SAML SSO構成
Notionは、エンタープライズプランのお客様に、単一の認証ソースを介してアプリにアクセスするための、シングルサインオン(SSO)機能を提供しています。これにより、IT管理者はチームのアクセスを適切に管理でき、情報をより安全に保つことができます 🔐
Notionでは、SAML(Security Assertion Markup Language)を使用しています。SAMLはIDマネージャーがNotionのようなサービスプロバイダーに認証資格情報を安全に伝達できるようにする標準規格です。
備考: SAML SSOは、Notionのエンタープライズプランのワークスペースのみでご利用いただけます。詳細については、セールスにお問い合わせください →
サイドバーの
設定
に移動し、セキュリティと認証
タブを選択します。SAMLシングルサインオン
セクションまで下にスクロールします。
メールドメイン: SAML SSOを有効にしたいメールドメインを設定してください。以下で詳細な手順を紹介しています。
シングルサインオンのURL: IDプロバイダー(IDP)を設定する際には、これをコピーして使用してください。
IDPメタデータのURL/XML: IDプロバイダー(IDP)から提供されたURLかXMLをここに入力します。
SAML SSOのメールドメインの設定するには、まず自分がそのドメインの所有者であることを証明するための検証を行います。NotionでSAML SSOを有効にするには、少なくとも1つの検証済みドメインを所有している必要があります。
ドメインの検証はドメインを追加してから1週間以内に行う必要があります。1週間を過ぎると検証コードが期限切れとなり、UI上で再度ドメインの追加が必要になります。
ステップ1: 新しいドメインの追加
SAMLシングルサインオンセクションで、
ドメインの追加
ボタンをクリックします。検証したいドメインを入力し、
次へ
ボタンをクリックします。
備考: SAML SSOのサブドメインの検証はサポートされていません。
ステップ2: ドメインの検証
次の手順に沿って、Notionでドメインを検証してください。
ドメインホストのDNSレコードセクションにアクセスします。
新しいTXTレコードを作成し、上記のコードを値として貼りつけます。
通常、数分で変更が完了します。ただし、DNSレコードが反映されるまでに最長72時間かかる場合があります。
検証
をクリックすると、DNSレコードの確認を依頼する通知がNotionに送信されます。ドメインの検証が完了したら、ドメインからTXTレコードを削除できます。
ドメインが検証されたら、ドメインが検証されたことを知らせるメッセージが届きます。
SAMLを有効にすると、検証したメールドメインを含むメールアドレスを使用しているユーザーは誰でも、SAML SSOを使用してログインできるようになります。
以下は、Azure、Google、Oktaを利用する場合の、NotionのSAML SSOの設定手順です。別のIDプロバイダーを利用しており、設定についてサポートが必要な場合は、サポートチームにお問い合わせください。
Azure
以下のAzureのウェブサイトのドキュメントでも手順をご覧いただけます。
ステップ1: 新しいアプリケーションインテグレーションを作成する
Azureポータルにサインインし、左のナビゲーションウィンドウで「Azure Active Directory」サービスを選択します。
「エンタープライズアプリケーション」に移動し、「すべてのアプリケーション」を選択します。
新しいアプリケーションを追加するには、「新しいアプリケーション」を選択します。
「ギャラリーから追加する」セクションで、検索ボックスに「Notion」と入力します。結果パネルから「Notion」を選択し、アプリを追加します。数秒後に、アプリがお使いのテナントに追加されます。
ステップ 2:SAMLインテグレーションを作成する
AzureポータルのNotionアプリケーション統合ページにある「管理」セクションで「シングルサインオン」を選択します。
「シングルサインオンの方式の選択」ページで「SAML」を選択します。
ステップ3: SAMLを設定する
「SAMLによるシングルサインオンのセットアップ」ページで、「基本的なSAML構成」の鉛筆のアイコンをクリックして設定を編集します。
「基本的なSAML構成」セクションで、アプリケーションをIDP開始モードで構成する場合は、次のフィールドの値を入力します。
応答URLのテキストボックスには、左手のサイドバーの
設定
のセキュリティと認証
タブにあるNotonからのシングルサインオンのURLを使用します。
