Configuración de inicio de sesión único (SSO) de SAML

Los servicios de inicio de sesión único (SSO) de Notion se basan en SAML 2.0 (del inglés Security Assertion Markup Language, lenguaje de marcado de aserción de seguridad), un estándar que permite a los administradores de identidad emitir con seguridad credenciales de autorización para proveedores de servicios como Notion, además de conectar tu proveedor de identidades (IdP) y los espacios de trabajo mediante un inicio de sesión lo más seguro y sencillo posible.

Los servicios de inicio de sesión único (SSO) permiten al usuario utilizar un único conjunto de credenciales (por ejemplo, un nombre o dirección de correo electrónico y una contraseña) para acceder a varias aplicaciones. El servicio autentica al usuario final una sola vez en todas las aplicaciones para las que tenga derechos de acceso y elimina la necesidad de autenticarse si cambia de aplicación durante la misma sesión.

• Para los propietarios de espacios de trabajo, agiliza la gestión de usuarios en distintos sistemas.

• Elimina la necesidad de recordar y gestionar varias contraseñas. Simplifica el día a día del usuario final permitiéndole iniciar sesión en un único punto de acceso y agilizando así el uso de distintas aplicaciones.

• Tu espacio de trabajo debe pertenecer a un plan Business o Enterprise.

• Tu proveedor de identidades (IdP) debe ser compatible con el estándar SAML 2.0.

• Solo el propietario o propietaria del espacio de trabajo de Notion puede configurar el inicio de sesión único (SSO) de SAML.

• El propietario del espacio de trabajo debe haber verificado al menos un dominio.

• Ve a Configuración y miembros y selecciona la pestaña Configuración.

• En la sección Dominios de correo electrónico autorizados, elimina todos los dominios de correo electrónico.

• A continuación, selecciona la pestaña Identidad y aprovisionamiento.

• Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →

• Habilita Activar inicio de sesión único (SSO) de SAML y aparecerá la ventana modal Configuración de inicio de sesión único (SSO) de SAML para que puedas completar la configuración.

• La ventana de configuración del SSO de SAML está dividida en dos partes:

  • La URL del ACS (Assertion Consumer Service) debe introducirse en el portal de tu proveedor de identidad (IDP).

  • En el campo detalles del proveedor de identidad se debe proporcionar a Notion una URL de IDP o un XML de metadatos de IDP.

Para obtener más detalles sobre dónde introducir esta información y dónde obtenerla, consulta nuestras guías específicas sobre distintos proveedores de identidades (IDP).

En el espacio de trabajo donde hayas verificado tu dominio de correo electrónico y activado el inicio de sesión único (SSO) de SAML hay una sección de Espacios de trabajo enlazados, en la que figuran todos los espacios de trabajo asociados a tu configuración del SSO de SAML.

Los usuarios que dispongan de una dirección de correo electrónico verificada y tengan acceso al espacio de trabajo principal o a uno de los espacios de trabajo enlazados podrán iniciar sesión mediante el inicio de sesión único (SSO) de SAML.

Los clientes de Enterprise asistidos por el equipo comercial pueden añadir espacios de trabajo de Enterprise a su configuración SSO de SAML o eliminarlos poniéndose en contacto con team@makenotion.com.

Una vez hayas completado la configuración del inicio de sesión único (SSO) de SAML para un espacio de trabajo individual, los usuarios podrán iniciar sesión a través de este, además de mediante otros métodos de inicio de sesión como nombre de usuario + contraseña o la autenticación mediante Google.

• Para asegurarte de que los usuarios solo puedan iniciar sesión mediante el SSO de SAML y ningún otro método, actualiza el Método de inicio de sesión a Solo inicio de sesión único (SSO) de SAML.

• Solo se aplicará forzosamente el SSO de SAML a los usuarios que pertenezcan a tu dominio verificado y que tengan acceso al espacio de trabajo principal o a un espacio de trabajo enlazado.

• Los usuarios invitados a páginas de un espacio de trabajo de Notion no podrán usar el SSO de SAML para iniciar sesión. Por lo tanto, siempre deberán usar las opciones de correo electrónico + contraseña o «Continuar con Google/Apple» para iniciar sesión.

• Los propietarios del espacio de trabajo siempre pueden optar por no utilizar el SSO de SAML y emplear en su lugar las credenciales de correo electrónico + contraseña. Esta posibilidad se ofrece para que puedan acceder a Notion en caso de que se produzca un fallo relacionado con el proveedor de identidades (IDP) o con SAML. Aun en ese caso, podrán iniciar sesión y desactivar o actualizar la configuración.

