ヘルプセンターをご利用いただき、ありがとうございます。現在英語のページが混在しております。ご不便をおかけしますが、翻訳完了まで今しばらくお待ちください。

SAML SSO構成

SAML SSOの設定: Hero
この記事の内容

Notionは、エンタープライズプランのお客様に、単一の認証ソースを介してアプリにアクセスするための、シングルサインオン(SSO)機能を提供しています。これにより、IT管理者はチームのアクセスを適切に管理でき、情報をより安全に保つことができます 🔐

よくあるご質問(FAQ)に移動

Notionでは、SAML(Security Assertion Markup Language)を使用しています。SAMLはIDマネージャーがNotionのようなサービスプロバイダーに認証資格情報を安全に伝達できるようにする標準規格です。

備考: SAML SSOは、Notionのエンタープライズプランのワークスペースのみでご利用いただけます。詳細については、セールスにお問い合わせください →

  • サイドバーの 設定 に移動し、 セキュリティと認証 タブを選択します。 SAMLシングルサインオン セクションまで下にスクロールします。

  • メールドメイン: SAML SSOを有効にしたいメールドメインを設定してください。以下で詳細な手順を紹介しています。

  • シングルサインオンのURL: IDプロバイダー(IDP)を設定する際には、これをコピーして使用してください。

  • IDPメタデータのURL/XML: IDプロバイダー(IDP)から提供されたURLかXMLをここに入力します。

SAML SSOのメールドメインの設定するには、まず自分がそのドメインの所有者であることを証明するための検証を行います。NotionでSAML SSOを有効にするには、少なくとも1つの検証済みドメインを所有している必要があります。

ドメインの検証はドメインを追加してから1週間以内に行う必要があります。1週間を過ぎると検証コードが期限切れとなり、UI上で再度ドメインの追加が必要になります。

ステップ1: 新しいドメインの追加

  • SAMLシングルサインオンセクションで、 ドメインの追加 ボタンをクリックします。

  • 検証したいドメインを入力し、 次へ ボタンをクリックします。

備考: SAML SSOのサブドメインの検証はサポートされていません。

ステップ2: ドメインの検証

  • 次の手順に沿って、Notionでドメインを検証してください。

    1. ドメインホストのDNSレコードセクションにアクセスします。

    2. 新しいTXTレコードを作成し、上記のコードを値として貼りつけます。

    3. 通常、数分で変更が完了します。ただし、DNSレコードが反映されるまでに最長72時間かかる場合があります。

    4. 検証 をクリックすると、DNSレコードの確認を依頼する通知がNotionに送信されます。

    5. ドメインの検証が完了したら、ドメインからTXTレコードを削除できます。

  • ドメインが検証されたら、ドメインが検証されたことを知らせるメッセージが届きます。

  • SAMLを有効にすると、検証したメールドメインを含むメールアドレスを使用しているユーザーは誰でも、SAML SSOを使用してログインできるようになります。

以下は、Azure、Google、Oktaを利用する場合の、NotionのSAML SSOの設定手順です。別のIDプロバイダーを利用しており、設定についてサポートが必要な場合は、サポートチームにお問い合わせください

Azure

以下のAzureのウェブサイトのドキュメントでも手順をご覧いただけます。

ステップ1: 新しいアプリケーションインテグレーションを作成する

  • Azureポータルにサインインし、左のナビゲーションウィンドウで「Azure Active Directory」サービスを選択します。

  • 「エンタープライズアプリケーション」に移動し、「すべてのアプリケーション」を選択します。

  • 新しいアプリケーションを追加するには、「新しいアプリケーション」を選択します。

  • 「ギャラリーから追加する」セクションで、検索ボックスに「Notion」と入力します。結果パネルから「Notion」を選択し、アプリを追加します。数秒後に、アプリがお使いのテナントに追加されます。

