SAML SSO 구성

SAML SSO 구성 - 메인
이 글에서는

Notion은 기업 고객이 하나의 인증 시스템으로 앱을 사용할 수 있도록 SSO(통합 로그인) 기능을 제공합니다. IT 관리자는 SSO 기능을 활용해 팀 권한을 편리하게 관리하고 정보 보안을 강화할 수 있습니다 🔐

자주 묻는 질문(FAQ)으로 이동

Notion의 SSO 서비스는 SAML(Security Assertion Markup Language) 2.0 표준을 기반으로 합니다. SAML 표준을 사용하면 ID 공급자(IDP)에서 Notion과 같은 서비스 공급자에 안전하게 인증 정보를 전달할 수 있고, 로그인 기능을 더 간편하면서도 안전하게 만들 수 있습니다.

SSO 서비스를 사용하면 사용자가 동일한 이름, 이메일 주소, 비밀 번호 등의 신원 정보를 사용해 여러 애플리케이션에 액세스할 수 있습니다. 사용자가 사용 권한을 가진 모든 애플리케이션에 대해 한 번만 사용자 인증을 하면 됩니다. 사용자가 세션을 실행하는 동안 애플리케이션을 전환하더라도 다시 인증할 필요가 없습니다.

Notion에서 SSO를 사용하기 위한 사전 요건

  • 기업 요금제로 워크스페이스를 이용해야 합니다.

  • ID 공급자(IDP)가 SAML 2.0 표준을 지원해야 합니다.

  • 워크스페이스 소유자만 Notion 워크스페이스의 SAML SSO를 구성할 수 있습니다.

  • 워크스페이스 소유자가 하나 이상의 도메인을 인증한 상태여야 합니다.

  • '허용된 이메일 도메인' 설정에 포함된 이메일 도메인이 없어야 합니다.

SSO의 이점

  • 워크스페이스 소유자의 전반적인 사용자 관리가 쉬워집니다.

  • 최종 사용자가 여러 개의 비밀번호를 기억하고 관리할 필요가 없습니다. 사용자가 하나의 액세스 포인트에서만 로그인해도 여러 애플리케이션을 활용할 수 있어 사용자 경험이 편리해집니다.

단일 워크스페이스에 SAML SSO 활성화

  • 설정과 멤버에서 설정 탭을 선택하세요.

  • 이메일 도메인 허용 섹션에서 이메일 도메인을 모두 제거하세요.

  • 신원과 프로비저닝 탭을 선택하세요.

  • SAML SSO(통합로그인) 활성화를 설정하면 SAML SSO(통합로그인) 구성 창이 자동으로 표시되고 설정을 완료하라는 메시지가 나타납니다.

  • SAML SSO 구성 섹션은 2개 부분으로 나누어져 있습니다.

    • ACS (Assertion Consumer Service) URL은 ID 공급자(IDP) 포털에 입력하세요.

    • ID 공급자 세부 정보 필드에는 Notion에 제공할 IDP URL이나 IDP 메타데이터 XML이 필요합니다.

IDP에서 제공하는 가이드를 참조해 정보를 어디서 확인하고 입력해야 하는지 자세히 알아보세요.

참고: 게스트는 Notion에서 SAML SSO가 지원되지 않습니다.

도메인 인증이 완료되고 SAML SSO가 활성화된 워크스페이스에는 연결된 워크스페이스 섹션이 있습니다. 여기에는 SAML SSO 구성에 연결된 모든 워크스페이스의 목록이 나타납니다.

인증된 이메일 주소를 사용하고 있고, 기본 워크스페이스 또는 연결된 워크스페이스 중 하나에 액세스할 수 있는 사용자라면 SAML SSO를 사용해 통합로그인할 수 있습니다.

SAML SSO 구성에서 워크스페이스를 추가하거나 제거하려면 team@makenotion.com으로 지원팀에 문의하세요.