Notion admite el aprovisionamiento Just-in-Time cuando se utiliza el inicio de sesión único de SAML. Esto permite que alguien que se conecte a través del inicio de sesión único de SAML se una automáticamente al espacio de trabajo como miembro.

Cómo habilitar el aprovisionamiento Just-in-Time:

• En Configuración y miembros -> Identidad y aprovisionamiento, asegúrate de que la creación automática de cuentas está habilitada.

A continuación te ofrecemos las instrucciones para configurar el inicio de sesión único (SSO) de SAML de Notion con Entra ID (anteriormente Azure), Google, Okta y OneLogin. Si utilizas un proveedor de identidades diferente y necesitas ayuda con la configuración, ponte en contacto con nuestro equipo de Atención al cliente.

Si precisas documentación adicional, también puedes consultar los pasos que figuran en el sitio web de Entra ID, aquí:

• Integración del inicio de sesión único (SSO) de Entra ID (anteriormente Azure Active Directory) con Notion

Paso 1: Crear una nueva integración de aplicación

• Inicia sesión en el portal de Entra ID. En el panel de navegación izquierdo, selecciona el servicio Azure Active Directory.

• Ve a Aplicaciones empresariales  y, a continuación, selecciona Todas las aplicaciones.

• Para añadir una nueva aplicación, selecciona Nueva aplicación.

• En la sección Agregar desde la galería , escribe Notion en el cuadro de búsqueda. Selecciona «Notion» en el panel de resultados y añade la aplicación. Espera unos segundos mientras la aplicación se añade al inquilino.

Paso 2: Crear integración con SAML

• En el portal de Azure, en la página de integración de la aplicación Notion, busca la sección Administrar y selecciona Inicio de sesión único.

• En la página Selecciona un método de inicio de sesión único , selecciona SAML.

Paso 3: Configuración de SAML

• En Notion, dirígete a la pestaña Configuración y miembros  y luego selecciona la pestaña Configuración.

• En la sección «Dominios de correo electrónico autorizados», elimina todos los dominios de correo electrónico.

• A continuación, selecciona la pestaña «Identidad y aprovisionamiento».

• Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →

  Verificación de dominios para espacios de trabajo

• Habilita «Activar inicio de sesión único (SSO) de SAML» y aparecerá la ventana modal «Configuración de inicio de sesión único (SSO) de SAML» para que puedas completar la configuración.

• La ventana modal de configuración del SSO de SAML se divide en dos partes: una sección es la URL del ACS (Assertion Consumer Service) , que debe introducirse en el portal de tu proveedor de identidades (IDP), y la segunda sección es la de Detalles del proveedor de identidades, donde deben introducirse la URL del IDP o el XML de metadatos del IDP para uso de Notion.

Paso 4: Configurar la app de Notion en Entra ID

• En la página «Configuración del inicio de sesión único con SAML», haz clic en el icono del lápiz de Configuración básica de SAML para editar la configuración.

• En la sección Configuración básica de SAML , si deseas configurar la aplicación en modo iniciado por IDP, escribe los valores de los siguientes campos:
  

  • En el cuadro de texto Identificador (ID de entidad), introduce la siguiente URL: https://www.notion.so/sso/saml.

  • En el cuadro de texto URL de respuesta (URL de ACS: Assertion Consumer Service) , usa la URL de ACS de Notion, que encontrarás en la pestaña Identidad y aprovisionamiento en la barra lateral Configuración y miembros situada a la izquierda.

  • En el cuadro de texto URL de inicio de sesión, introduce la siguiente URL: https://www.notion.so/login.

• En la sección Atributos de usuario y reclamaciones, asegúrate de que en la reclamación obligatoria estableces:
  

  • Identificador de usuario único (ID de nombre): usuario.nombreprincipaldeusuario [formato-iddenombre:correoElectrónico]

  • firstName: user.givenname

  • lastName: user.surname

  • email: user.mail

• En la página Configuración del inicio de sesión único con SAML, en la sección Certificado de firma de SAML , haz clic en el botón de copia junto a la URL de metadatos de federación de aplicación.

• En el espacio de trabajo de Notion, dirígete a Configuración y miembros > Identidad y aprovisionamiento y pega el valor de la URL de metadatos de federación de la aplicación que copiaste en el cuadro de texto URL de metadatos del IDP. Asegúrate de que la opción  URL del proveedor de identidad está seleccionada.

