Aprovisionar usuarios y grupos con SCIM

Aprovisionar usuarios y grupos con SCIM - banner
En este artículo

Puedes aprovisionar y gestionar usuarios y grupos en el espacio de trabajo de Notion con el estándar API de sistema de administración de identidades entre dominios (SCIM) 🔑


Aprovisionamiento y gestión de usuarios:

  • Crea y elimina miembros del espacio de trabajo.

  • Actualiza la información del perfil de los miembros.

  • Recupera miembros del espacio de trabajo.

    • Encuentra miembros por correo electrónico o por nombre.

Aprovisionamiento y gestión de grupos:

  • Crea y elimina grupos del espacio de trabajo.

  • Agrega y elimina miembros de cualquier grupo.

  • Recupera grupos del espacio de trabajo.

    • Encuentra grupos por nombre.

No compatible:

  • Gestión de invitados del espacio de trabajo.

Ahora admitimos Okta, OneLogin, Rippling, Gusto y aplicaciones de SCIM personalizadas. Si tienes otro proveedor de identidad, ponte en contacto con nosotros.

Prerrequisitos para usar el SCIM con Notion

  • El espacio de trabajo debe pertenecer a un plan Enterprise.

  • El proveedor de identidades (IDP) debe ser compatible con el protocolo SAML 2.0.

  • Solo los propietarios de espacios de trabajo pueden configurar el SCIM de un espacio de trabajo de Notion.

  • Si quieres emplear SCIM para modificar el nombre o la dirección de correo electrónico de un usuario, debes verificar la propiedad de su dominio de correo electrónico. Descubre más sobre la verificación de dominios →

Genera tu token de la API de SCIM

Los propietarios de espacios de trabajo en planes Enterprise pueden generar y ver los tokens de la API de SCIM desde Configuración y miembrosIdentidad y aprovisionamiento Aprovisionamiento con SCIM.

  1. Para generar un nuevo token, haz clic en el botón + Nuevo token en la esquina derecha.

  2. Se genera un token único para cada propietario del espacio de trabajo que solo esa persona puede ver.

Revocar tokens

Cuando un propietario de un espacio de trabajo abandona el espacio de trabajo o se cambia su rol, se revocará su token. Cuando esto ocurra, se enviará un mensaje automático al resto de los propietarios de espacios de trabajo para avisarles de que deben sustituir el token revocado.

Además, cualquiera de los propietarios del espacio de trabajo puede revocar los tokens activos. Para revocar un token, haz clic en 🗑 junto al token correspondiente.

Reemplazar tokens existentes

Si se revoca un token, deberás reemplazarlo en todas las integraciones existentes.

Las integraciones de SCIM y los aprovisionamientos de usuarios que dependan del token revocado se desactivarán hasta que se lo reemplace con un token activo.

Nota: Para evitar cancelar las integraciones existentes, procura reemplazar los tokens asociados a un administrador antes del desaprovisionamiento.

Suprimir correos electrónicos de invitación

Para controlar si los usuarios recibirán invitaciones a espacios de trabajo y grupos por correo electrónico cuando los aprovisione SCIM, los propietarios de espacios de trabajo del plan Enterprise pueden ir a Configuración y miembrosIdentidad y aprovisionamientoAprovisionamiento SCIMSuprimir correos electrónicos de invitación del aprovisionamiento SCIM. Activa esta opción si deseas que no se envíen correos electrónicos a los usuarios.

Azure

Para obtener más instrucciones, también puedes consultar la documentación del Centro de ayuda de Azure Active Directory:

La integración de SCIM para Azure de Notion es compatible con las siguientes funciones de aprovisionamiento:

  • Crear usuarios

  • Eliminar usuarios

  • Mantener los atributos de usuario sincronizados entre Azure AD y Notion.

  • Aprovisionar grupos y pertenencia a grupos en Notion.

  • Inicio de sesión único en Notion (recomendado).

Nota: Consulta la documentación de Azure para obtener más información sobre cómo planificar la implementación del aprovisionamiento.

Paso 1: Configuración de Notion para admitir el aprovisionamiento con Azure AD

  1. Inicia sesión en tu espacio de trabajo de Notion y accede a la pestaña 

    Configuración y miembrosIdentidad y SCIM y baja hasta la sección Aprovisionamiento de SCIM.

  2. Si aún no se ha generado un token, haz clic en 

    + Agregar token y copia el token. En el paso 5.5, deberás ingresar este token como token secreto.

Paso 2: Agregar Notion desde la galería de aplicaciones de Azure AD

  • Para agregar una aplicación desde la galería, sigue las instrucciones que encontrarás aquí.

El servicio de aprovisionamiento de Azure AD permite determinar quién se aprovisionará en función de la asignación a la aplicación, de los atributos del usuario/grupo o de ambas cosas.