SAML SSO 활성화

워크스페이스에 대해 SAML SSO를 구성하세요. 사용자들이 사용자 이름/비밀번호, Google 인증 등의 로그인 방법 외에도 SAML SSO를 사용한 통합로그인을 할 수 있게 됩니다.

  • 사용자가 SAML SSO(통합로그인)를 통해서만 로그인하고 다른 방법은 사용할 수 없도록 하려면 로그인 방법SAML SSO만 허용으로 변경하세요.

  • SAML SSO는 인증된 도메인을 사용하고 있고, 기본 워크스페이스 또는 연결된 워크스페이스에 대한 액세스 권한이 있는 사용자에게만 적용됩니다.

  • Notion 워크스페이스의 페이지에 초대된 게스트는 SAML SSO를 사용하여 로그인할 수 없습니다. 게스트는 항상 이메일/비밀번호 또는 "Google/Apple로 계속하기" 옵션을 사용해 로그인해야 합니다.

  • 워크스페이스 소유자는 언제든 SAML SSO 통합로그인 뿐 아니라, 사용자 이름과 비밀번호를 사용해서도 로그인할 수 있습니다. 이는 IDP/SAML 오류가 발생하는 경우에도 관리자는 Notion에 액세스할 수 있도록 하기 위한 설정입니다. 로그인한 후에 SAML SSO 구성을 비활성화하거나 업데이트할 수 있습니다.

Notion에서 SAML SSO(통합로그인)를 사용할 때 JIT 프로비저닝을 함께 활성화할 수 있습니다. SAML SSO를 통해 로그인하는 사람이 자동으로 워크스페이스 멤버로 참여할 수 있도록 설정하세요.

아래의 단계에 따라 JIT 프로비저닝을 활성화할 수 있습니다.

  • 설정과 멤버 -> 설정에서 SAML 도메인이 허용된 이메일 도메인으로 추가되었는지 확인하세요.

  • 설정과 멤버 -> 신원과 프로비저닝에서 계정 자동 생성이 활성화되어 있는지 확인하세요.

참고: 워크스페이스 페이지에 이메일 도메인이 동일한 게스트를 추가하는 경우 JIT 프로비저닝은 권장하지 않습니다. 이렇게 하면 모든 게스트가 멤버로 업그레이드되므로 청구 금액에 영향을 미치게 됩니다.

SCIM을 사용하는 경우 역시 JIT 프로비저닝을 권장하지 않습니다. '허용된 이메일 도메인'이 있으면 해당 도메인의 사용자가 워크스페이스에 참여할 수 있으므로 ID 공급자와 Notion의 멤버십이 일치하지 않을 수 있습니다.

이 섹션에서는 Azure, Google, Okta, OneLogin으로 Notion SAML SSO를 구성하는 방법을 알려드립니다. 이 외에 다른 ID 공급자를 사용 중인 경우 지원팀에 문의하여 구성에 도움을 받으세요.

Azure

추가 설명이 필요한 경우 Azure 웹사이트의 설명을 함께 참고하세요.

1단계: 새 애플리케이션 통합 생성

  • Azure 포털에 로그인하고 왼쪽 탐색 창에서 Azure Active Directory 서비스를 선택하세요.

  • 엔터프라이즈 애플리케이션에서 모든 애플리케이션을 선택하세요.

  • 새 애플리케이션을 추가하려면 새 애플리케이션을 선택하세요.

  • 갤러리에서 추가 필드의 검색창에 Notion을 입력하고, 결과창에서 Notion을 선택한 후 앱을 추가하세요. 앱이 테넌트에 추가되는 동안 잠시 기다려주세요.

2단계: SAML 통합 생성

  • Azure 포털 > Notion 애플리케이션 통합 페이지 > 관리 섹션에서 SSO를 선택하세요.

  • Single Sign-On 방법 선택 페이지에서 SAML을 선택하세요.

3단계: SAML 설정

  • Notion의 설정과 멤버 탭으로 이동해 설정 탭을 선택하세요.

  • 허용된 이메일 도메인 섹션에서 이메일 도메인을 모두 제거하세요.

  • 신원과 프로비저닝 탭으로 이동하세요.

