Usuários e grupos de provisões com SCIM
Você pode provisionar e gerenciar usuários e grupos no seu espaço de trabalho Notion com o padrão da API SCIM (System for Cross-domain Identity Management) 🔑
Provisionamento e gerenciamento de usuário:
Crie e remova membros no seu espaço de trabalho.
Atualize as informações do perfil de um membro.
Recupere os membros do espaço de trabalho.
Encontre membros por e-mail ou nome.
Provisionamento e gerenciamento de grupos:
Crie e remova grupos no seu espaço de trabalho.
Adicione e remova membros de um grupo.
Recupere os grupos no seu espaço de trabalho.
Encontre grupos pelo nome.
Não é possível:
Gerenciamento de convidados do espaço de trabalho.
Atualmente somos compatíveis com as aplicações Okta, OneLogin, Rippling, Gusto e SCIM personalizadas. Se você usar outro provedor de identidade, nos avise.
Pré-requisitos para usar SCIM no Notion
O espaço de trabalho precisa estar cadastrado em um Plano Enterprise
O provedor de identidade (IdP) precisa ser compatível com o protocolo SAML 2.0.
A configuração do SCIM em um espaço de trabalho do Notion só pode ser feita por um titular de um espaço de trabalho.
Se quiser usar o SCIM para modificar o nome ou endereço de e-mail de usuário, é preciso ter verificado a propriedade do domínio de e-mail. Saiba mais sobre a verificação de domínio →
Como gerar token de API de SCIM
Os proprietários de espaços de trabalho com Plano Enterprise podem gerar e visualizar tokens de API de SCIM em Configurações e membros
→ Segurança e identidade
→ Configuração SCIM
.
Para gerar um novo token, clique no botão
+ Novo token
no canto direito.Um token único é gerado para cada proprietário de espaço de trabalho, e só esse titular pode visualizá-lo.
Como revogar tokens
Quando um proprietário deixa um espaço de trabalho ou tem sua função alterada, o token dele é revogado. Quando isso acontece, os outros proprietários do espaço de trabalho recebem uma mensagem automática para substituir o token revogado.
Além disso, tokens ativos podem ser revogados por qualquer um dos proprietários do espaço de trabalho. Para revogar um token, clique no 🗑
ao lado do token pertinente.
Como substituir tokens existentes
Se um token for revogado, será preciso substituí-lo em todas as integrações existentes.
Todas as integrações de SCIM e provisionamentos de usuários que dependam do token revogado ficarão desativadas até que haja a substituição por um token ativo.
Nota: para evitar prejuízos a integrações existentes, substitua todos os tokens associados aos administradores antes de desprovisioná-los.
Suprimir e-mails de convite
Para controlar se os usuários receberão convites para espaços de trabalho e grupos por e-mail quando provisionados pelo SCIM, os proprietários de espaços de trabalho do Plano Enterprise podem acessar Configurações e membros
→ Identidade e provisionamento
→ Provisionamento de SCIM
→ Suprimir convites de email do provisionamento de SCIM
. Alterne essa configuração se não quiser enviar e-mails aos usuários.
GET /ServiceProviderConfig
GET <https://api.notion.com/scim/v2/ServiceProviderConfig>
Recupere uma descrição das características de especificação SCIM disponíveis.
Definido em Seção 5 da Especificação do Protocolo de SCIM.
GET /ResourceTypes
GET <https://api.notion.com/scim/v2/ResourceTypes>
Recupere uma lista dos tipos de recursos SCIM disponíveis.
Definido em Seção 5 da Especificação do Protocolo de SCIM.
Azure
Para mais instruções, consulte a documentação da Central de Ajuda do Azure Active Directory:
A integração SCIM do Azure do Notion é compatível com os seguintes recursos de provisionamento:
Criar usuários
Remoção de usuários
Sincronização dos atributos dos usuários entre o Azure AD e o Notion
Provisionamento de grupos e participantes de grupos do Notion
Logon único no Notion (recomendado).
Nota: consulte a documentação do Azure para saber mais sobre como planejar a implantação do seu provisionamento.
Etapa 1: configure o Notion para ter compatibilidade no provisionamento com o Azure AD
Faça login no seu espaço de trabalho do Notion, acesse
Configurações e membros
→Identidade e provisionamento
e encontre a seçãoProvisionamento de SCIM
.Caso ainda não haja um token gerado, clique em
+ Adicionar token
e copie-o. Você informará esse token como seu token secreto na etapa 5.5.O URL do locatário de SCIM do Notion é https://www.notion.so/scim/v2, que será usado na etapa 5.5.
Etapa 2: adicione o Notion pela galeria de aplicativos do Azure AD
Siga as instruções para adicionar um aplicativo da galeria aqui.
