Usuários e grupos de provisões com SCIM

Usuários e grupos de provisões com SCIM - imagem principal
Neste artigo

Você pode provisionar e gerenciar usuários e grupos no seu espaço de trabalho Notion com o padrão da API SCIM (System for Cross-domain Identity Management) 🔑


Provisionamento e gerenciamento de usuário:

  • Crie e remova membros no seu espaço de trabalho.

  • Atualize as informações do perfil de um membro.

  • Recupere os membros do espaço de trabalho.

    • Encontre membros por e-mail ou nome.

Provisionamento e gerenciamento de grupos:

  • Crie e remova grupos no seu espaço de trabalho.

  • Adicione e remova membros de um grupo.

  • Recupere os grupos no seu espaço de trabalho.

    • Encontre grupos pelo nome.

Não é possível:

  • Gerenciamento de convidados do espaço de trabalho.

Atualmente somos compatíveis com as aplicações Okta, OneLogin, Rippling, Gusto e SCIM personalizadas. Se você usar outro provedor de identidade, nos avise.

Pré-requisitos para usar SCIM no Notion

  • O espaço de trabalho precisa estar cadastrado em um Plano Enterprise

  • O provedor de identidade (IdP) precisa ser compatível com o protocolo SAML 2.0.

  • A configuração do SCIM em um espaço de trabalho do Notion só pode ser feita por um titular de um espaço de trabalho.

  • Se quiser usar o SCIM para modificar o nome ou endereço de e-mail de usuário, é preciso ter verificado a propriedade do domínio de e-mail. Saiba mais sobre a verificação de domínio →

Como gerar token de API de SCIM

Os proprietários de espaços de trabalho com Plano Enterprise podem gerar e visualizar tokens de API de SCIM em Configurações e membrosSegurança e identidadeConfiguração SCIM.

  • Para gerar um novo token, clique no botão  + Novo token no canto direito.

  • Um token único é gerado para cada proprietário de espaço de trabalho, e só esse titular pode visualizá-lo.

Como revogar tokens

Quando um proprietário deixa um espaço de trabalho ou tem sua função alterada, o token dele é revogado. Quando isso acontece, os outros proprietários do espaço de trabalho recebem uma mensagem automática para substituir o token revogado.

Além disso, tokens ativos podem ser revogados por qualquer um dos proprietários do espaço de trabalho. Para revogar um token, clique no 🗑 ao lado do token pertinente.

Como substituir tokens existentes

Se um token for revogado, será preciso substituí-lo em todas as integrações existentes.

Todas as integrações de SCIM e provisionamentos de usuários que dependam do token revogado ficarão desativadas até que haja a substituição por um token ativo.

Nota: para evitar prejuízos a integrações existentes, substitua todos os tokens associados aos administradores antes de desprovisioná-los.

Suprimir e-mails de convite

Para controlar se os usuários receberão convites para espaços de trabalho e grupos por e-mail quando provisionados pelo SCIM, os proprietários de espaços de trabalho do Plano Enterprise podem acessar Configurações e membrosIdentidade e provisionamentoProvisionamento de SCIMSuprimir convites de email do provisionamento de SCIM. Alterne essa configuração se não quiser enviar e-mails aos usuários.

Azure

Para mais instruções, consulte a documentação da Central de Ajuda do Azure Active Directory:

A integração SCIM do Azure do Notion é compatível com os seguintes recursos de provisionamento:

  • Criar usuários

  • Remoção de usuários

  • Sincronização dos atributos dos usuários entre o Azure AD e o Notion

  • Provisionamento de grupos e participantes de grupos do Notion

  • Logon único no Notion (recomendado).

Nota: consulte a documentação do Azure para saber mais sobre como planejar a implantação do seu provisionamento.

Etapa 1: configure o Notion para ter compatibilidade no provisionamento com o Azure AD

  • Faça login no seu espaço de trabalho do Notion, acesse 

    Configurações e membrosIdentidade e provisionamento e encontre a seção Provisionamento de SCIM.

  • Caso ainda não haja um token gerado, clique em 

    + Adicionar token e copie-o. Você informará esse token como seu token secreto na etapa 5.5.

  • O URL do locatário de SCIM do Notion é https://www.notion.so/scim/v2, que será usado na etapa 5.5.

Etapa 2: adicione o Notion pela galeria de aplicativos do Azure AD

  • Siga as instruções para adicionar um aplicativo da galeria aqui.

O serviço de provisionamento do Azure AD permite definir quem será provisionado com base na atribuição ao aplicativo e/ou com base nos atributos do usuário/grupo.