  • 하나 이상의 도메인을 인증하세요. 도메인 인증에 대한 자세한 내용을 확인하세요 →

  • SAML SSO 활성화를 설정하면 SAML SSO 구성 창이 자동으로 표시되고 설정을 완료하라는 메시지가 나타납니다.

  • SAML SSO 구성 창에는 두 섹션이 있습니다. 하나는 ID 공급자(IDP) 포털에 입력할 Assertion Consumer Service(ACS) URL 섹션이고, 다른 하나는 Notion에 제공해야 하는 IDP URL 또는 IDP 메타데이터 XML을 입력하는 ID 공급자 세부 정보 섹션입니다.

4단계: Azure Active Directory에 Notion 앱 구성

  • 'SAML로 Single Sign-On 설정' 페이지에서 연필 아이콘을 클릭해 기본 SAML 구성을 변경하세요.

  • IDP 시작 모드에서 애플리케이션을 구성하려면 기본 SAML 구성 섹션에서 아래 값을 입력하세요.

    • 식별자(엔티티 ID) 텍스트 상자에 다음 URL을 입력하세요: https://www.notion.so/sso/saml

    • 회신 URL(Assertion Consumer Service URL) 텍스트 상자에 Notion에서 찾은 ACS URL을 입력하세요. Notion 앱 왼쪽 사이드바의 설정과 멤버 > 신원과 프로비저닝 탭에서 ACS URL을 확인할 수 있습니다.

    • Sign on URL 텍스트 상자에 다음 URL을 입력하세요: https://www.notion.so/login

  • 사용자 속성과 클레임 섹션에서 필수 클레임이 설정되어 있는지 확인하세요.

    • 고유한 사용자 식별자(이름 ID): user.userprincipalname [nameid-format:emailAddress]

    • 이름: user.givenname

    • 성: user.surname

    • 이메일: user.mail

  • SAML로 Single Sign-On 설정 페이지의 SAML 서명 인증서 섹션에서 복사 버튼을 클릭하여 앱 페더레이션 메타데이터 URL을 복사하세요.

  • Notion 워크스페이스의 설정과 멤버 > 신원과 프로비저닝으로 이동하여 복사한 앱 페더레이션 메타데이터 URL 값을 IDP 메타데이터 URL 필드 텍스트 상자에 붙여 넣으세요. IDP URL 칸이 선택되어 있는지 확인하세요.

5단계: Notion에 사용자 할당

  • Azure 포털에서 엔터프라이즈 애플리케이션모든 애플리케이션을 선택한 후 애플리케이션 목록에서 Notion을 선택하세요.

  • 앱 개요 페이지의 관리 섹션에서 사용자 및 그룹을 선택하세요.

  • 사용자 추가를 선택한 다음, '할당 추가' 대화 상자에서 사용자와 그룹을 선택하세요.

  • 사용자와 그룹 대화 상자의 사용자 목록에서 사용자를 선택한 다음 하단의 선택 버튼을 클릭하세요.

  • 사용자에게 역할을 할당하려는 경우 역할 선택 드롭다운에서 선택할 수 있습니다. 역할을 선택하지 않으면 '기본 액세스' 역할이 선택된 것으로 표시됩니다.

  • 할당 추가 대화 상자에서 할당 버튼을 클릭하세요.


Google

추가 설명이 필요한 경우 Google 웹사이트의 설명을 함께 참고하세요.

1단계: 새 애플리케이션 통합 생성

  • https://admin.google.com/에서 관리 콘솔에 로그인하세요. 최고 관리자 권한이 있는 계정을 사용하고 있어야 합니다.

  • 관리 콘솔 홈페이지에서

    앱 > 웹 및 모바일 앱으로 이동하세요.

  • 앱 추가 > 맞춤 SAML 앱 추가를 클릭하세요.

  • 앱 세부정보 페이지에서 사용자 지정 앱의 이름을 입력하세요.

  • '계속'을 클릭하세요.