Paso 5: Asignar usuarios a Notion

• En el portal de Azure, selecciona Aplicaciones empresariales y, a continuación, selecciona Todas las aplicaciones. En la lista de aplicaciones, selecciona Notion.

• En la página de información general de la aplicación, busca la sección Administrar y selecciona Usuarios y grupos.

• Selecciona Agregar usuario y, a continuación, selecciona Usuarios y grupos en el cuadro de diálogo «Agregar asignación».

• En el cuadro de diálogo Usuarios y grupos, selecciona un usuario de la lista de usuarios y, a continuación, haz clic en el botón Seleccionar en la parte inferior de la pantalla.

• Si quieres que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol «Acceso predeterminado».

• En el cuadro de diálogo Agregar asignación, haz clic en el botón Asignar.

Si necesitas instrucciones adicionales, también puedes consultar los pasos que figuran en el centro de ayuda de administración de Google Workspace:

• Aplicación en la nube de Notion

Paso 1: Obtén la información del proveedor de identidad (IdP) de Google

• Debes haber iniciado sesión con una cuenta de administrador para que los permisos de tu cuenta de usuario sean los que se necesitan.

• En la consola de Admin, dirígete a Menú -> Aplicaciones -> Aplicaciones web y móviles.

• Escribe Notion en el campo de búsqueda y selecciona la app SAML de Notion.

• En la página Detalles del proveedor de identidades de Google, descarga los metadatos del IDP.

• Abre el archivo GoogleIDPMetadata.xml en un editor compatible, selecciona y copia el contenido del archivo.

• No cierres la consola de Admin; cuando completes el siguiente paso en la aplicación Notion, continuarás con el asistente de configuración.

Paso 2: Configura Notion como proveedor de servicios SAML 2.0

• En Notion, dirígete a la pestaña Configuración y miembros y, a continuación, a Configuración.

• En la sección Dominios de correo electrónico permitidos, elimina todos los dominios de correo electrónico.

• Selecciona la pestaña Identidad y aprovisionamiento.

• Abre un nuevo dominio y verifícalo. Debería ser el mismo que tu dominio de Google Workspace.

• En los ajustes de Inicio de sesión único (SSO) de SAML, activa la función Activar inicio de sesión único (SSO) de SAML. Se abrirá el cuadro de diálogo Configuración del SSO de SAML.

• En el cuadro de diálogo, haz lo siguiente:

  1. En Detalles del proveedor de identidades, selecciona XML de metadatos del IdP.

  2. Pega el contenido del archivo «GoogleIDPMetadata.xml», que copiaste en el paso 1, en el cuadro de texto XML de metadatos del IDP.

  3. Copia y guarda la URL del servicio de consumidor de aserciones (ACS). Necesitarás estos datos cuando completes la configuración de la parte de Google en la consola de Admin en el paso 3 a continuación.

  4. Haz clic en Guardar cambios.

• Comprueba que las demás opciones de método de inicio de sesión, creación automática de cuentas y espacios de trabajo vinculados contengan los valores que quieres para tu configuración.

Paso 3: Termina de configurar el SSO en la consola de Admin

• Vuelve a la pestaña del navegador de la consola de Admin.

• En la página Detalles del proveedor de identidades de Google, haz clic en Continuar.

• En la página Datos del proveedor de servicios, sustituye el valor del campo URL ACS por la URL del ACS que copiaste de Notion en el paso 2 de este artículo.

• Haz clic en Continuar.

• En la página Asignación de atributos, haz clic en el menú Seleccionar campo y asigna los siguientes atributos de directorio de Google a los atributos correspondientes de Notion. Ten en cuenta que los atributos firstName (nombre) , lastName (apellido) y email (correo electrónico) son obligatorios.

  

  Nota: Se puede usar el atributo profilePhoto para añadir una foto de perfil en Notion.Para hacerlo, crea un atributo personalizado y complétalo en el perfil de usuario con la dirección URL de la imagen y, a continuación, asigna el atributo personalizado a profilePhoto.

• Opcional: Haz clic en Añadir  asignación para añadir otras asignaciones que necesites.

• Haz clic en Finalizar.

Paso 4: Habilita la aplicación de Notion

• En la consola de administración, ve a Menú > Aplicaciones > Aplicaciones web y móvil.

• Selecciona Notion.

• Haz clic en Acceso de usuario.

• Para activar o desactivar un servicio para todos los miembros de tu organización, haz clic en Activar para todos o Desactivar para todos y, a continuación, haz clic en Guardar.