  • Caso você opte por definir quem será provisionado no aplicativo com base na atribuição, siga estas etapas para atribuir os usuários e grupos ao aplicativo.

  • Caso você opte por definir quem será provisionado com base apenas nos atributos do usuário ou grupo, use um filtro conforme descrito aqui.

Etapa 3: configure o provisionamento automático de usuários para o Notion

  • Faça login no portal do Azure. Selecione Enterprise Applications (Aplicativos corporativos) e, em seguida, selecione All applications (Todos os aplicativos).

  • Na lista de aplicativos, selecione Notion.

  • Acesse a guia Provisioning (Provisionamento).

  • Defina Provisioning Mode (Modo de provisionamento) como Automático.

  • Na seção Admin Credentials (Credenciais de administração), informe o URL de locatário do Notion e o token secreto. Clique em Test Connection (Testar conexão) para garantir que o Azure AD se conecte ao Notion. Se a conexão falhar, verifique se sua conta do Notion tem permissões de administrador e tente novamente.

  • Clique em Save (Salvar).

  • Na seção Mappings (Mapeamentos), selecione Synchronize Azure Active Directory Users to Notion (Sincronizar os usuários do Azure Active Directory com o Notion).

    • Confira os atributos dos usuários que são sincronizados do Azure AD com o Notion na seção Attribute-Mapping (Mapeamento de atributos). Clique em Save (Salvar) para confirmar todas as alterações.

  • Na seção Mappings (Mapeamentos), selecione Synchronize Azure Active Directory Groups to Notion (Sincronizar os grupos do Azure Active Directory com o Notion).

    • Confira os atributos dos grupos que são sincronizados do Azure AD com o Notion na seção Attribute-Mapping (Mapeamento de atributos). Clique em Save (Salvar) para confirmar todas as alterações.

  • Para ativar o serviço de provisionamento do Azure AD para o Notion, altere o Provisioning Status (Status de provisionamento) para On (Ativado) na seção Settings (Configurações).

  • Defina os usuários e/ou grupos que devem ser provisionados para o Notion escolhendo os valores desejados em Scope (Escopo) na seção Settings (Configurações).

  • Quando estiver tudo pronto para o provisionamento, clique em Save (Salvar).

Nota: esta operação abre o ciclo inicial de sincronização de todos os usuários e grupos definido em Scope (Escopo) na seção Settings (Configurações).

O ciclo inicial é mais demorado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos enquanto o serviço de provisionamento do Azure AD estiver em execução.

Google

Para mais instruções, consulte a documentação na Ajuda do Administrador do Google Workspace:

A integração SCIM do Google do Notion é compatível com os seguintes recursos de provisionamento:

  • Criar usuários

  • Atualizar atributos do usuário (se o usuário tiver um domínio de e-mail pertencente à sua organização)

  • Desativar usuários (remove os usuários de espaços de trabalho do Notion)

Nota: a integração SCIM do Google não é compatível com o provisionamento e desprovisionamento de grupos.

Etapa 1: ativação do provisionamento de usuários no Notion

  • Acesse Configurações e membros e selecione a guia Identidade e provisionamento.

  • Role até a seção Configuração SCIM (seus tokens SCIM disponíveis estarão listados).

  • Na tabela dos tokens SCIM, clique em Copiar ao lado de um token existente OU clique em Adicionar token no canto direito para criar um novo token.

Etapa 2: configuração do provisionamento no Google

Gusto

Consulte o Gusto para saber mais detalhes sobre o processo de configuração:

Etapa 1: clique em "Connect" e siga as instruções para verificar as credenciais da sua conta

  • Na barra lateral do Notion, acesse Configurações e membros -> Identidade e provisionamento

  • Em Provisionamento de SCIM, clique em Adicionar token e copie o token

  • No Gusto, cole o token no campo da chave da API de SCIM e informe o e-mail da sua conta do Notion

Etapa 2: correlacione as contas de usuários do Notion com as dos membros da sua equipe no Gusto

Okta

A Integração Okta do Notion aceita as seguintes funções de provisionamento:

  • Criar usuários

  • Atualizar atributos do usuário (se o usuário tiver um domínio de e-mail pertencente à sua organização)

  • Desativar usuários (remove os usuários do espaço de trabalho do Notion)

  • Grupos de push

Etapa 1: Ativação do provisionamento no Notion

  • Acesse Configurações e membros e selecione a guia Identidade e provisionamento.

  • Role para baixo até a seção Login único com SAML.

  • Clique no botão Editar configuração de autenticação SAML.

  • Clique em Copiar link ao lado da URL do Serviço do Consumidor de Declaração (ACS). Cole esse valor em algum lugar para tê-lo à mão depois.