  • Google ID 공급업체 세부정보 페이지에서 IDP 메타데이터를 다운로드하세요. 다운로드한 GoogleIDPMetadata.xml 파일을 열고 콘텐츠를 복사하세요.

2단계: Notion에 SAML 설정 구성

  • Notion의 설정과 멤버 탭으로 이동해 설정 탭을 선택하세요.

  • 허용된 이메일 도메인 섹션에서 이메일 도메인을 모두 제거하세요.

  • 신원과 프로비저닝 탭으로 이동하세요.

  • 하나 이상의 도메인을 인증하세요. 도메인 인증에 대해 자세히 알아보세요 → 워크스페이스 도메인 인증

  • SAML SSO 활성화를 설정하면 SAML SSO 구성 창이 자동으로 표시되고 설정을 완료하라는 메시지가 나타납니다.

  • SAML SSO 구성 창에는 두 섹션이 있습니다. 하나는 ID 공급자(IDP) 포털에 입력할 Assertion Consumer Service(ACS) URL 섹션이고, 다른 하나는 Notion에 제공해야 하는 IDP URL 또는 IDP 메타데이터 XML을 입력하는 ID 공급자 세부 정보 섹션입니다.

  • 위의 1단계에서 다운로드한 GoogleIDPMetadata.xml file에서 복사한 콘텐츠를 IDP 메타데이터 XML 텍스트 상자에 붙여 넣으세요.

  • Assertion Consumer Service(ACS) URL을 복사하고 SAML 강제 적용를 클릭하세요.

3단계: Google Workspace에 SAML 설정 구성

  • Google Workspace 관리 콘솔에서

    계속을 클릭하세요.

  • 서비스 제공업체 세부정보 페이지로 이동해 위의 2단계에서 Notion에서 복사한 Assertion Consumer Service(ACS) URL을 입력하고 엔티티 ID 텍스트 상자에 https://www.notion.so/sso/saml 링크를 입력하세요.

  • 이름 ID 형식 드롭다운에서 이메일을 선택하세요.

  • 이름 ID 드롭다운에서 기본 정보 > 기본 이메일을 선택하세요.

  • 계속을 클릭해 앱 속성 페이지로 이동하세요. 여기에서 추가 속성을 매핑하거나 그룹 멤버십을 구성할 수 있습니다.

  • 완료를 클릭해 설정을 완료하세요.


Okta

추가 설명이 필요한 경우 Okta 웹사이트의 설명을 함께 참고하세요.

1단계: Okta의 애플리케이션 디렉토리에서 Notion 앱 추가

  • Okta에 관리자로 로그인하고 Okta 관리 콘솔로 이동하세요.

  • 애플리케이션 > 앱 카탈로그 살펴보기 > Okta 앱 카탈로그에서 Notion을 검색하세요.

  • Notion 앱을 선택하고 통합 추가를 클릭하세요.

  • 일반 설정 보기에서 설정을 검토하고 다음을 클릭하세요.

  • Sign-on 옵션 보기에서 SAML 2.0 옵션을 선택하세요.

  • 고급 Sign-on 설정 섹션 위의 IDP 메타데이터를 클릭하세요. 새 브라우저 탭이 열리면 URL 링크를 복사하세요.

2단계: Notion에 SAML 설정 구성

  • Notion의 설정과 멤버 탭으로 이동해 설정 탭을 선택하세요.

  • 허용된 이메일 도메인 섹션에서 이메일 도메인을 모두 제거하세요.

  • 신원과 프로비저닝 탭으로 이동하세요.

  • 하나 이상의 도메인을 인증하세요. 도메인 인증에 대해 자세히 알아보세요 → 워크스페이스 도메인 인증

  • SAML SSO 활성화를 설정하면 SAML SSO 구성 창이 자동으로 표시되고 설정을 완료하라는 메시지가 나타납니다.

  • SAML SSO 구성 창에는 두 섹션이 있습니다. 하나는 ID 공급자(IDP) 포털에 입력할 Assertion Consumer Service(ACS) URL 섹션이고, 다른 하나는 Notion에 제공해야 하는 IDP URL 또는 IDP 메타데이터 XML을 입력하는 ID 공급자 세부 정보 섹션입니다.

