SAML SSOのIDプロバイダー(IdP)の設定
ここでは、NotionでSAML SSOのIDプロバイダーを設定する方法をご説明します 🔑
よくあるご質問(FAQ)に移動この説明は、Entra ID(旧称Azure)、Google、Okta、OneLoginでNotion SAML SSOを設定するためのものです。これ以外のIDプロバイダーを利用していて、設定についてサポートが必要な場合は、お知らせください。
備考:現時点では、エンタープライズプランの組織は1つのIdPでのみSAML SSOを設定できます。
ステップ1: 新しいアプリケーションインテグレーションを作成する
Entra IDで新しいアプリケーションインテグレーションを作成する方法:
Entra IDにサインインし、左側のナビゲーションパネルで
Azure Active Directoryサービスを選択します。エンタープライズアプリケーションに移動して、すべてのアプリケーションを選択します。新しいアプリケーションを追加するには、
新しいアプリケーションを選択します。ギャラリーから
追加を選び、検索ボックスに「Notion」と入力します。結果パネルから「Notion」を選択し、アプリを追加します。数秒後に、アプリがお使いのテナントに追加されます。
ステップ2: SAMLインテグレーションを作成する
SAMLインテグレーションの設定方法:
Azureポータルの Notion アプリケーション統合ページにある
管理セクションでシングルサインオンを選択します。シングルサインオン方式の選択ページでSAMLを選択します。
ステップ3: SAMLを設定する
NotionでSAML設定を行う方法:
Notionで、
設定→一般に移動します。許可されたメールドメインのセクションで、すべてのメールドメインを削除します。設定の認証タブを選択します。1つ以上のドメインを検証します。ドメイン検証の手順については、こちら →
SAML SSOを有効にするをオンに切り替えます。SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。SAML SSOの設定モーダルは、次の2つのパートに分かれています。
アサーションコンシューマーサービス(ACS)URLは、IDプロバイダー(IdP)のポータルで入力します。IDプロバイダーの詳細は、IdP URLまたはIdPメタデータXMLのいずれかが必要となるフィールドです。
ステップ4: Entra IDでNotionアプリを設定する
Entra IDのNotionで設定する方法:
SAMLによるシングルサインオンのセットアップ ページで、
基本的なSAML構成の鉛筆のアイコンをクリックして設定を編集します。基本的なSAML構成のセクションで、アプリケーションをIDP開始モードで構成する場合は、次のフィールドに値を入力します。識別子(エンティティID)のテキストボックスに、URL「https://www.notion.so/sso/saml」を入力します。応答URL(Assertion Consumer Service URL)テキストボックスに、左側のサイドバーの設定メニューにある認証とプロビジョンタブをクリックすると表示されるNotionのACS URLを入力します。サインオンURLのテキストボックスに、URL「https://www.notion.so/login」を入力します。
ユーザー属性とクレームセクションで、必要なクレームを設定します:一意のユーザー識別子 (名前ID): user.userprincipalname[nameid-format:emailAddress]
firstName: user.givenname
lastName: user.surname
email: user.mail
SAMLによるシングルサインオンのセットアップページのSAML署名証明書セクションで、アプリのフェデレーションメタデータURLの隣にあるコピーボタンをクリックします。Notionで
設定→認証に移動し、先にコピーしたアプリのフェデレーションメタデータURLをIdPメタデータURLのテキストボックスに貼り付けます。IDプロバイダーのURLが選択されていることを確認します。
ステップ5: Notionにユーザーを割り当てる
ユーザーをNotionに割り当てる方法:
Azure portalで
エンタープライズアプリケーションを選択し、すべてのアプリケーションを選択します。アプリケーションの一覧で「Notion」を選択します。アプリケーションの概要ページで
管理セクションを見つけ、ユーザーとグループを選択します。ユーザーの追加を選択し、割り当ての追加ダイアログでユーザーとグループを選択します。ユーザーとグループダイアログの ユーザー の一覧からユーザー名を選択し、画面の下部にある選択ボタンをクリックします。ユーザーにロールが割り当てられることが想定される場合は、
