2.0.

• Nur Workspace-Besitzer/-innen können SCIM im Workspace einrichten.

• Mindestens eine Domain wird von einem/-r Workspace-Besitzer/-in bestätigt. Hier findest du weitere Infos zur Domainbestätigung →

Workspace-Besitzer/-innen im Enterprise Plan können unter Einstellungen → Sicherheit und Identität → SCIM-Konfiguration SCIM-API-Token generieren und anzeigen.

• Um einen neuen Token zu generieren, klickst du rechts auf + Neuer Token.

• Für alle Workspace-Besitzer/-innen wird ein eindeutiger Token generiert, den nur der Person selbst anzeigen werden kann.

Verlässt ein/-e Workspace-Besitzer/-in den Workspace oder wechselt die Rolle, wird der Token widerrufen. Die verbleibenden Workspace-Besitzer/-innen erhalten eine automatische Aufforderung, den widerrufenen Token zu ersetzen.

Aktive Token können auch von den Workspace-Besitzer/-innen widerrufen werden. Klicke dazu neben dem jeweiligen Token auf 🗑.

Wird ein Token zurückgezogen, muss dieser in allen vorhandenen Integrationen ersetzt werden.

SCIM-Integration und Bereitstellungen, die den widerrufenen Token nutzen, werden deaktiviert, bis der Token ersetzt wird.

Besitzer/-innen von Workspaces mit Enterprise Plan können über Einstellungen → Identität und Bereitstellung → SCIM-Bereitstellung → Einladungs-E-Mails aus SCIM-Bereitstellung unterdrücken festlegen, ob die Nutzer/-innen Einladungen zu Workspaces und Gruppen per E-Mail erhalten. Aktiviere diese Einstellung, wenn du keine E-Mails an Nutzer/-innen senden möchtest.

• GET /ServiceProviderConfig

  • GET <https://api.notion.com/scim/v2/ServiceProviderConfig>

  • Ruft eine Beschreibung der verfügbaren SCIM-Funktionen ab

  • Die Definitionen finden sich in Abschnitt 5 der SCIM-Protokollspezifikation.

• GET /ResourceTypes

  • GET <https://api.notion.com/scim/v2/ResourceTypes>

  • Ruft eine Liste der verfügbaren SCIM-Ressourcen ab

  • Die Definitionen finden sich in Abschnitt 6 der SCIM-Protokollspezifikation.

Ergänzende Hinweise findest du auch in der Dokumentation im Azure Active Directory Help Center:

• Notion für die automatische Benutzerbereitstellung konfigurieren

Die Azure-SCIM-Einbindung von Notion unterstützt die folgenden Bereitstellungsfunktionen:

• Mitglieder-Konten erstellen

• Entferne Benutzer/-innen

• Synchronisiere Attribute von Benutzer/-innen zwischen Azure AD und Notion.

• Stelle Gruppen und Gruppenmitgliedschaften in Notion bereit.

• Melde dich per SSO bei Notion an (empfohlen).

Schritt 1: Notion für die Unterstützung der Bereitstellung mit Azure AD konfigurieren

• Melde dich bei deinem Notion-Workspace an und klicke 

  unter Einstellungen auf den Tab Identität und Bereitstellung. Scrolle nach unten zum Abschnitt SCIM-Bereitstellung .

• Wenn noch keinen Token generiert wurde, klicke auf 

  + Token hinzufügen und kopiere dann den Token. Diesen Token gibst du später in Schritt 5.5 als geheimen Token ein.

• Die SCIM-Mandanten-URL von Notion, die in Schritt 5.5 zu verwenden ist, lautet https://www.notion.so/scim/v2 .

Schritt 2: Notion aus dem Azure AD-Anwendungskatalog hinzufügen

• Befolge die Anleitung  hier zum Hinzufügen einer Anwendung aus dem Katalog.

Mit dem Azure AD-Bereitstellungsdienst kannst du anhand der Zuweisung zur Anwendung oder aufgrund von Attributen für Benutzer/-innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll.