  • Si eliges que el aprovisionamiento en tu app se determine en función de la asignación, puedes seguir estos pasos para asignar usuarios y grupos a la aplicación.

  • Si eliges que el aprovisionamiento se determine únicamente en función de los atributos del usuario o grupo, puedes utilizar un filtro de ámbito como se describe aquí.

Paso 3: Configurar el aprovisionamiento automático de usuarios en Notion

  1. Inicia sesión en el portal de Azure. Selecciona Aplicaciones empresariales y, después, Todas las aplicaciones.

  2. En la lista de aplicaciones, selecciona Notion.

  3. Selecciona la pestaña Aprovisionamiento.

  4. Establece el Modo de aprovisionamiento en Automático.

  5. En la sección Credenciales de administrador, ingresa la URL del Tenant de Notion y el token secreto. Haz clic en Probar conexión para asegurarte de que Azure AD pueda conectarse con Notion. Si ocurre un error con la conexión, asegúrate de que tu cuenta de Notion tenga permisos de administrador y vuelve a intentarlo.

  6. Selecciona Guardar.

  7. En la sección Asignaciones, selecciona Sincronizar usuarios de Azure Active Directory con Notion.

    • Revisa los atributos de usuario que se sincronizan entre Azure AD y Notion en la sección Asignación de atributos. Selecciona el botón Guardar para confirmar los cambios.

  8. En la sección Asignaciones, selecciona Sincronizar grupos de Azure Active Directory con Notion.

    • Revisa los atributos de grupo que se sincronizan entre Azure AD y Notion en la sección Asignación de atributos. Selecciona el botón Guardar para confirmar los cambios.

  9. Para activar el servicio de aprovisionamiento de Azure AD para Notion, cambia el Estado de aprovisionamiento a Activado en la sección Configuración.

  10. Para definir a los usuarios y los grupos que quieres aprovisionar en Notion, elige los valores que desees en Alcance desde la sección Configuración.

  11. Cuando quieras realizar el aprovisionamiento, haz clic en Guardar.

Nota: Esta operación empieza el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Alcance en la sección Configuración.

El ciclo inicial tarda más en ejecutarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos mientras se esté ejecutando el servicio de aprovisionamiento de Azure AD.

Google

Para obtener más instrucciones, también puedes consultar la documentación del Centro de ayuda de Google Workspace Admin:

La integración de SCIM para Google de Notion es compatible con las siguientes funciones de aprovisionamiento:

  • Crear usuarios.

  • Actualizar los atributos de los usuarios (si el usuario tiene un dominio de correo electrónico perteneciente a la organización).

  • Desactivar usuarios (esta función borra los usuarios del (los) espacio(s) de trabajo de Notion).

Nota: La integración de SCIM de Google no es compatible con el aprovisionamiento y desaprovisionamiento de grupos.

Paso 1: Habilitar el aprovisionamiento de usuarios en Notion

  1. Dirígete a la pestaña Configuración y miembros y, a continuación, selecciona la pestaña Identidad y SCIM.

  2. Baja hasta la sección Aprovisionamiento con SCIM, donde verás tus tokens SCIM disponibles.

  3. En la tabla de tokens SCIM, haz clic en Copiar junto a un token existente O haz clic en Agregar token en la esquina derecha para crear uno nuevo.

Paso 2: Configurar el aprovisionamiento en Google

  1. Debes haber iniciado sesión con una cuenta de administrador para que tu cuenta de usuario tenga los permisos necesarios.

  2. Sigue los pasos que se muestran en el Centro de ayuda de Google Workspace Admin empezando por Configurar el aprovisionamiento automático para la aplicación de Notion.

Okta

La integración Okta de Notion es compatible con las siguientes funciones de aprovisionamiento:

  • Crear usuarios

  • Actualizar los atributos de los usuarios (si el usuario tiene un dominio de correo electrónico perteneciente a la organización)

  • Desactivar usuarios (esta función elimina a los usuarios del espacio de trabajo de Notion)

  • Grupos Push

Paso 1: Habilitar el aprovisionamiento en Notion

  1. Ve a la pestaña Configuración y miembros y, a continuación, selecciona la pestaña Identidad y SCIM.

  2. Baja hasta la sección Inicio de sesión único (SSO) de SAML.

  3. Abre el botón Editar configuración de inicio de sesión único de SAML

  4. Haz clic junto a la URL del servicio de consumidor de aserciones (ACS) para copiar el enlace. Pégalo en un lugar donde puedas acceder a él más tarde.

  5. Vuelve a Configuración y miembrosIdentidad y SCIM y baja hasta la sección Aprovisionamiento con SCIM.

  6. Si aún no se generó un token, haz clic en + Agregar token y cópialo. Pégalo en un lugar donde puedas acceder a él más tarde.

