SCIM-Bereitstellung für Benutzer/-innen und Gruppen
Benutzer/-innen und Gruppen können in Notion mit dem API-Standard „System for Cross-domain Identity Management“ bereitgestellt und verwaltet werden 🔑
Benutzer/-in erstellen und verwalten:
Workspace-Mitglieder erstellen und entfernen
Profilinformationen von Mitgliedern ändern
Workspace-Mitglieder abrufen
Mitglieder anhand von E-Mail-Adresse und Namen suchen
Gruppen erstellen und verwalten:
Workspace-Gruppen erstellen und entfernen
Gruppenmitglieder hinzufügen und entfernen
Workspace-Gruppe abrufen
Gruppen anhand von Namen suchen
Nicht unterstützt:
Workspace-Gäste verwalten
Derzeit unterstützt Notion Okta, OneLogin, Rippling, Gusto und benutzerdefinierte SCIM-Anwendungen. Falls du einen anderen Identitätsanbieter nutzt, teile uns das bitte mit.
SCIM bei Notion – Voraussetzungen
Der Workspace gehört zu einem Enterprise Plan.
Der Identitätsanbieter (IdP) unterstützt das Protokoll SAML 2.0.
Nur Workspace-Besitzer/-innen können SCIM im Workspace einrichten.
Wenn du SCIM verwenden möchtest, um den Namen oder die E-Mail-Adresse von Nutzer/-innen zu ändern, musst du nachweisen, dass du Eigentümer/-in ihrer E-Mail-Domain bist. Hier erfährst du mehr über die Domain-Verifizierung →
SCIM-API-Token generieren
Workspace-Besitzer/-innen im Enterprise Plan können unter Einstellungen
→ Sicherheit und Identität
→ SCIM-Konfiguration
SCIM-API-Token generieren und anzeigen.
Um einen neuen Token zu generieren, klickst du rechts auf
+ Neuer Token
.Für alle Workspace-Besitzer/-innen wird ein eindeutiger Token generiert, den nur der Person selbst anzeigen werden kann.
Token widerrufen
Verlässt ein/-e Workspace-Besitzer/-in den Workspace oder wechselt die Rolle, wird der Token widerrufen. Die verbleibenden Workspace-Besitzer/-innen erhalten eine automatische Aufforderung, den widerrufenen Token zu ersetzen.
Aktive Token können auch von den Workspace-Besitzer/-innen widerrufen werden. Klicke dazu neben dem jeweiligen Token auf 🗑
.
Token ersetzen
Wird ein Token zurückgezogen, muss dieser in allen vorhandenen Integrationen ersetzt werden.
SCIM-Integration und Bereitstellungen, die den widerrufenen Token nutzen, werden deaktiviert, bis der Token ersetzt wird.
Hinweis: Um andere Integrationen nicht zu beeinträchtigen, sollte man vor der Bereitstellungsaufhebung von Admins alle entsprechenden Tokens ersetzen.
Einladungs-E-Mails unterdrücken
Besitzer/-innen von Workspaces mit Enterprise Plan können über Einstellungen
→ Identität und Bereitstellung
→ SCIM-Bereitstellung
→ Einladungs-E-Mails aus SCIM-Bereitstellung unterdrücken
festlegen, ob die Nutzer/-innen Einladungen zu Workspaces und Gruppen per E-Mail erhalten. Aktiviere diese Einstellung, wenn du keine E-Mails an Nutzer/-innen senden möchtest.
GET /ServiceProviderConfig
GET <https://api.notion.com/scim/v2/ServiceProviderConfig>
Ruft eine Beschreibung der verfügbaren SCIM-Funktionen ab
Die Definitionen finden sich in Abschnitt 5 der SCIM-Protokollspezifikation.
GET /ResourceTypes
GET <https://api.notion.com/scim/v2/ResourceTypes>
Ruft eine Liste der verfügbaren SCIM-Ressourcen ab
Die Definitionen finden sich in Abschnitt 6 der SCIM-Protokollspezifikation.
