SAML SSO構成

Notionのシングルサインオン（SSO）サービスは、SAML（Security Assertion Markup Language）2.0を基に構築されています。SAML 2.0はIDマネージャーがNotionのようなサービスプロバイダーに認証情報を安全に伝達できるようにし、IDプロバイダー（IdP）とワークスペースを接続して、より簡単かつ安全にログインできるようにする標準規格です。

SSOサービスを使用すると、ユーザーは1組の認証情報（たとえば、名前またはメールアドレスとパスワード）を使用して複数のアプリーケーションにアクセスできます。アクセス権を持つすべてのアプリケーションに対するエンドユーザーの認証が一度で完了するので、同じセッション中はアプリケーションを切り替えてもさらなる認証を求められることがありません。

• ビジネスプランまたはエンタープライズプランのワークスペースであること

• IDプロバイダー（IdP）がSAML 2.0標準規格をサポートしていること

• ワークスペースオーナーのみが、NotionワークスペースのSAML SSOを設定可能

• ワークスペースオーナーにより、少なくとも1つのドメインが検証済みであること

• 「許可されたメールドメイン」の設定にメールドメインが含まれていないこと

• ワークスペースオーナーは複数のシステムのユーザー管理を効率的に行えます。

• エンドユーザーは複数のパスワードを管理して覚えておく必要がなくなります。単一のアクセスポイントでサインインし、複数のアプリケーション間をシームレスに切り替えられるようになるため、エンドユーザーにおける煩雑な操作が不要になります。

• 設定メニューを開き、設定タブを選択します。

• 許可されたメールドメインのセクションで、すべてのメールドメインを削除します。

• その後認証とプロビジョンタブを選択します。

• 1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください →

• SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

• SAML SSOの設定モーダルは、次の2つのパートに分かれています。

  • アサーション・コンシューマー・サービス（ACS）URLは、IDプロバイダー（IdP）のポータルに入力されます。

  • IDプロバイダーの詳細は、IdP URLまたはIDPメタデータXMLのいずれかをNotionに提供する必要があるフィールドです。

この情報の入力先と入手先については、以下の各IdPのガイドをご覧ください。

ドメインを検証し、SAML SSOを有効にしたワークスペースのリンクされたワークスペースセクションに、SAML SSO設定に関連付けられているすべてのワークスペースが一覧表示されます。

検証済みメールアドレスを持ち、メインのワークスペースまたはリンクされたワークスペースの1つにアクセスできるユーザーは、SAML SSOでログインできます。

SAML SSO設定へのワークスペースの追加や削除については、サポート（support@makenotion.com）までご連絡ください。

単一のワークスペースに対してSAML SSOの設定を完了すると、ユーザー名/パスワードやGoogle認証などの他のログイン方法に加えて、SAML SSOでログインできるようになります。

• ユーザーがログイン時にSAML SSOのみを使用でき、他の方法を使用できないようにするには、ログイン方法を SAML SSO のみ に更新します。

• 検証済みドメインを持ち、メインのワークスペースまたはリンクされたワークスペースにアクセスできるユーザーに対してのみ、SAML SSOが強制されます。

• Notionワークスペースのページに招待されたゲストは、SAML SSOを使用してログインできません。したがって、メール＋パスワードか、「Google/Appleアカウントでログインする」のオプションを使用して常にログインする必要があります。

• ワークスペースオーナーには常に、メールとパスワードの認証情報を使用することで、SAML SSOを回避できるオプションが用意されています。これは、IdP/SAMLに障害が発生した場合でも、Notionにアクセスし、ログインして、設定の無効化や更新を行うことができるようにするためです。

Notionは、SAML SSOの使用時にジャストインタイム（JIT）プロビジョニングをサポートしています。これにより、SAML SSOでサインインしたユーザーは、メンバーとしてワークスペースに自動的に参加できます。

ジャストインタイム（JIT）プロビジョニングを有効にするには

• 設定 -> 認証とプロビジョンで、アカウントの自動作成が有効になっていることを確認します。

この解説は、Azure、Google、 Okta、OneLoginでNotion SAML SSOを設定するためのものです。これ以外のIDプロバイダーを利用しており、設定についてサポートが必要な場合は、サポートチームにお問い合わせください。