  • Retorne à guia Configurações e membros → Identidade e provisionamento e role para baixo até a seção Provisionamento de SCIM.

  • Se nenhum token foi gerado, clique em + Adicionar token e copie-o. Cole esse valor em algum lugar para tê-lo à mão depois.

Etapa 2: Configuração do provisionamento no Okta

  • Adicione o aplicativo do Notion no diretório do catálogo de aplicativos do Okta.

  • Na visualização Sign-on Options (Opções de login), selecione "Email" como o formato do Application username (Nome de usuário da aplicação) na guia Sign On application (Aplicativo de login único).

  • Na guia Provisioning (Provisionamento), selecione Configure API integration (Configurar a integração de API) e selecione a opção Enable API integration (Ativar integração de API).

  • Insira o token da API de SCIM do Notion que você copiou na Etapa 1 no campo API Token (Token da API) e clique em Save (Salvar).

  • Clique no botão Edit (Editar) ao lado do cabeçalho Provisioning to App (Provisionamento para aplicativo) e ative os recursos desejados: Criar usuários, Atualizar atributos de usuários ou Desativar usuários. Clique em Save (Salvar).

  • Após configurar a integração da API, abra a aba Push Groups (Grupos de push) e adicione os grupos Okta que você deseja sincronizar com o Notion do botão "Push Groups" (Grupos de push).

Nota: ao atualizar usuários/grupos por meio de uma configuração SCIM existente, não exclua o app Notion do Okta. Ao fazer isso, todos os usuários provisionados serão removidos do espaço de trabalho.

OneLogin

Para obter documentação adicional, você também pode consultar as etapas no site do OneLogin:

A Integração OneLogin do Notion é compatível com os seguintes recursos de provisionamento:

  • Criar usuários

  • Atualizar atributos do usuário (se o usuário tiver um domínio de e-mail pertencente à sua organização)

  • Desativar usuários (remove os usuários do espaço de trabalho do Notion)

  • Criar regras para mapear as funções do OneLogin com grupos de permissão no Notion

Nota: se você pretende provisionar usuários no Notion via OneLogin, é importante configurar o SCIM antes de configurar o SSO.

Etapa 1: Ativação do provisionamento no Notion

  • Acesse Configurações e membros e selecione a guia Identidade e provisionamento.

  • Role para baixo até a seção Login único com SAML.

  • Clique no botão Editar configuração da autenticação SAML.

  • Clique em Copiar link ao lado da URL do Serviço do Consumidor de Declaração (ACS). Cole esse valor em algum lugar para tê-lo à mão depois.

  • Retorne à guia Configurações e membros → Identidade e provisionamento e role para baixo até a seção Provisionamento de SCIM.

  • Se nenhum token foi gerado, clique em + Adicionar token e copie-o. Cole esse valor em algum lugar para tê-lo à mão depois.

Nota: os titulares de espaços de trabalho só podem copiar e usar tokens que eles mesmos geraram. Se outro titular do espaço de trabalho já tiver criado um token, coordene com essa pessoa para determinar se outro token é necessário. Todos os tokens expirarão depois que o titular do espaço de trabalho que gerou o token sair espaço de trabalho ou for rebaixado a membro.

Etapa 2: Configuração do provisionamento no OneLogin

  • Acesse Administration → Applications → Applications (Administração → Aplicativos → Aplicativos).

  • Clique no botão Adicionar aplicativo, pesquise "Notion" na caixa de pesquisa e selecione a versão SAML 2.0 do Notion.

  • Clique em Save (Salvar).

  • Acesse a guia Configurations (Configurações).

  • Cole o URL do Serviço do Consumidor de Declaração (ACS) na caixa de texto Consumer URL (URL do consumidor).

  • Cole o token da API da SCIM na caixa de texto SCIM Bearer Token (Token bearer do SCIM).

  • Clique em Enable (Ativar).

  • Acesse a guia Provisioning (Provisionamento).

  • Marque a opção Enable provisioning (Ativar o provisionamento) em Workflow (Fluxo de trabalho).

  • Clique no botão Save (Salvar) no canto superior direito.

  • (opcional) Ative ou desative a exigência de aprovação de administração quando usuários forem criados, excluídos ou atualizados em Require admin approval before this action is performed (Exigir aprovação do administrador antes de realizar esta ação).

  • (opcional) Defina o que acontece com o usuário no Notion quando esse usuário é excluído do OneLogin. Escolha entre Delete (Excluir, remove o usuário do espaço de trabalho do Notion) ou Do Nothing (Fazer nada).

  • Clique no botão Save (Salvar) no canto superior direito.