O serviço de provisionamento do Azure AD permite definir quem será provisionado com base na atribuição ao aplicativo e/ou com base nos atributos do usuário/grupo.
Caso você opte por definir quem será provisionado no aplicativo com base na atribuição, siga estas etapas para atribuir os usuários e grupos ao aplicativo.
Caso você opte por definir quem será provisionado com base apenas nos atributos do usuário ou grupo, use um filtro conforme descrito aqui.
Etapa 3: configure o provisionamento automático de usuários para o Notion
Faça login no portal do Azure. Selecione
Enterprise Applications
(Aplicativos corporativos) e, em seguida, selecioneAll applications
(Todos os aplicativos).Na lista de aplicativos, selecione
Notion
.Acesse a guia
Provisioning
(Provisionamento).Defina
Provisioning Mode
(Modo de provisionamento) comoAutomático
.Na seção
Admin Credentials
(Credenciais de administração), informe o URL de locatário do Notion e o token secreto. Clique emTest Connection
(Testar conexão) para garantir que o Azure AD se conecte ao Notion. Se a conexão falhar, verifique se sua conta do Notion tem permissões de administrador e tente novamente.Clique em
Save
(Salvar).Na seção
Mappings
(Mapeamentos), selecioneSynchronize Azure Active Directory Users to Notion
(Sincronizar os usuários do Azure Active Directory com o Notion).Confira os atributos dos usuários que são sincronizados do Azure AD com o Notion na seção
Attribute-Mapping
(Mapeamento de atributos). Clique emSave
(Salvar) para confirmar todas as alterações.
Na seção
Mappings
(Mapeamentos), selecioneSynchronize Azure Active Directory Groups to Notion
(Sincronizar os grupos do Azure Active Directory com o Notion).Confira os atributos dos grupos que são sincronizados do Azure AD com o Notion na seção
Attribute-Mapping
(Mapeamento de atributos). Clique emSave
(Salvar) para confirmar todas as alterações.
Para ativar o serviço de provisionamento do Azure AD para o Notion, altere o
Provisioning Status
(Status de provisionamento) paraOn
(Ativado) na seçãoSettings
(Configurações).Defina os usuários e/ou grupos que devem ser provisionados para o Notion escolhendo os valores desejados em
Scope
(Escopo) na seçãoSettings
(Configurações).Quando estiver tudo pronto para o provisionamento, clique em
Save
(Salvar).
Nota: esta operação abre o ciclo inicial de sincronização de todos os usuários e grupos definido em Scope
(Escopo) na seção Settings
(Configurações).
O ciclo inicial é mais demorado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos enquanto o serviço de provisionamento do Azure AD estiver em execução.
Para mais instruções, consulte a documentação na Ajuda do Administrador do Google Workspace:
A integração SCIM do Google do Notion é compatível com os seguintes recursos de provisionamento:
Criar usuários
Atualizar atributos do usuário (se o usuário tiver um domínio de e-mail pertencente à sua organização)
Desativar usuários (remove os usuários de espaços de trabalho do Notion)
Nota: a integração SCIM do Google não é compatível com o provisionamento e desprovisionamento de grupos.
Etapa 1: ativação do provisionamento de usuários no Notion
Acesse
Configurações e membros
e selecione a guiaIdentidade e provisionamento
.Role até a seção
Configuração SCIM
(seus tokens SCIM disponíveis estarão listados).Na tabela dos tokens SCIM, clique em
Copiar
ao lado de um token existente OU clique emAdicionar token
no canto direito para criar um novo token.
Etapa 2: configuração do provisionamento no Google
Conecte-se a uma conta de administrador para ter certeza de que a sua conta de usuário tem as permissões adequadas.
Dê continuidade às etapas exibidas na Ajuda do Administrador do Google Workspace a partir de Configurar provisionamento automático para o aplicativo do Notion.
Gusto
Consulte o Gusto para saber mais detalhes sobre o processo de configuração:
Etapa 1: clique em "Connect" e siga as instruções para verificar as credenciais da sua conta
Na barra lateral do Notion, acesse
Configurações e membros
->Identidade e provisionamento
Em Provisionamento de SCIM, clique em
Adicionar token
e copie o tokenNo Gusto, cole o token no campo da chave da API de SCIM e informe o e-mail da sua conta do Notion
Etapa 2: correlacione as contas de usuários do Notion com as dos membros da sua equipe no Gusto
Okta
A Integração Okta do Notion aceita as seguintes funções de provisionamento:
Criar usuários
Atualizar atributos do usuário (se o usuário tiver um domínio de e-mail pertencente à sua organização)
Desativar usuários (remove os usuários do espaço de trabalho do Notion)
Grupos de push
Etapa 1: Ativação do provisionamento no Notion
Acesse Configurações e membros e selecione a guia Identidade e provisionamento.
