Aprovisionar usuarios y grupos con SCIM
Puedes aprovisionar y gestionar usuarios y grupos en el espacio de trabajo de Notion mediante el estándar API de SCIM («Sistema de gestión de identidades entre dominios») 🔑
Aprovisionamiento y gestión de usuarios:
Crea y elimina miembros del espacio de trabajo.
Actualiza la información del perfil de los miembros.
Recupera miembros del espacio de trabajo.
Encuentra miembros por correo electrónico o por nombre.
Aprovisionamiento y gestión de grupos
Crea y elimina grupos del espacio de trabajo.
Añade y elimina miembros de cualquier grupo.
Recupera grupos del espacio de trabajo.
Encuentra grupos por nombre.
No compatible:
Gestión de invitados del espacio de trabajo.
En este momento Notion es compatible con Okta, OneLogin, Rippling, Gusto y aplicaciones de SCIM personalizadas. Si utilizas otro proveedor de identidad, ponte en contacto con nosotros.
Requisitos para usar el SCIM con Notion
El espacio de trabajo debe pertenecer a un plan Empresa.
El proveedor de identidades (IDP) debe ser compatible con el protocolo SAML 2.0.
Solo el propietario del espacio puede configurar el SCIM de un espacio de trabajo de Notion.
Si deseas utilizar SCIM para modificar el nombre o la dirección de correo electrónico de un usuario, debes haber verificado la propiedad de su dominio de correo electrónico. Más información sobre la verificación de dominios →
Genera tu token de la API de SCIM
Los propietarios del espacio de trabajo de un plan Enterprise pueden generar y ver los token de la API de SCIM desde Configuración y miembros
→ Seguridad y SAML
→ Configuración de SCIM
.
Para generar un nuevo token, haz clic en el botón
+ Nuevo token
en la esquina derecha.Se genera un token único para cada propietario del espacio de trabajo que solo esa persona puede ver.
Revocar token
Cuando un propietario de un espacio de trabajo abandona el espacio de trabajo o se cambia su rol, se revocará su token. Cuando esto ocurra, se enviará un mensaje automático al resto de los propietarios de espacios de trabajo para avisarles de que deben sustituir el token revocado.
Además, cualquiera de los propietarios del espacio de trabajo puede revocar los tokens activos. Para revocar un token, haz clic en 🗑
junto al token correspondiente.
Reemplazar token existentes
Si se revoca un token, deberás reemplazarlo en cualquier integración existente.
Cualquier integración de SCIM y aprovisionamiento de usuarios que dependa del token revocado se desactivará hasta que sea reemplazado por un token activo.
Nota: para evitar romper las integraciones existentes, asegúrate de reemplazar cualquier token asociado a un administrador antes del desaprovisionamiento.
Suprimir correos electrónicos de invitación
Para controlar si los usuarios recibirán invitaciones a espacios de trabajo y grupos por correo electrónico cuando se aprovisionen mediante SCIM, los propietarios de espacios de trabajo del plan Enterprise pueden ir a Configuración y miembros
→ Identidad y aprovisionamiento
→ Aprovisionamiento SCIM
→ Suprimir correos electrónicos de invitación del aprovisionamiento SCIM
. Activa esta opción si no deseas enviar correos electrónicos a los usuarios.
GET /ServiceProviderConfig
GET <https://api.notion.com/scim/v2/ServiceProviderConfig>
Recupera una descripción de las funciones de la especificación SCIM disponibles.
Según definición de la Sección 5 de la especificación del protocolo SCIM.
GET /ResourceTypes
GET <https://api.notion.com/scim/v2/ResourceTypes>
Recupera una lista de los tipos de recursos de SCIM disponibles.
Según definición de la Sección 6 de la especificación del protocolo SCIM.