Rippling

Consulte documentações detalhadas no site da Rippling:

A tabela abaixo define o mapeamento entre os campos "Atributos de usuário SCIM" e "Perfil de usuário do Notion". Outros atributos do usuário serão ignorados.

  • GET /Users

    • GET <https://api.notion.com/scim/v2/Users>

    • Recupere uma lista paginada de membros do espaço de trabalho.

    • Você pode paginar usando os parâmetros startIndex e count. Observe que startIndex está indexado a 1.

    • Você pode filtrar os resultados com o parâmetro filtro.  Os atributos válidos para filtragem são email, given_name, e family_name, por exemplo.  GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq funcionario@acmecorp.com

    • Observe que given_name e family_name diferenciam maiúsculas e minúsculas. O e-mail é convertido para minúsculas.

  • GET /Users/<id>

    • GET <https://api.notion.com/scim/v2/Usuários/><id>

    • Recupere um membro específico do espaço de trabalho pela sua ID de usuário do Notion. Ela será um UUID com 32 caracteres no seguinte formato: 00000000-0000-0000-0000-000000000000.

    • Observe que meta.createde meta.lastModifiednão refletem valores significativos de data/hora.

  • POST /Users

    • POST <https://api.notion.com/scim/v2/Users>

    • Se o usuário que você está adicionando já tiver uma conta no Notion com o mesmo e-mail, ele será adicionado ao seu espaço de trabalho.

    • Se o usuário não existir, essa chamada criará um novo usuário Notion e adicionará este usuário ao seu espaço de trabalho. Um mapa será enviado para o perfil de usuário Notion que for criado.

  • PATCH /Users/<id>

    • PATCH <https://api.notion.com/scim/v2/Users/><id>

    • Atualiza por meio de uma série de operações e fornece o registro de usuário atualizado.

Observação: você só pode atualizar as informações do perfil de um membro se tiver verificado a propriedade do domínio de e-mail do usuário (normalmente, é igual aos domínios de e-mail configurados para login único do SAML com o Notion). Para verificar o domínio, siga as instruções aqui

  • PUT /Users/<id>

    • PUT <https://api.notion.com/scim/v2/Users/><id>

    • Atualiza e retorna o registro do usuário atualizado.

  • DELETE /Users/<id>

    • DELETE <https://api.notion.com/scim/v2/Users/><id>

    • Remova um usuário do seu espaço de trabalho. O usuário está desconectado de todas as sessões ativas.

      • A conta de usuário não pode ser excluída pelo SCIM. A exclusão da conta deve ser feita manualmente.

      • Também é possível remover um usuário do seu espaço de trabalho definindo o atributo do usuário active como false ao enviar PATCH /Users/<id> ou uma solicitação PUT /Users/<id>.

Nota: não é possível usar a API para remover o proprietário do espaço de trabalho que criou o token do bot SCIM. Quando o proprietário de um espaço de trabalho é removido por meio da API de SCIM, todos os tokens criados por ele serão revogados e todas as integrações que usarem esse bot serão interrompidas.

  • GET /Groups

    • GET <https://api.notion.com/scim/v2/Groups>

    • Recupere uma lista paginada de grupos do espaço de trabalho.

    • Você pode paginar usando os parâmetros startIndex e count. Observe que startIndex está indexado a 1, e o máximo de count é 100, por exemplo, GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>

      • Se não for usada paginação, o máximo de 100 grupos de espaços de trabalho retornará em uma solicitação.

    • Você pode filtrar os resultados com o parâmetro filtro.  Os grupos podem ser filtrados por seu atributo displayName, por exemplo GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers

  • GET /Grupos/<id>

    • GET <https://api.notion.com/scim/v2/Groups/><id>

    • Recupere um membro específico do espaço de trabalho pela sua ID de usuário do Notion. Ela será um UUID com 32 caracteres no seguinte formato: 00000000-0000-0000-0000-000000000000.

  • POST /Groups

    • POST <https://api.notion.com/scim/v2/Groups>

    • Crie um novo grupo de espaço de trabalho.

  • PATCH /Groups/<id>

    • PATCH <https://api.notion.com/scim/v2/Groups/><id>

    • Atualize um grupo de espaço de trabalho por meio de uma série de operações.

  • PUT /Groups/<id>

    • PUT <https://api.notion.com/scim/v2/Groups/><id>

    • Atualize um grupo de espaço de trabalho.

  • DELETE /Groups/<id>

    • DELETE <https://api.notion.com/scim/v2/Groups/><id>

    • Exclua um grupo de espaço de trabalho.

Nota: a exclusão do grupo será proibida se isso fizer com que ninguém mais tenha acesso completo a uma ou mais páginas.


Dar feedback

Este recurso foi útil?