以下のAzureのウェブサイトのドキュメントでも手順をご覧いただけます。

• Azure Active Directoryシングルサインオン（SSO）とNotionの統合

ステップ1： 新しいアプリケーションインテグレーションを作成する

• Azure portalにログインし、左側のナビゲーションパネルで Azure Active Directory サービスを選択します。

•  エンタープライズアプリケーション に移動して、 すべてのアプリケーション を選択します。

• 新しいアプリケーションを追加するには、 新しいアプリケーションを選択します。

• ギャラリーから 追加 を選び、検索ボックスに 「Notion」 と入力します。検索結果のパネルから 「Notion」 を選択し、アプリケーションを追加します。しばらく待つとアプリケーションがテナントに追加されます。

ステップ 2：SAML統合を作成する

• Azure portalの Notion アプリケーション統合ページで、 管理 セクションを見つけて シングルサインオン を選択します。

• シングルサインオン方式の選択 ページで SAML を選択します。

ステップ3： SAMLを設定する

• Notionの設定メニューを開き、設定タブをクリックします。

• 許可されたメールドメインのセクションで、すべてのメールドメインを削除します。

• その後認証とプロビジョンタブを選択します。

• 1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください →

  ワークスペースのドメイン検証

• SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

• SAML SSO設定ウインドウは2つの部分に分かれています。1つ目はIDプロバイダ（IDP）の設定メニューに入力する アサーションコンシューマーサービス（ACS）URL 、2つ目はIDプロバイダの詳細で、IDP URLかIDPメタデータXMLのいずれかをNotionに提供する必要があります。

ステップ4： Azure Active DirectoryでNotionアプリを設定する

•  SAMLによるシングルサインオンのセットアップ のページで、 基本的なSAML構成 の鉛筆アイコンをクリックして設定を編集します。

•  基本的なSAML構成 セクションで、アプリケーションを IDP 開始モードで構成する場合は、次のフィールドに値を入力します。
  

  • 識別子 (エンティティID)テキストボックスに、 https://www.notion.so/ja-jp/sso/saml の形式でURLを入力します。

  •  応答URL (Assertion Consumer Service URL) テキストボックスには、左側のサイドバーの 設定 メニューにある 認証とプロビジョン タブをクリックし、NotionのACS URLを入力します。

  • サインオンURLテキストボックスに、次のURLを入力します： https://www.notion.so/ja-jp/login

• ユーザー属性とクレームセクションで、必要なクレームを設定します。
  

  • 一意のユーザー識別子 (名前ID): user.userprincipalname[nameid-format:emailAddress]

  • firstName： user.givenname

  • lastName： user.surname

  • email： user.mail

•  SAMLによるシングルサインオンのセットアップ ページの SAML署名証明書 セクションで、 アプリのフェデレーションメタデータURL の隣にあるコピーボタンをクリックします。

• Notionワークスペースの 設定 メニューに移動し、 認証とプロビジョン タブをクリックして、先ほどコピーした アプリのフェデレーションメタデータURL を IDPメタデータURL テキストボックスにペーストします。 IDプロバイダーのURL のラジオボタンが選択されていることを確認してください。

ステップ5： Notionにユーザーを割り当てる

• Azure portalで エンタープライズアプリケーション を選択し、 すべてのアプリケーション を選択します。アプリケーションの一覧で 「Notion」 を選択します。

• アプリケーションの概要ページで 管理 セクションを見つけ、 ユーザーとグループ を選択します。

• ユーザーの追加を選択し、割り当ての追加ダイアログで ユーザーとグループを選択します。

•  ユーザーとグループ ダイアログの ユーザー の一覧からユーザー名を選択し、画面の下部にある 選択 ボタンをクリックします。

• ロールが割り当てられることが想定される場合は、 ロールの選択 ドロップダウンから選択できます。このアプリケーションに対してロールが設定されていない場合は、「既定のアクセス」ロールが選択されています。

•  割り当ての追加 ダイアログで、 割り当て ボタンをクリックします。

Google Workspace管理者ヘルプセンターのドキュメントでも手順をご覧いただけます。

• Notion Cloudアプリケーション

ステップ1： Google IDプロバイダ（IdP）の情報を取得する

• 適切なアクセス許可を持つユーザーアカウントが必要なため、管理者アカウントにサインインしてください。

• 管理コンソールで、 メニュー → アプリ → ウェブアプリとモバイルアプリ に移動します。

• 検索フィールドに「Notion」と入力し、Notion SAMLアプリを選択します。

• Google IDプロバイダー の詳細ページで、IdPメタデータファイルをダウンロードします。

• 互換性のあるエディターで、 GoogleIDPMetadata.xml ファイルを開き、ファイルの中身を選択してコピーします。

• 管理コンソールを開いたまま、Notionアプリで次のステップを実行した後、設定ウィザードを続行します。

ステップ2： SAML 2.0サービスプロバイダーとしてNotionを設定する

• Notionの 設定 メニューで 設定 タブを選択します。

• 許可されたメールドメイン のセクションで、すべてのメールドメインを削除します。

• 認証とプロビジョン タブを選択します。

• 新しいドメインを追加して、検証します。これはGoogle Workspaceドメインと同じである必要があります。

• SAMLシングルサインオン（SSO） 設定で、 SAML SSOを有効にする をオンに切り替えます。そうすると、 SAML SSO設定 ダイアログが開きます。