Azure
Ergänzende Hinweise findest du auch in der Dokumentation im Azure Active Directory Help Center:
Die Azure-SCIM-Einbindung von Notion unterstützt die folgenden Bereitstellungsfunktionen:
Mitglieder-Konten erstellen
Entferne Benutzer/-innen
Synchronisiere Attribute von Benutzer/-innen zwischen Azure AD und Notion.
Stelle Gruppen und Gruppenmitgliedschaften in Notion bereit.
Melde dich per SSO bei Notion an (empfohlen).
Hinweis: Weitere Informationen zur Bereitstellungsplanung findest du in der Azure-Dokumentation.
Schritt 1: Notion für die Unterstützung der Bereitstellung mit Azure AD konfigurieren
Melde dich bei deinem Notion-Workspace an und klicke
unter
Einstellungen
auf den TabIdentität und Bereitstellung
. Scrolle nach unten zum AbschnittSCIM-Bereitstellung
.Wenn noch keinen Token generiert wurde, klicke auf
+ Token hinzufügen
und kopiere dann den Token. Diesen Token gibst du später in Schritt 5.5 als geheimen Token ein.Die SCIM-Mandanten-URL von Notion, die in Schritt 5.5 zu verwenden ist, lautet https://www.notion.so/scim/v2 .
Schritt 2: Notion aus dem Azure AD-Anwendungskatalog hinzufügen
Befolge die Anleitung hier zum Hinzufügen einer Anwendung aus dem Katalog.
Mit dem Azure AD-Bereitstellungsdienst kannst du anhand der Zuweisung zur Anwendung oder aufgrund von Attributen für Benutzer/-innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll.
Wenn du die Benutzerbereitstellung für deine App zuweisungsbasiert festlegen möchtest, führe die folgenden Schritte aus, um der Anwendung Benutzer/-innen und Gruppen zuzuweisen.
Wenn du den Bereich, der bereitgestellt wird, ausschließlich anhand der Attribute von Benutzer/-innen oder der Gruppe festlegen möchtest, verwende einen Bereichsfilter, wie hier beschrieben.
Schritt 3: Automatische Benutzerbereitstellung für Notion konfigurieren
Melde dich im Azure-Portal an. Wähle
Unternehmensanwendungen
und dannAlle Anwendungen
.Wähle in der Anwendungsliste
Notion
aus.Gehe auf den Tab
Bereitstellung
.Lege den
Bereitstellungsmodus
aufAutomatisch
fest.Gib im Bereich
Admin-Anmeldeinformationen
die Mandanten-URL und den geheimen Token für Notion ein. Klicke aufVerbindung testen
, um sicherzustellen, dass Azure AD eine Verbindung mit Notion herstellen kann. Wenn die Verbindung nicht hergestellt werden kann, vergewissere dich, dass dein Notion-Konto über Admin-Berechtigungen verfügt. Versuche es dann erneut.Nun klickst du auf
Speichern
.Wähle im Bereich
Zuordnungen
die OptionAzure Active Directory-Benutzer mit Notion synchronisieren
aus.Überprüfe im Bereich
Attributzuordnungen
die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. WähleSpeichern
, um alle Änderungen zu übernehmen.
Wähle im Bereich
Zuordnungen
die OptionAzure Active Directory-Gruppen mit Notion synchronisieren
aus.Überprüfe im Bereich
Attributzuordnungen
die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. WähleSpeichern
, um alle Änderungen zu übernehmen.
Um den Azure AD-Bereitstellungsdienst für Notion zu aktivieren, ändere im Bereich
Einstellungen
denBereitstellungsstatus
inEin
.Lege die Benutzer/-innen bzw. Gruppen fest, die in Notion bereitgestellt werden sollen. Wähle dazu unter
Einstellungen
unterBereich
die gewünschten Werte aus.Wenn du fertig bist, klicke auf
Speichern
.