• (Opcional) Para activar o desactivar un servicio en una unidad organizativa sigue estos pasos:

  • En la parte izquierda, selecciona la unidad organizativa.

  • Para cambiar el estado del servicio, selecciona Activado o Desactivado.

  • Elige uno: si el estado del servicio está establecido en Heredado y deseas mantener la configuración actualizada, incluso si cambia la configuración principal, haz clic en Anular. Si el estado del servicio está establecido en Anulado, haz clic en Heredar para volver a la misma configuración que su principal, o haz clic en Guardar para conservar la nueva configuración, incluso si cambia la configuración principal. Nota: Obtén más información sobre la estructura organizativa.

• Opcional: Activa el servicio para un grupo de usuarios. Utiliza los grupos de acceso para activar un servicio para usuarios específicos dentro o en las unidades organizativas. Más información.

• Procura que los ID de correo electrónico de tu cuenta de usuario de Notion coincidan con los de tu dominio de Google.

Si precisas documentación adicional, también puedes consultar los pasos que figuran en el sitio web de Okta, aquí:

• How to Configure SAML 2.0 for Notion (Cómo configurar SAML 2.0 para Notion)

Paso 1: Añadir la aplicación Notion desde el directorio de aplicaciones de Okta

• Inicia sesión en Okta como administrador y ve a la consola de administración de Okta.

• Ve a la pestaña Aplicación, selecciona Examinar catálogo de aplicaciones y busca «Notion» en el Catálogo de aplicaciones de Okta.

• Selecciona la aplicación de Notion y haz clic en Añadir integración.

• En la vista de Configuración general, comprueba los ajustes y haz clic en Siguiente.

• En la vista de Opciones de inicio de sesión, selecciona la opción SAML 2.0.

• Encima de la sección Configuración avanzada de inicio de sesión, haz clic en los metadatos del proveedor de identidad. Se abrirá una nueva pestaña del navegador. Copia el enlace de la URL.

Paso 2: Configurar SAML en Notion

• En Notion, dirígete a la pestaña Configuración y miembros  y luego selecciona la pestaña Configuración.

• En la sección «Dominios de correo electrónico autorizados», elimina todos los dominios de correo electrónico.

• A continuación, selecciona la pestaña «Identidad y aprovisionamiento».

• Verifica uno o más dominios. Consulta aquí las instrucciones para la verificación de dominios →

• Habilita «Activar inicio de sesión único (SSO) de SAML» y aparecerá la ventana modal «Configuración de inicio de sesión único (SSO) de SAML» para que puedas completar la configuración.

• La ventana modal de configuración del SSO de SAML se divide en dos partes: una sección es la URL del ACS (Assertion Consumer Service) , que debe introducirse en el portal de tu proveedor de identidades (IDP), y la segunda sección es la de Detalles del proveedor de identidades, donde deben introducirse la URL del IDP o el XML de metadatos del IDP para uso de Notion.

  • Elige la URL del proveedor de identidad y pega la URL con los metadatos del proveedor de identidad que copiaste en el paso 1. Guarda los cambios.

• En la pestaña Identidad y aprovisionamiento , baja y copia el identificador ID del espacio de trabajo.

• En la consola de administración de Okta > Configuración avanzada de inicio de sesión, pega el ID del espacio de trabajo en el cuadro de texto ID de la organización.

• En Detalles de las credenciales, selecciona Correo electrónico del menú desplegable Formato de nombre de usuario de la aplicación y haz clic en «Listo».

Paso 3: Asignar usuarios y grupos a Notion

• En la pestaña Okta > Assignments (Asignaciones), ya podrás asignar usuarios y grupos a Notion.

Si precisas documentación adicional, también puedes consultar los pasos que figuran en el sitio web de OneLogin aquí:

• Configurar SAML para Notion

Paso 1: Crear una nueva integración de aplicación

• Si no has configurado el aprovisionamiento todavía, ve a «Administration → Applications → Applications»; luego haz clic en el botón «Add App», busca Notion en el cuadro de búsqueda y seleccione la versión SAML 2.0 de Notion.

• Haz clic en «Save».

Paso 2: Crear integración con SAML

• También puedes navegar hasta «Applications → Applications» y seleccionar el conector de la app de Notion añadido previamente.

• Ahora ve a la pestaña «SSO» y copia el valor de la URL del emisor. Pégalo donde puedas tenerlo a mano para poder recuperarlo más tarde.

Paso 3: Configuración de SAML

• En Notion, dirígete a la pestaña Configuración y miembros y luego selecciona la pestaña Configuración.