• Wenn du die Benutzerbereitstellung für deine App zuweisungsbasiert festlegen möchtest, führe die folgenden Schritte aus, um der Anwendung Benutzer/-innen und Gruppen zuzuweisen.

• Wenn du den Bereich, der bereitgestellt wird, ausschließlich anhand der Attribute von Benutzer/-innen oder der Gruppe festlegen möchtest, verwende einen Bereichsfilter, wie hier beschrieben.

Schritt 3: Automatische Benutzerbereitstellung für Notion konfigurieren

• Melde dich im Azure-Portal an. Wähle Unternehmensanwendungen und dann Alle Anwendungen.

• Wähle in der Anwendungsliste Notion aus.

• Gehe auf den Tab Bereitstellung.

• Lege den Bereitstellungsmodus auf Automatisch fest.

• Gib im Bereich Admin-Anmeldeinformationen die Mandanten-URL und den geheimen Token für Notion ein. Klicke auf Verbindung testen, um sicherzustellen, dass Azure AD eine Verbindung mit Notion herstellen kann. Wenn die Verbindung nicht hergestellt werden kann, vergewissere dich, dass dein Notion-Konto über Admin-Berechtigungen verfügt. Versuche es dann erneut.

• Nun klickst du auf Speichern.

• Wähle im Bereich Zuordnungen die Option Azure Active Directory-Benutzer mit Notion synchronisieren aus.

  • Überprüfe im Bereich Attributzuordnungen die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. Wähle  Speichern,  um alle Änderungen zu übernehmen.

• Wähle im Bereich Zuordnungen die Option Azure Active Directory-Gruppen mit Notion synchronisieren aus.

  • Überprüfe im Bereich Attributzuordnungen die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. Wähle  Speichern,  um alle Änderungen zu übernehmen.

• Um den Azure AD-Bereitstellungsdienst für Notion zu aktivieren, ändere im Bereich Einstellungen den Bereitstellungsstatus in Ein.

• Lege die Benutzer/-innen bzw. Gruppen fest, die in Notion bereitgestellt werden sollen. Wähle dazu unter Einstellungen unter Bereich die gewünschten Werte aus.

• Wenn du fertig bist, klicke auf Speichern.

Ergänzende Hinweise findest du auch in der Google Workspace-Admin-Hilfe:

• Mitgliederbereitstellung in Notion konfigurieren

Die Google-SCIM-Integration von Notion unterstützt die folgenden Bereitstellungsfunktionen:

• Mitglieder-Konten erstellen

• Mitgliederattribute ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)

• Mitglieder-Konten deaktivieren (und diese aus Notion-Workspaces löschen)

Schritt 1: Bereitstellung in Notion aktivieren

• Gehe auf Einstellungen -> Identität und Bereitstellung.

• Gehe unten auf SCIM-Konfiguration. Dort werden die verfügbaren SCIM-Token aufgelistet.

• Klicke in der Tabelle mit den SCIM-Token neben einem davon auf Kopieren. Soll ein neues Token erstellt werden, gehst du stattdessen rechts auf Token hinzufügen.

Schritt 2: Bereitstellung in Google konfigurieren

• Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, damit du die entsprechenden Berechtigungen besitzt.

• Führe die in der Google Workspace Admin Hilfe aufgeführten Schritte aus. Beginne dabei mit der Einrichtung der automatischen Nutzerverwaltung für die Notion-Anwendung.

Hier findest du weitere Hilfe zur Einrichtung von Gusto:

• Gusto in Notion integrieren

Schritt 1: Klicke auf „Verbinden“ und befolge die Anweisungen zur Bestätigung deiner Kontoinformationen.

• Gehe in der Seitenleiste auf Einstellungen -> Identität und Bereitstellung.

• Klicke unter „SCIM-Bereitstellung“ auf Token hinzufügen und kopiere den Token.

• Kopiere den Token in das Feld „SCIM API-Schlüssel“ in Gusto und gib die mit deinem Notion-Konto verknüpfte E-Mail-Adresse ein.

Schritt 2: Weise den gewünschten Personen in Gusto Notion-Benutzerkonten zu.