Paso 2: Configurar el aprovisionamiento en Okta

  1. Agrega la app de Notion desde el directorio de aplicaciones de Okta.

  2. En la vista Opciones de inicio de sesión, selecciona Correo electrónico para el formato de Nombre de usuario de la aplicación en la pestaña Aplicación de inicio de sesión.

  3. En la pestaña Aprovisionamiento, selecciona Configurar integración de API y haz clic en la casilla Habilitar integración con API.

  4. Ingresa el token de la API de SCIM de Notion que copiaste en el paso 1 en el cuadro de texto del token de la API y selecciona Guardar.

  5. Haz clic en el botón Editar, junto al encabezado Aprovisionamiento a la app, y habilita tus funciones preferidas: Crear usuarios, Actualizar atributos de usuario o Desactivar usuarios. Haz clic en Guardar.

  6. Después de configurar la integración de la API, abre la pestaña Grupos Push y agrega los grupos de Okta que quieras sincronizar con Notion desde el botón Grupos Push.

Nota: Al actualizar los usuarios o grupos mediante una configuración de SCIM existente, no elimines la app de Notion de Okta. Si lo haces, eliminarás a todos los usuarios aprovisionados del espacio de trabajo.

OneLogin

Si precisas documentación adicional, también puedes consultar los pasos que figuran en el sitio web de OneLogin aquí:

La integración OneLogin de Notion es compatible con las siguientes funciones de aprovisionamiento:

  • Crear usuarios

  • Actualizar los atributos de los usuarios (si el usuario tiene un dominio de correo electrónico perteneciente a la organización)

  • Desactivar usuarios (esta función elimina a los usuarios del espacio de trabajo de Notion)

  • Crear reglas para asignar roles de OneLogin con grupos de permisos en Notion

Nota: Si planeas aprovisionar usuarios a Notion con OneLogin, procura configurar el SCIM antes de configurar el inicio de sesión único (SSO).

Paso 1: Habilitar el aprovisionamiento en Notion

  • Ve a Configuración y miembros y, a continuación, selecciona la pestaña Identidad y SCIM.

  • Baja hasta la sección Inicio de sesión único (SSO) de SAML.

  • Abre el botón Editar configuración de inicio de sesión único de SAML.

  • Haz clic junto a la URL del servicio de consumidor de aserciones (ACS) para copiar el enlace. Pégalo en un lugar donde puedas acceder a él más tarde.

  • Vuelve a Configuración y miembros, y, a continuación, selecciona la pestaña Identidad y SCIM y baja hasta la sección Aprovisionamiento con SCIM.

  • Si aún no se generó un token, haz clic en + Agregar token y cópialo. Pégalo en un lugar donde puedas acceder a él más tarde.

Nota: Los propietarios del espacio de trabajo solo pueden copiar y usar tokens que ellos hayan generado. Si un token ya fue creado por otro propietario del espacio de trabajo, puedes coordinar para determinar si se necesita otro token. Todos los tokens caducarán cuando el propietario del espacio de trabajo que generó el token abandone el espacio de trabajo o cuando se cambie a la categoría de miembro.

Paso 2: Configurar el aprovisionamiento en OneLogin

  1. Ve a AdministraciónAplicacionesAplicaciones.

  2. Haz clic en el botón Agregar aplicación, busca “Notion” en el cuadro de búsqueda y selecciona la versión SAML 2.0 de Notion.

  3. Haz clic en Guardar.

  4. Ve a la pestaña Configuraciones.

  5. Pega la URL del servicio de consumidor de aserciones (ACS) en el cuadro de texto de la URL del consumidor.

  6. Pega el token de la API de SCIM en el cuadro de texto de token de portador SCIM.

  7. Haz clic en Habilitar.

  8. Ve a la pestaña Aprovisionamiento.

  9. En Flujo de trabajo, marca la casilla Habilitar aprovisionamiento.

  10. Haz clic en el botón Guardar en la esquina superior derecha.

    • (opcional) Habilita o deshabilita el requisito de aprobación del administrador para crear, eliminar o actualizar usuarios en Solicitar aprobación del administrador antes de realizar esta acción.

    • (Opcional) Selecciona lo que sucede con un usuario en Notion cuando se elimina de OneLogin. Elige entre “Eliminar” (elimina al usuario del espacio de trabajo de Notion) o ”No hacer nada”.

  11. Haz clic en el botón Guardar en la esquina superior derecha.

Rippling

Si precisas documentación más detallada, puedes consultar el sitio web de Rippling aquí:

En la siguiente tabla se detalla la asignación entre los atributos de usuario de SCIM y los campos del perfil de usuario de Notion. Se ignorarán el resto de los atributos de usuario.

  • GET /Users

    • GET <https://api.notion.com/scim/v2/Users>

    • Recupera una lista paginada de miembros del espacio de trabajo.