Role para baixo até a seção Login único com SAML.
Clique no botão Editar configuração de autenticação SAML.
Clique em Copiar link ao lado da URL do Serviço do Consumidor de Declaração (ACS). Cole esse valor em algum lugar para tê-lo à mão depois.
Retorne à guia Configurações e membros → Identidade e provisionamento e role para baixo até a seção Provisionamento de SCIM.
Se nenhum token foi gerado, clique em + Adicionar token e copie-o. Cole esse valor em algum lugar para tê-lo à mão depois.
Etapa 2: Configuração do provisionamento no Okta
Adicione o aplicativo do Notion no diretório do catálogo de aplicativos do Okta.
Na visualização Sign-on Options (Opções de login), selecione "Email" como o formato do Application username (Nome de usuário da aplicação) na guia Sign On application (Aplicativo de login único).
Na guia Provisioning (Provisionamento), selecione Configure API integration (Configurar a integração de API) e selecione a opção Enable API integration (Ativar integração de API).
Insira o token da API de SCIM do Notion que você copiou na Etapa 1 no campo API Token (Token da API) e clique em Save (Salvar).
Clique no botão Edit (Editar) ao lado do cabeçalho Provisioning to App (Provisionamento para aplicativo) e ative os recursos desejados: Criar usuários, Atualizar atributos de usuários ou Desativar usuários. Clique em Save (Salvar).
Após configurar a integração da API, abra a aba Push Groups (Grupos de push) e adicione os grupos Okta que você deseja sincronizar com o Notion do botão "Push Groups" (Grupos de push).
Nota: ao atualizar usuários/grupos por meio de uma configuração SCIM existente, não exclua o app Notion do Okta. Ao fazer isso, todos os usuários provisionados serão removidos do espaço de trabalho.
OneLogin
Para obter documentação adicional, você também pode consultar as etapas no site do OneLogin:
A Integração OneLogin do Notion é compatível com os seguintes recursos de provisionamento:
Criar usuários
Atualizar atributos do usuário (se o usuário tiver um domínio de e-mail pertencente à sua organização)
Desativar usuários (remove os usuários do espaço de trabalho do Notion)
Criar regras para mapear as funções do OneLogin com grupos de permissão no Notion
Nota: se você pretende provisionar usuários no Notion via OneLogin, é importante configurar o SCIM antes de configurar o SSO.
Etapa 1: Ativação do provisionamento no Notion
Acesse Configurações e membros e selecione a guia Identidade e provisionamento.
Role para baixo até a seção Login único com SAML.
Clique no botão Editar configuração da autenticação SAML.
Clique em Copiar link ao lado da URL do Serviço do Consumidor de Declaração (ACS). Cole esse valor em algum lugar para tê-lo à mão depois.
Retorne à guia Configurações e membros → Identidade e provisionamento e role para baixo até a seção Provisionamento de SCIM.
Se nenhum token foi gerado, clique em + Adicionar token e copie-o. Cole esse valor em algum lugar para tê-lo à mão depois.
Nota: os titulares de espaços de trabalho só podem copiar e usar tokens que eles mesmos geraram. Se outro titular do espaço de trabalho já tiver criado um token, coordene com essa pessoa para determinar se outro token é necessário. Todos os tokens expirarão depois que o titular do espaço de trabalho que gerou o token sair espaço de trabalho ou for rebaixado a membro.
Etapa 2: Configuração do provisionamento no OneLogin
Acesse Administration → Applications → Applications (Administração → Aplicativos → Aplicativos).
Clique no botão Adicionar aplicativo, pesquise "Notion" na caixa de pesquisa e selecione a versão SAML 2.0 do Notion.
Clique em Save (Salvar).
Acesse a guia Configurations (Configurações).
Cole o URL do Serviço do Consumidor de Declaração (ACS) na caixa de texto Consumer URL (URL do consumidor).
Cole o token da API da SCIM na caixa de texto SCIM Bearer Token (Token bearer do SCIM).
Clique em Enable (Ativar).
Acesse a guia Provisioning (Provisionamento).
Marque a opção Enable provisioning (Ativar o provisionamento) em Workflow (Fluxo de trabalho).
Clique no botão Save (Salvar) no canto superior direito.
(opcional) Ative ou desative a exigência de aprovação de administração quando usuários forem criados, excluídos ou atualizados em Require admin approval before this action is performed (Exigir aprovação do administrador antes de realizar esta ação).
(opcional) Defina o que acontece com o usuário no Notion quando esse usuário é excluído do OneLogin. Escolha entre Delete (Excluir, remove o usuário do espaço de trabalho do Notion) ou Do Nothing (Fazer nada).