    • IDP URL을 선택하고 1단계에서 복사한 IDP 메타데이터 URL을 붙여 넣은 뒤 '변경사항 저장'을 클릭하세요.

  • 신원과 프로비저닝 탭에서 아래로 스크롤해 워크스페이스 ID 식별자를 복사하세요.

  • Okta 관리 콘솔 > 고급 Sign-on 설정 섹션에서 조직 ID 텍스트 상자에 워크스페이스 ID를 붙여 넣으세요.

  • 로그인 세부정보애플리케이션 사용자 형식 드롭다운에서 이메일을 선택한 뒤 '완료'를 클릭하세요.

3단계: Notion에 사용자 및 그룹 할당

  • 이제 Okta > 할당 탭에서 사용자와 그룹을 Notion에 할당할 수 있습니다.


OneLogin

추가 설명이 필요한 경우 OneLogin 웹사이트의 설명을 함께 참고하세요.

1단계: 새 애플리케이션 통합 생성

  • 아직 프로비저닝을 구성하지 않았다면 관리자 → 애플리케이션 → 애플리케이션으로 이동하여 앱 추가 버튼을 클릭한 다음, 검색창에서 Notion을 검색해 Notion SAML 2.0 버전을 선택하세요.

  • 저장을 클릭하세요.

2단계: SAML API 통합 생성

  • 애플리케이션 → 애플리케이션으로 이동하여 이미 추가한 Notion 앱 커넥터를 선택하세요.

  • SSO 탭으로 이동해 발급자 URL 값을 복사하고, 나중에 다시 검색할 수 있도록 다른 곳에 붙여넣으세요.

3단계: SAML 설정

  • Notion의 설정과 멤버 탭으로 이동해 설정 탭을 선택하세요.

  • 허용된 이메일 도메인 섹션에서 이메일 도메인을 모두 제거하세요.

  • 신원과 프로비저닝 탭으로 이동하세요.

  • 하나 이상의 도메인을 인증하세요. 도메인 인증에 대한 자세한 내용을 확인하세요 → 워크스페이스 도메인 인증

  • SAML SSO 활성화를 설정하면 SAML SSO 구성 창이 자동으로 표시되고 설정을 완료하라는 메시지가 나타납니다.

  • SAML SSO 구성 창에는 두 섹션이 있습니다. 하나는 ID 공급자(IDP) 포털에 입력할 Assertion Consumer Service(ACS) URL 섹션이고, 다른 하나는 Notion에 제공해야 하는 IDP URL 또는 IDP 메타데이터 XML을 입력하는 ID 공급자 세부 정보 섹션입니다.

4단계: OneLogin에 Notion 앱 구성

  • Notion에서 Assertion Consumer Service(ACS) URL을 복사하세요.

  • OneLogin 관리자 섹션으로 돌아오세요.

  • OneLogin 계정에 추가한 Notion 앱 커넥터의 구성 탭으로 이동하세요.

  • Notion의 Assertion Consumer Service(ACS) URL사용자 URL 텍스트 박스에 붙여넣으세요.

  • 저장을 클릭하세요.

  • Notion SAML SSO 구성 편집의 설정으로 이동하세요.

  • OneLogin URL의 SSO 탭에서 복사한 발급자 URLIDP URL 칸에 붙여넣으세요. IDP URL 버튼이 선택되어 있는지 확인하세요.

SAML SSO를 설정할 때 오류가 발생하면 IDP의 메타데이터, SAML 요청 및 응답이 SAML XSD 스키마에 대해 유효한 XML인지 확인하세요. 다음 온라인 도구를 사용해 확인할 수 있습니다. https://www.samltool.com/validate_xml.php

엔티티 디스크립터(EntityDescriptor)는 지원하지 않습니다. IDP의 메타데이터에 엔티티 디스크립터가 포함되어 있으면 제거하고 다시 시도하세요.