アプリケーションをSP開始モードで構成する場合は、「追加のURLを設定します」をクリックして次の手順を実行します。
サインオンURLのテキストボックスには、
https://www.notion.so/login
を入力します。
「ユーザー属性&クレーム」セクションで、以下のユーザー属性を対応するソース属性に設定します。
名前: ソース属性
email: user.mail
firstName: user.givenname
lastName: user.surname
「SAMLでシングルサインオンをセットアップします」ページの「SAML署名証明書」セクションで、コピーボタンをクリックして「アプリのフェデレーションメタデータURL」をコピーします。
Notionワークスペースの
設定
>セキュリティと認証
にアクセスし、コピーした値をIDPメタデータURLのフィールドに貼り付けます。
ステップ4: Notionにユーザーを割り当てる
Azureポータルで「エンタープライズアプリケーション」を選択し、「すべてのアプリケーション」を選択します。アプリケーションの一覧から「Notion」を選択します。
アプリの概要ページで、「管理」セクションを見つけ「ユーザーとグループ」を選択します。
「ユーザーの追加」を選択し、「割り当ての追加」ダイアログで「ユーザーとグループ」を選択します。
「ユーザーとグループ」ダイアログで、「ユーザー」の一覧から選択し、次に画面下部にある「選択」ボタンをクリックします。
ユーザーにロールが割り当てられることが想定される場合は、「ロールの選択」ドロップダウンから選択できます。このアプリについてロールが設定されていない場合は、「既定のアクセス」ロールが選択されます。
「割り当ての追加」ダイアログで「割り当て」をクリックします。
以下のGoogleのウェブサイトのドキュメントでも手順をご覧いただけます。
ステップ1: 新しいアプリケーションインテグレーションを作成する
https://admin.google.com/ で、管理コンソールにサインインします。特権管理者権限のあるアカウントを必ず使用してください。
管理コンソールのホームぺージから
「アプリ」 > 「ウェブアプリとモバイルアプリ」にアクセスします。
「アプリの追加」 > 「プライベートSAMLアプリの追加」をクリックします。
「アプリの詳細」ページで、カスタムアプリの名前を入力します。
「続行」をクリックします。
ステップ2: SAMLインテグレーションを作成する
「Google IDプロバイダの詳細」ページで、IDPメタデータへのリンクをコピーし、NotionのIDPメタデータURLのフィールドに入力します。
または、IDPメタデータをダウンロードし、このファイルの内容を、NotionのIDPメタデータXMLフィールドにコピーします。
「続行」をクリックします。
ステップ3: SAMLを設定する
「サービスプロバイダの詳細」ウィンドウで、Notionアプリの「ACSのURL」、「エンティティID」を入力します。
ACS URLについては、左手のサイドバーの
設定
のセキュリティと認証
タブにあるシングルサインオンのURLを使用します。エンティティIDについては、
https://www.notion.so/sso/saml
を使用します。
デフォルトの「名前ID」はメインのメールアドレスです。
「続行」をクリックして「アプリの属性」を追加します。
「属性のマッピング」ページで、
「マッピングを追加」をクリックして追加の属性をマッピングします。
Okta
以下のOktaのウェブサイトのドキュメントでも手順をご覧いただけます。
または、以下の「View Setup Instructions(セットアップ手順を表示)」をクリックすると、Oktaの設定内容が事前入力されます。
ステップ1: OktaのアプリケーションディレクトリからNotionアプリを追加する
管理者としてOktaにログインし、Oktaの管理コンソールにアクセスして、上部メニューバーのドロップダウンから「Classic UI(クラシックUI)」を選択します。
「Applicatoin(アプリケーション)」> 「Add Application(アプリケーションを追加)」に移動し、Oktaのアプリディレクトリで「Notion」を検索します。
「Notion」アプリを選択して、「Add(追加)」をクリックします。
ステップ2: Notionアプリケーションの設定
一般的な設定を確認し(おそらくここで変更を行う必要はありません)、「Next(次へ)」をクリックします。
SAML 2.0を選択します。