• En la sección «Dominios de correo electrónico autorizados», elimina todos los dominios de correo electrónico.

• A continuación, selecciona la pestaña «Identidad y aprovisionamiento».

• Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí → Verifica un dominio para tu espacio de trabajo.

• Habilita «Activar inicio de sesión único (SSO) de SAML» y aparecerá la ventana modal «Configuración de inicio de sesión único (SSO) de SAML» para que puedas completar la configuración.

• La ventana modal de configuración del SSO de SAML se divide en dos partes: una sección es la URL del ACS (Assertion Consumer Service) , que debe introducirse en el portal de tu proveedor de identidades (IDP), y la segunda sección es la de Detalles del proveedor de identidades, donde deben introducirse la URL del IDP o el XML de metadatos del IDP para uso de Notion.

Paso 4: Configurar la app de Notion en OneLogin

• Copia la URL del ACS (Assertion Consumer Service) desde Notion.

• Regresa a la interfaz de administración de OneLogin.

• Ve a la pestaña «Configuración» del conector de la app de Notion que acabas de añadir a tu cuenta de OneLogin.

• Pega la URL del ACS (Assertion Consumer Service) desde Notion dentro del cuadro de texto de la URL del consumidor.

• Haz clic en Guardar.

• Vuelve a los ajustes para editar la configuración de inicio de sesión único de Notion.

• Pega la URL del emisor que has copiado de la pestaña «SSO» en la URL de OneLogin dentro del cuadro de texto de la URL del proveedor de identidad. Asegúrate de que el botón «URL del proveedor de identidad» está seleccionado.

Para obtener documentación detallada, puedes consultar el sitio web de Rippling aquí →

Si no utilizas uno de los proveedores de SAML compatibles con Notion, también puedes configurar tu IDP para que utilice SAML con Notion.

Paso 1: Configurar tu IDP

Tu IDP debe admitir la especificación SAML 2.0 para poder usarse con Notion.

• Configura la URL ACS al valor URL Assertion Consumer Service (ACS) desde Notion. Puedes encontrarlo en Configuración → Identidad y aprovisionamiento → Editar configuración de SSO de SAML.

• Configura NameID en urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

  • De manera similar, configura el nombre de usuario en urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

• Configura EntityID en https://notion.so/sso/saml. Puedes encontrarlo en Configuración, en la parte inferior de Identidad y aprovisionamiento.

• Configura los siguientes atributos:

  • emailAddress: Es la dirección de correo electrónico de un usuario. La mayoría de los IDP se establecen de forma predeterminada.

  • (Opcional) firstName

  • (Opcional) lastName

  • (Opcional) profilePicture

• Copia la URL de metadatos de IDP o el XML de metadatos de IDP para los pasos siguientes.

Paso 2: Configurar SAML en Notion

• En Notion, abre Configuración → Identidad y aprovisionamiento.

• Añade nuevos dominios de correo electrónico y sigue las indicaciones para verificarlos. Estos deben ser dominios de correo electrónico de tus usuarios que inicien sesión en Notion.

• En la configuración del inicio de sesión único de SAML (SSO) , activa Habilitar SSO de SAML. Se abrirá el cuadro de diálogo Configuración del SSO de SAML.

• En Detalles del proveedor de identidad, introduce la URL de metadatos del IDP o el XML de metadatos del IDP de tu IDP.

• Asegúrate de proporcionar las entradas deseadas para el método de inicio de sesión, la creación automática de cuentas y los espacios de trabajo vinculados.

Para cambiar el proveedor de identidad, ve a Configuración y miembros en la barra lateral izquierda → Identidad y aprovisionamiento → Editar la configuración de SSO de SAML. Introduce la información nueva y luego selecciona Guardar cambios.

Al cambiar a un nuevo IDP, se recomienda lo siguiente:

• El inicio de sesión único no debe estar activado durante la transición para minimizar el riesgo de que los usuarios no puedan acceder.

• Las direcciones de correo electrónico de los usuarios de tu nuevo IDP deben coincidir con el correo electrónico de usuario en Notion.

Si se producen errores durante la configuración del inicio de sesión único de SAML, asegúrate de que los valores XML para los metadatos del IDP, las solicitudes SAML y las respuestas son válidos según los esquemas XSD de SAML. Puedes comprobarlo mediante esta herramienta en línea: https://www.samltool.com/validate_xml.php

Ten en cuenta que el elemento EntitiesDescriptor no es compatible. Si los metadatos del IDP contienen el elemento EntityDescriptor, extráelo y vuelve a intentarlo.