• ダイアログで、次の操作を行います。

  1. IDプロバイダーの詳細 で、 IDPメタデータXML を選択します。

  2. 上記ステップ1でコピーしたGoogleIDPMetadata.xmlファイルの中身を、IDPメタデータXMLのテキストボックスにペーストします。

  3. アサーションコンシューマーサービス（ACS）URLをコピーして保存します。以下のステップ3でGoogle側の管理コンソールの設定を完了する際に、これが必要になります。

  4. 変更を保存 をクリックします。

• ログイン方法、アカウントの自動作成、リンクされたワークスペースなどの他のオプションに、設定に必要な値が入力されていることを確認します。

ステップ3： 管理コンソールでSSO設定を完了する

• 管理コンソールのブラウザタブに戻ります。

• Google IDプロバイダーの詳細 ページで、 続ける をクリックします。

• サービスプロバイダーの詳細 ページで、ACS URLを上記ステップ2でコピーしたACS URLに置き換えます。

• 続ける をクリックします。

• 属性のマッピング ページで、 フィールドを選択 メニューをクリックし、以下のGoogleディレクトリ属性を対応するNotionの属性にマッピングします。名、姓、メールは、必須属性であることにご留意ください。

  

  備考： profilePhoto属性を使用して、Notionにユーザーの画像を追加できます。これを行うには カスタム属性を作成 し、画像のURLパスをユーザープロファイルに入力、その後カスタム属性をprofilePhotoにマッピングします。

• 任意：マッピングを追加 をクリックして、必要なマッピングを追加します。

• 任意： SAMLレスポンスでユーザーのグループメンバー情報を送信したい場合は、このアプリに関連するグループ名を グループメンバー フィールドに入力します。

  • Googleグループ の グループを検索 の入力フィールドをクリックします。

  • グループ名の最初の1文字か数文字を入力します。

  • リストからグループ名を選択します。

  • 必要に応じてグループを追加します。（グループの総数は最大75です。）

  • アプリの属性 で、サービスプロバイダーの対応するグループ属性名を入力します。

• 完了 をクリックします。

ステップ4： Notionアプリを有効にする

• 管理コンソールで、メニュー → アプリ → ウェブアプリとモバイルアプリ に移動します。

• Notionを選択します。

• ユーザーアクセスをクリックします。

• 組織内のすべてのユーザーに対してサービスの有効・無効を設定するには、オン（すべてのユーザー）またはオフ（すべてのユーザー）を選択し、保存をクリックします。

• オプション： 特定の組織部門に対してサービスの有効・無効を設定するには、以下の操作を行います。

  • 左側で、組織部門を選択します。

  • サービスのステータスを変更するには オン または オフ を選択します。

  • 次のいずれかを選択します： サービスのステータスが 継承 になっており、親の設定が変更された場合でも更新された設定を維持したい場合は、 オーバーライド をクリックします。サービスのステータスが 上書きされました になっている場合は、 継承 をクリックして親と同じ設定に戻すか、 保存 をクリックして親の設定が変更された場合でも新しい設定を維持します。備考： 詳しくは組織構造をご覧ください。

• 任意： ユーザーグループに対してサービスをオンにします。アクセスグループを使用して、組織部門全体または組織部門内の特定のユーザーに対してサービスを有効にします。詳しくはこちら

• NotionのユーザーアカウントのメールIDがGoogleドメインのメールIDと一致していることを確認してください。

以下のOktaのウェブサイトのドキュメントでも手順をご覧いただけます。

• How to Configure SAML 2.0 for Notion（Notion用SAML 2.0の構成方法）

ステップ1： OktaのアプリケーションディレクトリからNotionアプリを追加する

• Oktaに管理者としてログインし、Okta管理コンソールに移動します。

• アプリケーションタブに移動し、アプリカタログを参照を選択して、 Oktaのアプリカタログから「Notion」を検索します。

• Notionアプリを選択し、インテグレーションの追加をクリックします。

• 一般設定 の画面で設定を確認し、 次へ をクリックします。

• サインオンのオプション 画面で、SAML 2.0を選択します。

• 高度なサインオン設定 のセクションで アイデンティティプロバイダーのメタデータ をクリックします。ブラウザーの新しいタブが開くので、そのURLのリンクをコピーします。