ステップ 2:SAMLインテグレーションを作成する

  • AzureポータルのNotionアプリケーション統合ページにある「管理」セクションで「シングルサインオン」を選択します。

  • 「シングルサインオンの方式の選択」ページで「SAML」を選択します。

ステップ3: SAMLを設定する

  • 「SAMLによるシングルサインオンのセットアップ」ページで、「基本的なSAML構成」の鉛筆のアイコンをクリックして設定を編集します。

  • 「基本的なSAML構成」セクションで、アプリケーションをIDP開始モードで構成する場合は、次のフィールドの値を入力します。

    • 応答URLのテキストボックスには、左手のサイドバーの 設定セキュリティと認証 タブにあるNotonからのシングルサインオンのURLを使用します。

  • アプリケーションをSP開始モードで構成する場合は、「追加のURLを設定します」をクリックして次の手順を実行します。

    • サインオンURLのテキストボックスには、 https://www.notion.so/login を入力します。

  • 「ユーザー属性&クレーム」セクションで、以下のユーザー属性を対応するソース属性に設定します。

    • 名前: ソース属性

    • email: user.mail

    • firstName: user.givenname

    • lastName: user.surname

  • 「SAMLでシングルサインオンをセットアップします」ページの「SAML署名証明書」セクションで、コピーボタンをクリックして「アプリのフェデレーションメタデータURL」をコピーします。

  • Notionワークスペースの 設定 > セキュリティと認証 にアクセスし、コピーした値をIDPメタデータURLのフィールドに貼り付けます。

ステップ4: Notionにユーザーを割り当てる

  • Azureポータルで「エンタープライズアプリケーション」を選択し、「すべてのアプリケーション」を選択します。アプリケーションの一覧から「Notion」を選択します。

  • アプリの概要ページで、「管理」セクションを見つけ「ユーザーとグループ」を選択します。

  • 「ユーザーの追加」を選択し、「割り当ての追加」ダイアログで「ユーザーとグループ」を選択します。

  • 「ユーザーとグループ」ダイアログで、「ユーザー」の一覧から選択し、次に画面下部にある「選択」ボタンをクリックします。

  • ユーザーにロールが割り当てられることが想定される場合は、「ロールの選択」ドロップダウンから選択できます。このアプリについてロールが設定されていない場合は、「既定のアクセス」ロールが選択されます。

  • 「割り当ての追加」ダイアログで「割り当て」をクリックします。


Google

以下のGoogleのウェブサイトのドキュメントでも手順をご覧いただけます。

ステップ1: 新しいアプリケーションインテグレーションを作成する

  • https://admin.google.com/ で、管理コンソールにサインインします。特権管理者権限のあるアカウントを必ず使用してください。

  • 管理コンソールのホームぺージから

    「アプリ」 > 「ウェブアプリとモバイルアプリ」にアクセスします。

  • 「アプリの追加」 > 「プライベートSAMLアプリの追加」をクリックします。

  • 「アプリの詳細」ページで、カスタムアプリの名前を入力します。

  • 「続行」をクリックします。

ステップ2: SAMLインテグレーションを作成する

  • 「Google IDプロバイダの詳細」ページで、IDPメタデータへのリンクをコピーし、NotionのIDPメタデータURLのフィールドに入力します。

    • または、IDPメタデータをダウンロードし、このファイルの内容を、NotionのIDPメタデータXMLフィールドにコピーします。

  • 「続行」をクリックします。

ステップ3: SAMLを設定する

  • 「サービスプロバイダの詳細」ウィンドウで、Notionアプリの「ACSのURL」、「エンティティID」を入力します。

    • ACS URLについては、左手のサイドバーの 設定セキュリティと認証 タブにあるシングルサインオンのURLを使用します。

    • エンティティIDについては、 https://www.notion.so/sso/saml を使用します。

  • デフォルトの「名前ID」はメインのメールアドレスです。

  • 「続行」をクリックして「アプリの属性」を追加します。

    • 「属性のマッピング」ページで、

      「マッピングを追加」をクリックして追加の属性をマッピングします。


Okta

以下のOktaのウェブサイトのドキュメントでも手順をご覧いただけます。

ステップ1: OktaのアプリケーションディレクトリからNotionアプリを追加する

  • 管理者としてOktaにログインし、Oktaの管理コンソールにアクセスして、上部メニューバーのドロップダウンから「Classic UI(クラシックUI)」を選択します。

  • 「Applicatoin(アプリケーション)」> 「Add Application(アプリケーションを追加)」に移動し、Oktaのアプリディレクトリで「Notion」を検索します。