    • Puedes usar los parámetros startIndex y count para la numeración. Ten en cuenta que el parámetro startIndex está indexado a 1 y el parámetro count tiene un máximo de 100.

    • Puedes filtrar los resultados con el parámetro filter. Los atributos válidos para el filtro son emailgiven_namefamily_name, por ejemplo: GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq employee@acmecorp.com

    • Ten en cuenta que given_name y family_name distinguen entre mayúsculas y minúsculas. El correo electrónico se convierte a minúsculas.

  • GET /Users/

    • GET <https://api.notion.com/scim/v2/Users/><id>

    • Recupera un miembro específico del espacio de trabajo por su ID de usuario de Notion. El identificador es único y universal (UUID) y cuenta con 32 caracteres dispuestos de esta manera: 00000000-0000-0000-0000-000000000000.

    • Ten en cuenta que meta.created y meta.lastModified reflejan valores de marca de tiempo significativos.

  • POST /Users

    • POST <https://api.notion.com/scim/v2/Users>

    • Si el usuario que quieres agregar ya tiene una cuenta de usuario de Notion con la misma dirección de correo electrónico, se agregará el usuario al espacio de trabajo.

    • Si el usuario no existe, esta llamada creará un nuevo usuario de Notion y lo agregará al espacio de trabajo. Se lo asignará al perfil de usuario de Notion que se creó.

  • PATCH /Users/<id>

    • PATCH <https://api.notion.com/scim/v2/Users/><id>

    • Actualiza mediante una serie de operaciones y devuelve el registro de usuario actualizado.

Nota: Solo puedes actualizar la información del perfil de un miembro, si has verificado la propiedad del dominio de correo del usuario (suele ser la misma que los dominios de correo que configuraste para el inicio de sesión único de SAML en Notion). Verifica tu dominio siguiendo las instrucciones aquí

  • PUT /Users/<id>

    • PUT <https://api.notion.com/scim/v2/Users/><id>

    • Actualiza y devuelve el registro de usuario actualizado.

  • DELETE /Users/<id>

    • DELETE <https://api.notion.com/scim/v2/Users/><id>

    • Elimina un usuario del espacio de trabajo. Se cierran todas las sesiones abiertas del usuario.

      • La cuenta del usuario no se puede eliminar mediante SCIM. Debe llevarse a cabo de forma manual.

      • Para eliminar un usuario de tu espacio de trabajo también puedes configurar el atributo de usuario active como false al enviar una solicitud PATCH /Users/<id> o PUT /Users/<id>.

      • El propietario del espacio de trabajo que generó el token del bot SCIM no se puede eliminar mediante la API. Cuando se elimine al propietario de un espacio de trabajo mediante la API de SCIM, se revocarán los tokens que haya creado y se cancelarán todas las integraciones que usen ese bot.

Nota: puedes asignar niveles del espacio de trabajo a los usuarios mediante el atributo de rol, que es una extensión del esquema de usuario existente. El formato es:

"urn:ietf:params:scim:schemas:extension:notion:2.0:User": { role: string // "owner" | "membership_admin" | "member" }

  • GET /Groups

    • GET <https://api.notion.com/scim/v2/Groups>

    • Recupera una lista paginada de grupos del espacio de trabajo.

    • Puedes paginar con los parámetros startIndex y count. Ten en cuenta que el parámetro startIndex está indexado a 1 y el parámetro “count” tiene un máximo de 100; por ejemplo: GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>

      • Si no se utiliza paginación, se devolverá un máximo de 100 grupos de espacio de trabajo por solicitud.

    • Puedes filtrar los resultados con el parámetro filter. Los grupos pueden filtrarse con el atributo displayName. Por ejemplo: GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers

  • GET /Groups/<id>

    • GET <https://api.notion.com/scim/v2/Groups/><id>

    • Recupera a un grupo específico del grupo del espacio de trabajo por su ID de grupo de Notion. El identificador es único y universal (UUID) y cuenta con 32 caracteres dispuestos de esta manera: 00000000-0000-0000-0000-000000000000.

  • POST /Groups

    • POST <https://api.notion.com/scim/v2/Groups>

    • Crea un nuevo grupo del espacio de trabajo.

  • PATCH /Groups/<id>

    • PATCH <https://api.notion.com/scim/v2/Groups/><id>

    • Actualiza un grupo del espacio de trabajo mediante una serie de operaciones.

  • PUT /Groups/<id>

    • PUT <https://api.notion.com/scim/v2/Groups/><id>

    • Actualiza un grupo del espacio de trabajo.

  • DELETE /Groups/<id>

    • DELETE <https://api.notion.com/scim/v2/Groups/><id>

    • Elimina un grupo del espacio de trabajo.

Nota: La eliminación de grupos no será posible si al hacerlo no quedan usuarios con acceso completo a una o varias páginas.


Cuéntanos tu opinión

¿Te resultó útil este recurso?