ステップ2： NotionでSAML設定を行う

• Notionの設定メニューを開き、設定タブをクリックします。

• 許可されたメールドメインのセクションで、すべてのメールドメインを削除します。

• その後認証とプロビジョンタブを選択します。

• 1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください → ワークスペースのドメイン検証

• SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

• SAML SSO設定ウインドウは2つの部分に分かれています。1つ目はIDプロバイダ（IDP）の設定メニューに入力する アサーションコンシューマーサービス（ACS）URL 、2つ目はIDプロバイダの詳細で、IDP URLかIDPメタデータXMLのいずれかをNotionに提供する必要があります。
  

  • IDプロバイダーのURL を選び、ステップ1でコピーした アイデンティティプロバイダーのメタデータ のURLをペーストし、変更を保存します。

• 認証とプロビジョン タブをスクロールして、ワークスペースID識別子をコピーします。

• Okta管理コンソール > 高度なサインオン設定 のセクションの順に移動し、 組織ID のテキストボックスに ワークスペースID をペーストします。

• 資格情報の詳細 セクションで、 アプリケーションユーザー名フォーマット のドロップダウンメニューから メール を選択し、完了をクリックします。

ステップ3： Notionにユーザーとグループを割り当てる

• Okta > 割り当て タブで、ユーザーやグループをNotionに割り当てることができます。

以下のOneLoginのウェブサイトのドキュメントでも手順をご覧いただけます。

• Notion用のSAMLの構成

ステップ1： 新しいアプリケーションインテグレーションを作成する

• プロビジョニングをまだ設定していない場合は、Administration(管理) → Applications(アプリケーション) → Applications(アプリケーション) にアクセスして Add App(アプリの追加) ボタンをクリックし、検索ボックスで「Notion」を検索して、NotionのSAML 2.0バージョンを選択してください。

• Save(保存)をクリックします。

ステップ2： SAMLインテグレーションを作成する

• それ以外の場合は、Applications(アプリケーション) → Applications(アプリケーション)に移動し、追加したNotionアプリケーションコネクタを選択します。

• SSOタブに移動し、Issuer URL(発行者URL)の値をコピーします。後で利用できるように、どこかに貼り付けておきます。

ステップ3： SAMLを設定する

• Notionの設定メニューを開き、設定タブをクリックします。

• 許可されたメールドメインのセクションで、すべてのメールドメインを削除します。

• その後認証とプロビジョンタブを選択します。

• 1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください → ワークスペースのドメイン検証

• SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

• SAML SSO設定ウインドウは2つの部分に分かれています。1つ目はIDプロバイダ（IDP）の設定メニューに入力する アサーションコンシューマーサービス（ACS）URL 、2つ目はIDプロバイダの詳細で、IDP URLかIDPメタデータXMLのいずれかをNotionに提供する必要があります。

ステップ4：OneLoginでNotionアプリケーションを設定する

• Notionからアサーションコンシューマーサービス（ACS）URLをコピーします。

• OneLoginのAdministration(管理)UIに戻ります。

• OneLoginアカウントにちょうど今追加したNorionアプリケーションコネクタの構成タブに移動します。

• Notionからのアサーションコンシューマーサービス（ACS）URLをConsumer URL(コンシューマーURL)テキストボックスに貼り付けます。

• Save(保存)をクリックします。

• NotionのSAML SSO構成の変更設定に戻ります。

• OneLogin URLのSSOタブからコピーしたIssuer URL(発行者URL)をIDプロバイダのURLテキストボックスに貼り付けます。IDプロバイダURLのラジオボタンが選択されていることを確認します。

以下のRipplingのウェブサイトで、詳細なドキュメントをご覧いただけます。

• Rippling API： シングルサインオン

SAML SSOを設定中にエラーが発生した場合は、IDPのメタデータ、SAML要求と応答が、SAML XSDスキーマに対して有効なXMLであることを確認してください。次のオンラインツールを使用して確認できます。https://www.samltool.com/validate_xml.php

EntitiesDescriptor 要素はサポートされていないため、ご注意ください。IDPのメタデータにこの要素が含まれている場合は、含まれている EntityDescriptor 要素を取り出して、再びお試しください。