Clique no botão Save (Salvar) no canto superior direito.
Rippling
Consulte documentações detalhadas no site da Rippling:
A tabela abaixo define o mapeamento entre os campos "Atributos de usuário SCIM" e "Perfil de usuário do Notion". Outros atributos do usuário serão ignorados.
GET /Users
GET <https://api.notion.com/scim/v2/Users>
Recupere uma lista paginada de membros do espaço de trabalho.
Você pode paginar usando os parâmetros
startIndex
ecount
. Observe questartIndex
está indexado a 1.Você pode filtrar os resultados com o parâmetro
filtro
. Os atributos válidos para filtragem sãoemail
,given_name
, efamily_name
, por exemplo.GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq funcionario@acmecorp.com
Observe que
given_name
efamily_name
diferenciam maiúsculas e minúsculas. O e-mail é convertido para minúsculas.
GET /Users/<id>
GET <https://api.notion.com/scim/v2/Usuários/><id>
Recupere um membro específico do espaço de trabalho pela sua ID de usuário do Notion. Ela será um UUID com 32 caracteres no seguinte formato:
00000000-0000-0000-0000-000000000000
.Observe que
meta.created
emeta.lastModified
não refletem valores significativos de data/hora.
POST /Users
POST <https://api.notion.com/scim/v2/Users>
Se o usuário que você está adicionando já tiver uma conta no Notion com o mesmo e-mail, ele será adicionado ao seu espaço de trabalho.
Se o usuário não existir, essa chamada criará um novo usuário Notion e adicionará este usuário ao seu espaço de trabalho. Um mapa será enviado para o perfil de usuário Notion que for criado.
PATCH /Users/<id>
PATCH <https://api.notion.com/scim/v2/Users/><id>
Atualiza por meio de uma série de operações e fornece o registro de usuário atualizado.
Observação: você só pode atualizar as informações do perfil de um membro se tiver verificado a propriedade do domínio de e-mail do usuário (normalmente, é igual aos domínios de e-mail configurados para login único do SAML com o Notion). Para verificar o domínio, siga as instruções aqui →
PUT /Users/<id>
PUT <https://api.notion.com/scim/v2/Users/><id>
Atualiza e retorna o registro do usuário atualizado.
DELETE /Users/<id>
DELETE <https://api.notion.com/scim/v2/Users/><id>
Remova um usuário do seu espaço de trabalho. O usuário está desconectado de todas as sessões ativas.
A conta de usuário não pode ser excluída pelo SCIM. A exclusão da conta deve ser feita manualmente.
Também é possível remover um usuário do seu espaço de trabalho definindo o atributo do usuário
active
comofalse
ao enviarPATCH /Users/<id>
ou uma solicitaçãoPUT /Users/<id>
.
Nota: não é possível usar a API para remover o proprietário do espaço de trabalho que criou o token do bot SCIM. Quando o proprietário de um espaço de trabalho é removido por meio da API de SCIM, todos os tokens criados por ele serão revogados e todas as integrações que usarem esse bot serão interrompidas.
GET /Groups
GET <https://api.notion.com/scim/v2/Groups>
Recupere uma lista paginada de grupos do espaço de trabalho.
Você pode paginar usando os parâmetros
startIndex
ecount
. Observe questartIndex
está indexado a 1, e o máximo de count é 100, por exemplo,GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>
Se não for usada paginação, o máximo de 100 grupos de espaços de trabalho retornará em uma solicitação.
Você pode filtrar os resultados com o parâmetro
filtro
. Os grupos podem ser filtrados por seu atributodisplayName
, por exemploGET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
GET /Grupos/<id>
GET <https://api.notion.com/scim/v2/Groups/><id>
Recupere um membro específico do espaço de trabalho pela sua ID de usuário do Notion. Ela será um UUID com 32 caracteres no seguinte formato:
00000000-0000-0000-0000-000000000000
.
POST /Groups
POST <https://api.notion.com/scim/v2/Groups>
Crie um novo grupo de espaço de trabalho.
PATCH /Groups/<id>
PATCH <https://api.notion.com/scim/v2/Groups/><id>
Atualize um grupo de espaço de trabalho por meio de uma série de operações.
PUT /Groups/<id>
PUT <https://api.notion.com/scim/v2/Groups/><id>
Atualize um grupo de espaço de trabalho.
DELETE /Groups/<id>
DELETE <https://api.notion.com/scim/v2/Groups/><id>
Exclua um grupo de espaço de trabalho.
Nota: a exclusão do grupo será proibida se isso fizer com que ninguém mais tenha acesso completo a uma ou mais páginas.