Hinweis: Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer/-innen und Gruppen gestartet, die im Abschnitt Einstellungen
unter Bereich
definiert wurden.
Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Azure AD-Bereitstellungsdienst ausgeführt wird.
Ergänzende Hinweise findest du auch in der Google Workspace-Admin-Hilfe:
Die Google-SCIM-Integration von Notion unterstützt die folgenden Bereitstellungsfunktionen:
Mitglieder-Konten erstellen
Mitgliederattribute ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)
Mitglieder-Konten deaktivieren (und diese aus Notion-Workspaces löschen)
Hinweis: Die SCIM-Integration von Google unterstützt weder gruppenweite Bereitstellungen noch deren Aufhebung.
Schritt 1: Bereitstellung in Notion aktivieren
Gehe auf
Einstellungen
->Identität und Bereitstellung
.Gehe unten auf
SCIM-Konfiguration
. Dort werden die verfügbaren SCIM-Token aufgelistet.Klicke in der Tabelle mit den SCIM-Token neben einem davon auf
Kopieren
. Soll ein neues Token erstellt werden, gehst du stattdessen rechts aufToken hinzufügen
.
Schritt 2: Bereitstellung in Google konfigurieren
Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, damit du die entsprechenden Berechtigungen besitzt.
Führe die in der Google Workspace Admin Hilfe aufgeführten Schritte aus. Beginne dabei mit der Einrichtung der automatischen Nutzerverwaltung für die Notion-Anwendung.
Gusto
Hier findest du weitere Hilfe zur Einrichtung von Gusto:
Schritt 1: Klicke auf „Verbinden“ und befolge die Anweisungen zur Bestätigung deiner Kontoinformationen.
Gehe in der Seitenleiste auf
Einstellungen
->Identität und Bereitstellung
.Klicke unter „SCIM-Bereitstellung“ auf
Token hinzufügen
und kopiere den Token.Kopiere den Token in das Feld „SCIM API-Schlüssel“ in Gusto und gib die mit deinem Notion-Konto verknüpfte E-Mail-Adresse ein.
Schritt 2: Weise den gewünschten Personen in Gusto Notion-Benutzerkonten zu.
Okta
Die Okta-Integration unterstützt die folgenden Bereitstellungsfunktionen:
Benutzer/-in erstellen
Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)
Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)
Push-Gruppen
Schritt 1: Bereitstellung in Notion aktivieren
Gehe auf Einstellungen -> Identität und Bereitstellung.
Scrolle zum Abschnitt Einmalige SAML-Anmeldung (SSO).
Gehe auf SAML-SSO-Konfiguration bearbeiten.
Klicke neben der Assertion Consumer Service (ACS)-URL auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.
Gehe zurück zu Einstellungen -> Identität und Bereitstellung und scrolle zum Abschnitt SCIM-Bereitstellung.
Falls noch kein Token erstellt wurde, klicke auf + Token hinzufügen und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.
Schritt 2: Bereitstellung in Okta konfigurieren
Nun fügst du die Notion-App aus dem App-Verzeichnis von Okta hinzu.
Wähle in der Ansicht Anmeldeoptionen in der Registerkarte Anmeldung „E-Mail“ als Benutzernamenformat aus.
Wähle unter BereitstellungAPI-Integration konfigurieren aus und klicke dann das Kontrollkästchen API-Integration aktivieren an.
Füge den API-Token aus Schritt 1 in das Textfeld API-Token ein und gehe dann auf Speichern.
Klicke neben Bereitstellung auf Bearbeiten und aktiviere die gewünschten Funktionen.Nun klickst du auf Speichern.
Nach der Einrichtung der API-Integration öffnest du die Registerkarte Push-Gruppen und fügst über den gleichnamigen Button die Okta-Gruppen hinzu, die mit Notion synchronisiert werden sollen.
Hinweis: Wenn Benutzer/-innen oder /Gruppen über eine vorhandene SCIM-Konfiguration geändert werden, sollte die Notion-App nicht aus Okta entfernt werden. Denn dadurch werden alle erstellten Benutzer/-innen aus dem Workspace entfernt.