Die Okta-Integration unterstützt die folgenden Bereitstellungsfunktionen:

• Benutzer/-in erstellen

• Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)

• Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)

• Push-Gruppen

Schritt 1: Bereitstellung in Notion aktivieren

• Gehe auf Einstellungen -> Identität und Bereitstellung.

• Scrolle zum Abschnitt Einmalige SAML-Anmeldung (SSO).

• Gehe auf SAML-SSO-Konfiguration bearbeiten.

• Klicke neben der Assertion Consumer Service (ACS)-URL auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

• Gehe zurück zu Einstellungen -> Identität und Bereitstellung und scrolle zum Abschnitt SCIM-Bereitstellung.

• Falls noch kein Token erstellt wurde, klicke auf + Token hinzufügen und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

Schritt 2: Bereitstellung in Okta konfigurieren

• Nun fügst du die Notion-App aus dem App-Verzeichnis von Okta hinzu.

• Wähle in der Ansicht Anmeldeoptionen in der Registerkarte Anmeldung „E-Mail“ als Benutzernamenformat aus.

• Wähle unter BereitstellungAPI-Integration konfigurieren aus und klicke dann das Kontrollkästchen API-Integration aktivieren an.

• Füge den API-Token aus Schritt 1 in das Textfeld API-Token ein und gehe dann auf Speichern.

• Klicke neben Bereitstellung auf Bearbeiten und aktiviere die gewünschten Funktionen.Nun klickst du auf Speichern.

• Nach der Einrichtung der API-Integration öffnest du die Registerkarte Push-Gruppen und fügst über den gleichnamigen Button die Okta-Gruppen hinzu, die mit Notion synchronisiert werden sollen.

Ergänzende Hinweise findest du auch auf der Website von OneLogin:

• Benutzerbereitstellung in Notion

Die OneLogin-Integration unterstützt die folgenden Bereitstellungsfunktionen:

• Benutzer/-in erstellen

• Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)

• Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)

• Regeln zur Zuordnung der OneLogin-Rollen mithilfe von Notion-Berechtigungsgruppen erstellen

Schritt 1: Bereitstellung in Notion aktivieren

• Gehe auf Einstellungen -> Identität und Bereitstellung.

• Scrolle zum Abschnitt Einmalige SAML-Anmeldung (SSO).

• Gehe auf SAML-SSO-Konfiguration bearbeiten.

• Klicke neben der Assertion Consumer Service (ACS)-URL auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

• Gehe zurück zu Einstellungen -> Identität und Bereitstellung und scrolle zum Abschnitt SCIM-Bereitstellung.

• Falls noch kein Token erstellt wurde, klicke auf + Token hinzufügen und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

Schritt 2: Bereitstellung in OneLogin konfigurieren

• Gehe auf Verwaltung → Anwendungen → Anwendungen

• Klicke auf „App hinzufügen“, gib „Notion“ in das Suchfeld ein und wähle dann die Notion-Version SAML 2.0 aus.

• Nun klickst du auf Speichern.

• Öffne den Tab Konfiguration.

• Füge die aus Notion kopierte Assertion Consumer Service (ACL)-URL in das Textfeld Consumer URL ein.

• Füge den SCIM-API-Token in das Textfeld SCIM Bearer Token ein.

• Nun klickst du auf Aktivieren.

• Gehe auf den Tab Bereitstellung.

• Aktiviere unter Workflow die Option Bereitstellung aktivieren.

• Klicke oben rechts auf Speichern.

• (optional) Aktiviere bzw. deaktiviere den Genehmigungsvorbehalt des Admins für die Erstellung, Löschung und Änderung von Benutzer/-innen unter Vor der Ausführung Genehmigung des Admins anfordern.

• (optional) Wähle aus, wie Notion auf die Löschung von Benutzer/-innen aus OneLogin reagieren soll. Du hast die Wahl zwischen „Löschen“ (Benutzer/-in wird aus dem Notion-Workspace entfernt) und „Nichts unternehmen“.

• Klicke oben rechts auf Speichern.

Nähere Erläuterungen findest du hier auf der Website von Rippling:

• Rippling – App Shop – Notion

In der Tabelle wird die Zuordnung von SCIM-Benutzerattributen zu Benutzerprofilfeldern in Notion dargestellt. Alle anderen Benutzerattribute werden ignoriert.