Azure
Si necesitas más instrucciones, también puedes consultar la documentación del centro de ayuda de Azure Active Directory:
La integración de SCIM para Azure de Notion es compatible con las siguientes funciones de aprovisionamiento:
Crear usuarios
Eliminar usuarios
Mantener los atributos de usuario sincronizados entre Azure AD y Notion
Aprovisionar grupos e incorporaciones de grupos en Notion
Inicio de sesión único en Notion (recomendado)
Nota: Consulta la documentación de Azure para obtener más información sobre cómo planificar la implementación del aprovisionamiento.
Paso 1: Configurar Notion para que admita el aprovisionamiento con Azure AD
Inicia sesión en tu espacio de trabajo de Notion, accede a la pestaña
Configuración y miembros
→Identidad y aprovisionamiento
y desplázate hacia abajo hasta la secciónAprovisionamiento de SCIM
.Si aún no se ha generado un token, haz clic en
+ Añadir token
y copia el token. En el paso 5.5 introducirás este token como token secreto.La URL de inquilino de SCIM de Notion es https://www.notion.so/scim/v2; la utilizarás en el paso 5.5.
Paso 2: Añadir Notion desde la galería de aplicaciones de Azure AD
Sigue las instrucciones que encontrarás aquí para añadir una aplicación desde la galería.
El servicio de aprovisionamiento de Azure AD permite determinar quién se aprovisionará en función de la asignación a la aplicación, de los atributos del usuario/grupo o de ambas cosas.
Si eliges que el aprovisionamiento en tu app se determine en función de la asignación, puedes seguir los siguientes pasos para asignar usuarios y grupos a la aplicación.
Si eliges que el aprovisionamiento se determine únicamente en función de los atributos del usuario o grupo, puedes utilizar un filtro de ámbito como se describe aquí.
Paso 3: Configurar el aprovisionamiento automático de usuarios en Notion
Inicia sesión en el portal de Azure. Selecciona
Aplicaciones empresariales
y, después,Todas las aplicaciones
.En la lista de aplicaciones, selecciona
Notion
.Selecciona la pestaña
Aprovisionamiento
.Establece el
Modo de aprovisionamiento
comoAutomático
.En la sección
Credenciales de administrador
, introduce la URL de inquilino y el token secreto de Notion. Haz clic enProbar conexión
para asegurarte de que Azure AD pueda conectar con Notion. Si la conexión falla, asegúrate de que tu cuenta de Notion tenga permisos de administrador y vuelve a intentarlo.Selecciona
Guardar
.En la sección
Asignaciones
, seleccionaSincronizar usuarios de Azure Active Directory con Notion
.Revisa los atributos de usuario que se sincronizan entre Azure AD y Notion en la sección
Asignación de atributos
. Selecciona el botónGuardar
para confirmar los cambios.
En la sección
Asignaciones
, seleccionaSincronizar grupos de Azure Active Directory con Notion
.Revisa los atributos de grupo que se sincronizan entre Azure AD y Notion en la sección
Asignación de atributos
. Selecciona el botónGuardar
para confirmar los cambios.
Para activar el servicio de aprovisionamiento de Azure AD para Notion, cambia el
Estado de aprovisionamiento
aActivado
en la secciónConfiguración
.Define los usuarios y los grupos que quieras aprovisionar en Notion; para ello, elige los valores que desees en
Ámbito
, dentro de la secciónConfiguración
.Cuando estés listo para realizar el aprovisionamiento, haz clic en
Guardar
.
Nota: Esta operación inicia el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Ámbito
, dentro de la sección Configuración
.
El ciclo inicial tarda más en ejecutarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos mientras se esté ejecutando el servicio de aprovisionamiento de Azure AD.
Si necesitas instrucciones adicionales, también puedes consultar los pasos que figuran en el centro de ayuda de administración de Google Workspace:
La integración Google SCIM de Notion es compatible con las siguientes funciones de aprovisionamiento:
Crear usuarios
Actualizar los atributos de los usuarios (si el usuario tiene un dominio de correo electrónico perteneciente a la organización)
Desactivar usuarios (esta función elimina los usuarios de los espacios de trabajo de Notion)
Nota: La integración de SCIM de Google no es compatible con el aprovisionamiento y desaprovisionamiento de grupos.