자주 묻는 질문(FAQ)

SAML SSO(통합로그인) 활성화 옵션이 비활성화되어 있는 이유는 무엇인가요?

가장 일반적인 이유는 아직 도메인 소유권을 인증받지 않았기 때문입니다. 이 경우 인증된 이메일 도메인 섹션에 표시된 도메인이 없거나, 도메인이 인증 대기 중으로 나타납니다.

SAML SSO(통합로그인) 설정을 변경할 수 없는 이유는 무엇인가요?

가장 흔한 이유는 이미 다른 SSO 구성에 연결된 워크스페이스에서 인증된 도메인이나 SSO 구성을 변경하려고 하고 있기 때문입니다.

연결된 워크스페이스의 모든 도메인 관리 설정과 SSO 구성은 읽기 전용으로 설정되어 있습니다. SSO 구성을 수정하거나 SSO 구성에서 해당 워크스페이스를 제거하려면 기본 워크스페이스에 대한 액세스 권한이 있어야 합니다. 기본 워크스페이스의 이름은 신원과 프로비저닝 설정 탭의 상단에 표시되어 있습니다.

SSO를 활성화하기 위해 도메인을 인증해야 하는 이유는 무엇인가요?

도메인 소유자만 사용자의 Notion 로그인 방법을 변경할 수 있도록 하기 위해 이메일 도메인 소유권을 인증받게 하는 것입니다.

SSO를 설정하는 데 문제가 있나요? 아래에서 자주 발생하는 문제와 해결 방법에 대해 알아보세요.

  • XML 대신 URL을 사용해 보세요.

  • 사용자에게 적용하기 전에 테스트 계정으로 설정 프로세스를 테스트하는 것이 좋습니다.

  • 위의 방법으로 문제가 해결되지 않으면

    team@makenotion.com으로 지원을 요청하세요.

워크스페이스의 SAML SSO를 구성하기 전에 "허용된 이메일 도메인" 설정에서 이메일 도메인을 제거해야 하는 이유는 무엇인가요?

"허용된 이메일 도메인"을 설정하면 선택한 도메인에 속한 사용자가 IDP를 통해 프로비저닝되지 않은 상태로 워크스페이스에 액세스할 수 있게 됩니다. IDP를 통해 프로비저닝된 사용자만 SAML을 활성화한 워크스페이스에 액세스할 수 있게 하려면 "허용된 이메일 도메인" 목록에서 모든 이메일 주소를 제거하여 이 기능을 비활성화하세요.

제가 사용하는 ID 공급자가 영업을 중단한 경우에도 Notion에 로그인할 수 있나요?

예. SAML이 적용되더라도 워크스페이스 소유자는 이메일로 로그인할 수 있습니다. 워크스페이스 소유자 계정으로 로그인한 후 SAML 강제 적용을 비활성화하면 다른 사용자도 다시 이메일로 로그인할 수 있게 됩니다.

프로필 사진은 IDP에서 Notion으로 전송되나요?

예. 프로필 사진(profilePhoto)는 사용자 지정 속성 옵션입니다. 속성에 이미지 URL이 포함된 경우 이 속성을 IDP의 해당 속성과 매핑할 수 있습니다. 프로필 사진 필드가 설정되면 사용자가 SAML SSO로 Notion에 로그인했을 때, Notion 아바타 대신 프로필 사진이 사용됩니다.

SAML 구성에 연결된 다른 워크스페이스의 관리자가 새로운 워크스페이스를 생성하도록 허용하려면 어떻게 해야 하나요?

기본 워크스페이스의 관리자만 인증된 도메인을 사용하여 새로운 워크스페이스를 만들 수 있습니다. 기본 SAML 워크스페이스를 SAML 구성에 연결된 다른 워크스페이스로 전환하려면 team@makenotion.com으로 Notion 지원팀에 문의해 주세요.

더 궁금하신 점이 있으신가요? 지원팀으로 메시지를 보내주세요.

피드백 보내기

이 내용이 도움이 되었나요?