OneLogin
Ergänzende Hinweise findest du auch auf der Website von OneLogin:
Die OneLogin-Integration unterstützt die folgenden Bereitstellungsfunktionen:
Benutzer/-in erstellen
Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)
Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)
Regeln zur Zuordnung der OneLogin-Rollen mithilfe von Notion-Berechtigungsgruppen erstellen
Hinweis: Soll die Benutzerbereitstellung über OneLogin erfolgen, muss SCIM vor SSO konfiguriert werden.
Schritt 1: Bereitstellung in Notion aktivieren
Gehe auf Einstellungen -> Identität und Bereitstellung.
Scrolle zum Abschnitt Einmalige SAML-Anmeldung (SSO).
Gehe auf SAML-SSO-Konfiguration bearbeiten.
Klicke neben der Assertion Consumer Service (ACS)-URL auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.
Gehe zurück zu Einstellungen -> Identität und Bereitstellung und scrolle zum Abschnitt SCIM-Bereitstellung.
Falls noch kein Token erstellt wurde, klicke auf + Token hinzufügen und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.
Hinweis: Workspace-Besitzer/-innen können nur von ihnen selbst erzeugt Token kopieren und verwenden. Hat bereits eine andere Person einen Token erstellt, solltest du dich erkundigen, ob ein weiterer Token überhaupt notwendig ist. Verlässt die Person, die den Token erstellt hat, den Workspace oder wird zu einem gewöhnlichen Mitglied herabgestuft, verlieren diese Token ihre Gültigkeit.
Schritt 2: Bereitstellung in OneLogin konfigurieren
Gehe auf Verwaltung → Anwendungen → Anwendungen
Klicke auf „App hinzufügen“, gib „Notion“ in das Suchfeld ein und wähle dann die Notion-Version SAML 2.0 aus.
Nun klickst du auf Speichern.
Öffne den Tab Konfiguration.
Füge die aus Notion kopierte Assertion Consumer Service (ACL)-URL in das Textfeld Consumer URL ein.
Füge den SCIM-API-Token in das Textfeld SCIM Bearer Token ein.
Nun klickst du auf Aktivieren.
Gehe auf den Tab Bereitstellung.
Aktiviere unter Workflow die Option Bereitstellung aktivieren.
Klicke oben rechts auf Speichern.
(optional) Aktiviere bzw. deaktiviere den Genehmigungsvorbehalt des Admins für die Erstellung, Löschung und Änderung von Benutzer/-innen unter Vor der Ausführung Genehmigung des Admins anfordern.
(optional) Wähle aus, wie Notion auf die Löschung von Benutzer/-innen aus OneLogin reagieren soll. Du hast die Wahl zwischen „Löschen“ (Benutzer/-in wird aus dem Notion-Workspace entfernt) und „Nichts unternehmen“.
Klicke oben rechts auf Speichern.
Rippling
Nähere Erläuterungen findest du hier auf der Website von Rippling:
In der Tabelle wird die Zuordnung von SCIM-Benutzerattributen zu Benutzerprofilfeldern in Notion dargestellt. Alle anderen Benutzerattribute werden ignoriert.
GET /Users
GET <https://api.notion.com/scim/v2/Users>
Ruft eine paginierte Liste der Workspace-Mitglieder ab
Für die Paginierung eignen sich die Parameter
startIndex
undcount
.startIndex
ist dabei 1-indiziert.Die Ergebnisse können mit dem Parameter
Filter
gefiltert werden. Gültige Filterattribute sindemail
,given_name
undfamily_name
. Beispiel:GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq employee@acmecorp.com
Bei
given_name
undfamily_name
sollte man auf die korrekte Groß- und Kleinschreibung achten. E-Mail-Adressen werden in Kleinbuchstaben konvertiert.