Paso 1: Habilitar el aprovisionamiento de usuarios en Notion
Dirígete a
Configuración y miembros
y selecciona la pestañaIdentidad y aprovisionamiento
.Navega hasta la sección
configuración de SCIM
, donde podrás ver tus tokens SCIM disponibles.En la tabla de tokens SCIM, haz clic en
Copiar
junto a un token existente O BIEN haz clic enAñadir token
en la esquina derecha para crear uno nuevo.
Paso 2: Configurar el aprovisionamiento en Google
Inicia sesión en una cuenta de administrador para asegurarte de que tu cuenta de usuario tiene los permisos adecuados
Sigue los pasos que se muestran en la Ayuda de administrador de Google Workspace a partir del paso Configurar el aprovisionamiento automático para la aplicación Notion.
Gusto
Consulta Gusto para obtener ayuda más detallada durante el proceso de configuración:
Paso 1: Haz clic en Conectar y sigue las instrucciones para verificar las credenciales de tu cuenta.
En la barra lateral de Notion, dirígete a
Configuración y miembros
->Identidad y aprovisionamiento
.Dentro de aprovisionamiento con SCIM, haz clic en
Añadir token
y copia el token.Dentro de Gusto, pega el token en el campo de la clave de API de SCIM e introduce el correo electrónico de tu cuenta de Notion.
Paso 2: Asocia las cuentas de usuario de Notion con los miembros de tu equipo en Gusto.
Okta
La integración Okta de Notion es compatible con las siguientes funciones de aprovisionamiento:
Crear usuarios
Actualizar los atributos de los usuarios (si el usuario tiene un dominio de correo electrónico perteneciente a la organización)
Desactivar usuarios (esta función elimina los usuarios del espacio de trabajo de Notion)
Grupos Push
Paso 1: Habilitar aprovisionamiento en Notion
Dirígete a la pestaña Configuración y miembros y selecciona la pestaña Identidad y aprovisionamiento.
Desplázate hacia abajo hasta la sección Inicio de sesión único (SSO) de SAML.
Abre el botón Editar configuración de SAML SSO.
Haz clic en copiar enlace junto a la URL del ACS (Assertion Consumer Service). Pégalo en algún lugar para poder recuperarlo más tarde.
Dirígete a Configuración y miembros → Identidad y aprovisionamiento y desplázate hacia abajo hasta la sección Aprovisionamiento con SCIM.
Si aún no se ha generado un token, haz clic en + Añadir token y cópialo. Pégalo en algún lugar para poder recuperarlo más tarde.
Paso 2: Configurar el aprovisionamiento en Okta
Añade la aplicación Notion desde el catálogo de aplicaciones de Okta.
En la vista Opciones de inicio de sesión, selecciona Correo electrónico para el formato del Nombre de usuario de la aplicación en la pestaña Aplicación de inicio de sesión.
En la pestaña Aprovisionamiento, selecciona Configurar integración de API y haz clic en la casilla Habilitar integración con API.
Introduce el token de la API de SCIM de Notion que copiaste en el Paso 1 en el cuadro de texto del token de la API y selecciona Guardar.
Haz clic en el botón Editar, junto al encabezado Aprovisionamiento a la app, y habilita tus funciones preferidas: Crear usuarios, Actualizar atributos de usuario o Desactivar usuarios. Haz clic en Guardar.
Tras configurar la integración de la API, abre la pestaña Grupos Push y añade los grupos de Okta que quieras sincronizar con Notion desde el botón Grupos Push.
Nota: Al actualizar los usuarios o grupos mediante una configuración de SCIM existente, NO elimines la aplicación Notion de Okta. De hacerlo, eliminarás todos los usuarios aprovisionados desde el espacio de trabajo.