• GET /Users

  • GET <https://api.notion.com/scim/v2/Users>

  • Ruft eine paginierte Liste der Workspace-Mitglieder ab

  • Für die Paginierung eignen sich die Parameter startIndex und count. startIndex ist dabei 1-indiziert.

  • Die Ergebnisse können mit dem Parameter Filter gefiltert werden. Gültige Filterattribute sind email, given_name und family_name. Beispiel: GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq employee@acmecorp.com

  • Bei given_name und family_name sollte man auf die korrekte Groß- und Kleinschreibung achten. E-Mail-Adressen werden in Kleinbuchstaben konvertiert.

• GET /Users/<id>

  • GET <https://api.notion.com/scim/v2/Users/><id>

  • Findet Workspace-Mitglieder anhand ihrer Mitglieder-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format 00000000-0000-0000-0000-000000000000.

  • Achtung: meta.created und meta.lastModified geben keine aussagekräftigen Zeitstempelwerte wieder.

• POST /Users

  • POST <https://api.notion.com/scim/v2/Users>

  • Besitzt ein neu hinzugefügter Person bereits ein Notion-Konto mit derselben E-Mail-Adresse, wird sie deinem Workspace hinzugefügt.

  • Wenn die Person noch kein Konto hat, wird automatisch ein neues Mitglieds-Konto erstellt, in deinen Workspace aufgenommen und dem neu erstellten Profil hinzugefügt.

• PATCH /Users/<id>

  • PATCH <https://api.notion.com/scim/v2/Users/><id>

  • Mehrstufige Aktualisierung und anschließende Erstellung des geänderten Benutzerdatensatzes

• PUT /Users/<id>

  • PUT <https://api.notion.com/scim/v2/Users/><id>

  • Aktualisierung und Ausgabe des geänderten Benutzerdatensatzes

• DELETE /Users/<id>

  • DELETE <https://api.notion.com/scim/v2/Users/><id>

  • Entfernt Benutzer/-innen aus dem Workspace. Die betroffene Person wird dabei von allen laufenden Sitzungen abgemeldet.

    • Das Benutzerkonto kann nicht über SCIM gelöscht werden. Konten müssen immer manuell gelöscht werden.

    • Benutzer/-innen können auch aus deinem Workspace entfernt werden, indem du das aktive Benutzerattribut auf falsch setzt. Hierzu musst du eine PATCH /Users/<id>- oder eine PUT /Users/<id>-Anfrage senden.

• GET /Groups

  • GET <https://api.notion.com/scim/v2/Groups>

  • Ruft eine paginierte Liste der Workspace-Gruppen ab

  • Für die Nummerierung eignen sich die Parameter startIndex und count. Beachte, dass startIndex 1-indiziert ist und count einen Höchstwert von 100 hat, z. B. GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>

    • Wenn die Nummerierung nicht verwendet wird, werden in einer Anfrage maximal 100 Workspace-Gruppen herausgegeben.

  • Die Ergebnisse können mit dem Parameter Filter gefiltert werden. Gruppen können anhand des displayName-Attributs gefiltert werden. Beispiel: GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers

• GET /Groups/<id>

  • GET <https://api.notion.com/scim/v2/Groups/><id>

  • Findet Workspace-Mitglieder anhand ihrer Gruppen-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format 00000000-0000-0000-0000-000000000000.

• POST /Groups

  • POST <https://api.notion.com/scim/v2/Groups>

  • Erstellt eine neue Workspace-Gruppe

• PATCH /Groups/<id>

  • PATCH <https://api.notion.com/scim/v2/Groups/><id>

  • Mehrstufige Aktualisierung der Workspace-Gruppe

• PUT /Groups/<id>

  • PUT <https://api.notion.com/scim/v2/Groups/><id>

  • Aktualisiert die Workspace-Gruppe

• DELETE /Groups/<id>

  • DELETE <https://api.notion.com/scim/v2/Groups/><id>

  • Löscht die Workspace-Gruppe