オプションとして、「View Setup Instructions(セットアップ手順を表示)」をクリックすると、Okta版のこのドキュメントが表示されます。
「Organizaton ID(組織ID)」を入力します。
左手のサイドバーにある
設定
のセキュリティと認証
タブにアクセスします。シングルサインオンURLの最後の部分(
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
のようなダッシュ記号付きの英数字)をコピーし、それを組織IDとして入力します。URL全体をコピーしないようご注意ください。コピーした
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
IDをOktaの組織IDフィールドに貼り付けます。「Done(完了)」をクリックします。
ステップ3: Notionにユーザーとグループを割り当てる
Oktaの「Assignment(割り当て)」タブで、Notionにユーザーとグループを割り当てることができます。
NotionとIDPのためにSAML SSOを設定したら、さらに以下の設定をカスタマイズできます。
サインイン時にアカウントを自動的に作成する: サインインした全ユーザーをNotionのワークスペースの有料メンバーとして自動的に追加したい場合は、有効にします。
SAMLメールドメインが
設定
の下の許可されたメールドメイン
に設定されていることを確認してください。
SAMLを有効にする: これをオンにすると、設定されたドメインを持つユーザーがSAML SSOでログインできるようになります。引き続き、他の方法でもログインできます。
SAMLを強制する: これをオンにすると、設定されたドメインのメールアドレスを持つユーザーが、サインイン時にSAML SSOのみ使用できるようになります。Notionの管理者は、引き続きメールアドレスを使用してログインできます。
SAML SSOを設定中にエラーが発生した場合は、IDPのメタデータ、SAML要求と応答が、SAML XSDスキーマに対して有効なXMLであることを確認してください。次のオンラインツールを使用して確認できます。https://www.samltool.com/validate_xml.php
EntitiesDescriptor
要素はサポートされていないため、ご注意ください。IDPのメタデータにこの要素が含まれている場合は、含まれている EntityDescriptor
要素を取り出して、再びお試しください。
よくあるご質問(FAQ)
- 私の会社は、上のリストに載っていないIDサービスプロバイダー(IDP)を使用していますが、サポートされますか?
お使いのIDPが、動的構成用のSAMLメタデータURLを提供する場合は、上記と同じ手順で設定してください。他のIDPのSAML設定については、サポートチームにお問い合わせください。
- NotionのSAML SSOはユーザープロビジョニングをどのように処理しますか?
SCIMでのユーザーとグループのプロビジョニングをご覧ください。
Notionは、SAML SSO設定で
サインイン時にアカウントを自動的に作成する
を有効にしている場合、ジャストインタイム(JIT)プロビジョニングを提供しています。
- SAML SSOを強制にするとユーザーはログアウトされますか?
いいえ、アクティブなユーザーセッションは、期限切れになるまでログイン状態が継続します。次回ログイン時には、SAML SSOでログインする必要があります。
- NotionのSAML SSOはシングルログアウトをサポートしていますか?
現時点ではしていません。シングルログアウトがお客様にとって重要な場合は、ぜひサポートチームにその旨をお知らせください。
- 利用しているIDプロバイダーがサービス停止している場合でもNotionにログインできますか?
はい、SAMLが強制されている場合も、Notionの管理者には、メールでログインするオプションがあります。その後、管理者は、ユーザーがメールで再びログインできるようにSAML設定を変更して、
SAMLを強制
するオプションを無効にできます。
- プロフィール写真は、IDPからNotionに送信されますか?
はい。profilePhotoは、オプションのカスタム属性です。この属性を、IDPの対応する属性に割り当てることができます。ただし属性が画像のURLを含んでいる場合に限ります。profilePhotoフィールドが設定されている場合、ユーザーがSAML SSOを使用してサインインした時、この画像がNotionのアバターとして使用されます。