OneLogin
Si precisas documentación adicional, también puedes consultar los pasos que figuran en el sitio web de OneLogin, aquí:
La integración OneLogin de Notion es compatible con las siguientes funciones de aprovisionamiento:
Crear usuarios
Actualizar los atributos de los usuarios (si el usuario tiene un dominio de correo electrónico perteneciente a la organización)
Desactivar usuarios (esta función elimina los usuarios del espacio de trabajo de Notion)
Crear reglas para asignar roles de OneLogin con grupos de permisos en Notion
Nota: Si tienes intención de aprovisionar usuarios a Notion con OneLogin, procura configurar SCIM antes de configurar la SSO.
Paso 1: Habilitar aprovisionamiento en Notion
Dirígete a la pestaña Configuración y miembros y selecciona la pestaña Identidad y aprovisionamiento.
Baja a la sección Inicio de sesión único (SSO) de SAML.
Abre el botón Editar configuración de SAML SSO.
Haz clic en copiar enlace junto a la URL del ACS (Assertion Consumer Service). Pégalo en algún lugar para poder recuperarlo más tarde.
Dirígete a Configuración y miembros → Identidad y aprovisionamiento y desplázate hacia abajo hasta la sección Aprovisionamiento con SCIM.
Si aún no se ha generado un token, haz clic en + Añadir token y cópialo. Pégalo en algún lugar para poder recuperarlo más tarde.
Nota: los propietarios del espacio de trabajo solo pueden copiar y usar tokens que ellos hayan generado. Si un token ha sido creado por otro propietario del espacio de trabajo, puedes coordinarte para determinar si se necesita otro token. Todos los tokens que haya generado un propietario del espacio de trabajo caducarán cuando el propietario del espacio de trabajo salga o pase a la categoría de miembro.
Paso 2: Configurar el aprovisionamiento en OneLogin
Dirígete a Administración → Aplicaciones → Aplicaciones.
Haz clic en el botón «Añadir aplicación»; busca «Notion» en el cuadro de búsqueda y selecciona la versión SAML 2.0 de Notion.
Haz clic en Guardar.
Dirígete a la pestaña Configuraciones.
Pega la URL del ACS (Assertion Consumer Service) en el cuadro de texto de la URL del consumidor.
Pega el token de la API de SCIM en el cuadro de texto de token de portador SCIM.
Haz clic en Habilitar.
Dirígete a la pestaña Aprovisionamiento.
Marca Habilitar aprovisionamiento en el Flujo de trabajo.
Haz clic en el botón Guardar en la esquina superior derecha.
(opcional) Habilita o inhabilita el requisito de aprobación del administrador para crear, eliminar o actualizar usuarios en Solicitar aprobación del administrador antes de realizar esta acción.
(opcional) Selecciona qué ocurre con un usuario en Notion cuando se elimina de OneLogin. Elija entre «Eliminar» (elimina al usuario del espacio de trabajo de Notion) o «No hacer nada».
Haz clic en el botón Guardar en la esquina superior derecha.
Rippling
Si necesitas documentación más detallada, consulta el sitio web de Rippling aquí:
La siguiente tabla muestra el mapeo entre los atributos de usuario de SCIM y los campos del perfil de usuario de Notion. Se ignorarán el resto de atributos de usuario.
GET /Users
GET <https://api.notion.com/scim/v2/Users>
Recupera una lista paginada de miembros del espacio de trabajo.
Puedes paginar mediante los parámetros
startIndex
ycount
. Ten en cuenta que el parámetrostartIndex
está indizado a 1.Puedes filtrar los resultados con el parámetro
filter
. Los atributos válidos para el filtro sonemail
(dirección de correo electrónico),given_name
(nombre) yfamily_name
(apellido). Por ejemplo:GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> empleado eq@acmecorp.com
Ten en cuenta que
given_name
yfamily_name
distinguen entre mayúsculas y minúsculas. La dirección de correo electrónico se convierte a minúsculas.