GET /Users/<id>
GET <https://api.notion.com/scim/v2/Users/><id>
Findet Workspace-Mitglieder anhand ihrer Mitglieder-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format
00000000-0000-0000-0000-000000000000
.Achtung:
meta.created
undmeta.lastModified
geben keine aussagekräftigen Zeitstempelwerte wieder.
POST /Users
POST <https://api.notion.com/scim/v2/Users>
Besitzt ein neu hinzugefügter Person bereits ein Notion-Konto mit derselben E-Mail-Adresse, wird sie deinem Workspace hinzugefügt.
Wenn die Person noch kein Konto hat, wird automatisch ein neues Mitglieds-Konto erstellt, in deinen Workspace aufgenommen und dem neu erstellten Profil hinzugefügt.
PATCH /Users/<id>
PATCH <https://api.notion.com/scim/v2/Users/><id>
Mehrstufige Aktualisierung und anschließende Erstellung des geänderten Benutzerdatensatzes
Hinweis: Du kannst Profildaten von Mitgliedern nur dann ändern, wenn du verifizierte/-r Inhaber/-in der verwendeten E-Mail-Domain des Mitglieds bist. (Diese ist meist mit der E-Mail-Domain identisch, die für SAML-SSO eingerichtet wurde). Verifiziere deine Domain anhand der Anweisungen hier →
PUT /Users/<id>
PUT <https://api.notion.com/scim/v2/Users/><id>
Update und Ausgabe des geänderten Benutzerdatensatzes.
DELETE /Users/<id>
DELETE <https://api.notion.com/scim/v2/Users/><id>
Entfernt Benutzer/-innen aus dem Workspace. Die betroffene Person wird dabei von allen laufenden Sitzungen abgemeldet.
Das Benutzerkonto kann nicht über SCIM gelöscht werden. Konten müssen immer manuell gelöscht werden.
Benutzer/-innen können auch aus deinem Workspace entfernt werden, indem du das
aktive
Benutzerattribut auffalsch
setzt. Hierzu musst du einePATCH /Users/<id>
- oder einePUT /Users/<id>
-Anfrage senden.
Hinweis: Die Person, die für den Workspace verantwortlich ist und das SCIM-Bot-Token erstellt hat, kann nicht über die API entfernt werden.Geschieht dies dennoch, werden alle von ihr erstellten Token widerrufen und alle Integrationen, die den jeweiligen Bot verwenden, werden unterbrochen.
GET /Groups
GET <https://api.notion.com/scim/v2/Groups>
Ruft eine paginierte Liste der Workspace-Gruppen ab
Für die Nummerierung eignen sich die Parameter
startIndex
undcount
. Beachte, dassstartIndex
1-indiziert ist und count einen Höchstwert von 100 hat, z. B.GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>
Wenn die Nummerierung nicht verwendet wird, werden in einer Anfrage maximal 100 Workspace-Gruppen herausgegeben.
Die Ergebnisse können mit dem Parameter
Filter
gefiltert werden. Gruppen können anhand desdisplayName
-Attributs gefiltert werden. Beispiel:GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
GET /Groups/<id>
GET <https://api.notion.com/scim/v2/Groups/><id>
Findet Workspace-Mitglieder anhand ihrer Gruppen-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format
00000000-0000-0000-0000-000000000000
.
POST /Groups
POST <https://api.notion.com/scim/v2/Groups>
Erstellt eine neue Workspace-Gruppe
PATCH /Groups/<id>
PATCH <https://api.notion.com/scim/v2/Groups/><id>
Mehrstufige Aktualisierung der Workspace-Gruppe
PUT /Groups/<id>
PUT <https://api.notion.com/scim/v2/Groups/><id>
Aktualisiert die Workspace-Gruppe
DELETE /Groups/<id>
DELETE <https://api.notion.com/scim/v2/Groups/><id>
Löscht die Workspace-Gruppe
Hinweis: Gruppen können nicht gelöscht werden, wenn anschließend niemand mehr vollen Zugriff auf eine oder mehrere Seiten hätte.