  • 「Notion」アプリを選択して、「Add(追加)」をクリックします。

ステップ2: Notionアプリケーションの設定

  • 一般的な設定を確認し(おそらくここで変更を行う必要はありません)、「Next(次へ)」をクリックします。

  • SAML 2.0を選択します。

  • オプションとして、「View Setup Instructions(セットアップ手順を表示)」をクリックすると、Okta版のこのドキュメントが表示されます。

  • 「Organizaton ID(組織ID)」を入力します。

    • 左手のサイドバーにある 設定セキュリティと認証 タブにアクセスします。

    • シングルサインオンURLの最後の部分xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx のようなダッシュ記号付きの英数字)をコピーし、それを組織IDとして入力します。URL全体をコピーしないようご注意ください。

    • コピーした xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx IDをOktaの組織IDフィールドに貼り付けます。

    • 「Done(完了)」をクリックします。

ステップ3: Notionにユーザーとグループを割り当てる

  • Oktaの「Assignment(割り当て)」タブで、Notionにユーザーとグループを割り当てることができます。


NotionとIDPのためにSAML SSOを設定したら、さらに以下の設定をカスタマイズできます。

  • サインイン時にアカウントを自動的に作成する: サインインした全ユーザーをNotionのワークスペースの有料メンバーとして自動的に追加したい場合は、有効にします。

    • SAMLメールドメインが 設定 の下の 許可されたメールドメイン に設定されていることを確認してください。

  • SAMLを有効にする: これをオンにすると、設定されたドメインを持つユーザーがSAML SSOでログインできるようになります。引き続き、他の方法でもログインできます。

  • SAMLを強制する: これをオンにすると、設定されたドメインのメールアドレスを持つユーザーが、サインイン時にSAML SSOのみ使用できるようになります。Notionの管理者は、引き続きメールアドレスを使用してログインできます。

SAML SSOを設定中にエラーが発生した場合は、IDPのメタデータ、SAML要求と応答が、SAML XSDスキーマに対して有効なXMLであることを確認してください。次のオンラインツールを使用して確認できます。https://www.samltool.com/validate_xml.php

EntitiesDescriptor 要素はサポートされていないため、ご注意ください。IDPのメタデータにこの要素が含まれている場合は、含まれている EntityDescriptor 要素を取り出して、再びお試しください。


よくあるご質問(FAQ)

私の会社は、上のリストに載っていないIDサービスプロバイダー(IDP)を使用していますが、サポートされますか?

お使いのIDPが、動的構成用のSAMLメタデータURLを提供する場合は、上記と同じ手順で設定してください。他のIDPのSAML設定については、サポートチームにお問い合わせください。

NotionのSAML SSOはユーザープロビジョニングをどのように処理しますか?

Notionは、SAML SSO設定でサインイン時にアカウントを自動的に作成するを有効にしている場合、ジャストインタイム(JIT)プロビジョニングを提供しています。

SAML SSOを強制にするとユーザーはログアウトされますか?

いいえ、アクティブなユーザーセッションは、期限切れになるまでログイン状態が継続します。次回ログイン時には、SAML SSOでログインする必要があります。

NotionのSAML SSOはシングルログアウトをサポートしていますか?

現時点ではしていません。シングルログアウトがお客様にとって重要な場合は、ぜひサポートチームにその旨をお知らせください。

利用しているIDプロバイダーがサービス停止している場合でもNotionにログインできますか?

はい、SAMLが強制されている場合も、Notionの管理者には、メールでログインするオプションがあります。その後、管理者は、ユーザーがメールで再びログインできるようにSAML設定を変更して、SAMLを強制するオプションを無効にできます。

プロフィール写真は、IDPからNotionに送信されますか?

はい。profilePhotoは、オプションのカスタム属性です。この属性を、IDPの対応する属性に割り当てることができます。ただし属性が画像のURLを含んでいる場合に限ります。profilePhotoフィールドが設定されている場合、ユーザーがSAML SSOを使用してサインインした時、この画像がNotionのアバターとして使用されます。

さらにご質問がある場合は、メッセージを送信してください。

フィードバックを送信

このコンテンツは役に立ちましたか?


次へ

SCIMでのユーザーやグループのプロビジョニング

System for Cross-domain Identity Management (SCIM) API標準規格により、Notionワークスペースのユーザーやグループのプロビジョニングや管理ができます 🔑