GET /Users/<id>
GET <https://api.notion.com/scim/v2/Users/><id>
Recupera un miembro específico del espacio de trabajo por su ID de usuario de Notion. Se trata de un UUID con 32 caracteres y el siguiente formato:
00000000-0000-0000-0000-000000000000
.Ten en cuenta que ni
meta.created
nimeta.lastModified
reflejan valores de marca temporal significativos.
POST /Users
POST <https://api.notion.com/scim/v2/Users
>Si el usuario que quieres añadir ya tiene una cuenta de usuario de Notion con la misma dirección de correo electrónico, se añadirá el usuario al espacio de trabajo.
Si el usuario no existe, esta llamada creará un nuevo usuario de Notion y se añadirá al espacio de trabajo. Se mapeará al perfil de usuario de Notion que se ha creado.
PATCH /Users/<id>
PATCH <https://api.notion.com/scim/v2/Users/><id>
Actualiza mediante una serie de operaciones y devuelve el registro de usuario actualizado.
Nota: Solo puedes actualizar la información del perfil de un miembro si dispones de la propiedad verificada del dominio de correo del usuario (por lo general, la misma que los dominios de correo que has configurado para el inicio de sesión único SAML en Notion). Verifica tu dominio siguiendo las instrucciones aquí →
PUT /Users/<id>
PUT <https://api.notion.com/scim/v2/Users/><id>
Actualiza y devuelve el registro de usuario actualizado.
DELETE /Users/<id>
DELETE <https://api.notion.com/scim/v2/Users/><id>
Elimina un usuario del espacio de trabajo. Se cierran todas las sesiones abiertas del usuario.
La cuenta de usuario no puede eliminarse mediante SCIM. Debe eliminarse manualmente.
Para eliminar un usuario de tu espacio de trabajo también puedes configurar el atributo de usuario
active
comofalse
; para ello, envía una solicitudPATCH /Users/<id>
oPUT /Users/<id>
.
Nota: El propietario del espacio de trabajo que generó el token del bot SCIM no se puede eliminar a través de la API.Cuando se elimine al propietario de un espacio de trabajo mediante la API de SCIM, se revocarán los tokens que este haya creado y se cancelarán todas las integraciones que usen ese bot.
GET /Groups
GET <https://api.notion.com/scim/v2/Groups>
Recupera una lista paginada de grupos del espacio de trabajo.
Puedes paginar mediante los parámetros
startIndex
ycount
. Ten en cuenta que el parámetrostartIndex
está indizado a 1 y el parámetro count tiene un máximo de 100, p. ej.GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5
>Si no se utiliza paginación, se devolverá un máximo de 100 grupos de espacio de trabajo para cada solicitud.
Puedes filtrar los resultados con el parámetro
filter
. Los grupos pueden filtrarse por el atributodisplayName
. Por ejemplo:GET <https://api.notion.com/scim/v2/Groups?filter=displayName> Diseñadores de eq
GET /Groups/<id>
GET <https://api.notion.com/scim/v2/Groups/><id>
Recupera un grupo específico del espacio de trabajo por su ID de grupo de Notion. Se trata de un UUID con 32 caracteres y el siguiente formato:
00000000-0000-0000-0000-000000000000
.
POST /Groups
POST <https://api.notion.com/scim/v2/Groups>
Crea un nuevo grupo del espacio de trabajo.
PATCH /Groups/<id>
PATCH <https://api.notion.com/scim/v2/Groups/><id>
Actualiza un grupo del espacio de trabajo mediante una serie de operaciones.
PUT /Groups/<id>
PUT <https://api.notion.com/scim/v2/Groups/><id>
Actualiza un grupo del espacio de trabajo.
DELETE /Groups/<id>
DELETE <https://api.notion.com/scim/v2/Groups/><id>
Elimina un grupo del espacio de trabajo.
Nota: La eliminación de grupos no será posible si como resultado de dicha eliminación no queda nadie con acceso completo a una o varias páginas.