ロールの選択ドロップダウンから選択できます。このアプリに対してロールが設定されていない場合は、デフォルトアクセスロールが選択されています。割り当ての追加ダイアログで割り当てをクリックします。
ステップ1: Google IDプロバイダ(IdP)の情報を取得する
Google IDプロバイダー(IdP)から情報を取得する方法:
適切なアクセス許可を持つユーザーアカウントが必要なため、管理者アカウントにサインインしてください。
管理コンソールで、
メニュー→アプリ→ウェブとモバイルアプリに移動します。検索フィールドに「Notion」と入力し、Notion SAMLアプリを選択します。
Google IDプロバイダーの詳細ページで、IdPメタデータファイルをダウンロードします。互換性のあるエディターで、
GoogleIDPMetadata.xmlファイルを開き、ファイルの中身を選択してコピーします。管理者コンソールを開いたままにします。Notionアプリで次のステップを実行した後、設定ウィザードを続行します。
ステップ2: SAML 2.0サービスプロバイダーとしてNotionを設定する
SAMLサービスプロバイダーとしてNotionを設定する方法:
Notionで、
設定→一般に移動します。許可されたメールドメインのセクションで、すべてのメールドメインを削除します。設定の認証タブを選択します。新しいドメインを追加して、検証します。これはGoogle Workspaceドメインと同じである必要があります。
SAMLシングルサインオン(SSO)設定で、SAML SSOを有効にするをオンに切り替えます。そうすると、SAML SSO設定ダイアログが開きます。ダイアログで、次の操作を行います。
IDプロバイダーの詳細で、IDPメタデータXMLを選択します。上記ステップ1でコピーした「GoogleIDPMetadata.xml」のファイルの中身を、IDPメタデータXMLのテキストボックスに貼り付けます。
アサーションコンシューマーサービス(ACS)URLをコピーして保存します。以下のステップ3でGoogle側の管理コンソールの設定を完了する際に、これが必要になります。
変更を保存をクリックします。
ログイン方法、アカウントの自動作成、リンクされたワークスペースなどの他のオプションに、設定に必要な値が入力されていることを確認します。
ステップ3: 管理コンソールでSSO設定を完了する
管理コンソールでSSO設定を完了する方法:
管理コンソールのブラウザタブに戻ります。
Google IDプロバイダーの詳細ページで、続行をクリックします。サービスプロバイダーの詳細ページで、ACS URLを上記ステップ2でコピーしたACS URLに置き換えます。続行をクリックします。属性のマッピングページで、フィールドを選択メニューをクリックし、以下のGoogleディレクトリ属性を、対応するNotionの属性にマッピングします。名、姓、メールアドレスは、必須属性であることにご留意ください。備考: profilePhoto属性を使用して、Notionにユーザーの画像を追加できます。これを行うには カスタム属性を作成 し、画像のURLパスをユーザープロファイルに入力、その後カスタム属性をprofilePhotoにマッピングします。
必要に応じて、
マッピングを追加をクリックして、必要なマッピングを追加します。完了をクリックします。
備考:入力したグループ名の数に関係なく、SAML応答にはユーザーが(直接または間接的に)メンバーになっているグループのみが含まれます。詳細については こちら →
ステップ4: Notionアプリを有効にする
Notionを有効にする方法:
管理コンソールで、
メニュー→アプリ→ウェブとモバイルアプリに移動します。Notionを選択します。ユーザーアクセスをクリックします。組織内のすべてのユーザーに対してサービスの有効・無効を設定するには、
オン(すべてのユーザー)またはオフ(すべてのユーザー)を選択し、保存をクリックします。任意で組織部門のサービスの有効・無効を設定するには、組織部門を選択し、
オンまたはオフを選択してサービスのステータスを変更します。サービスのステータスが
継承になっており、親組織の設定が変更された場合でも更新された設定を維持したい場合は、上書きをクリックします。サービスのステータスが上書きされましたになっている場合は、継承をクリックして親組織と同じ設定に戻すか、保存をクリックし、親の設定が変更された場合でも新しい設定を維持します。詳しくはこちら: 組織構造について。
任意で、ユーザーグループに対してサービスをオンにします。アクセス グループを使って、組織部門全体または組織部門内の特定のユーザーに対してサービスを有効にします。詳しくはこちら →
NotionのユーザーアカウントのメールIDがGoogleドメインのメールIDと一致していることを確認してください。
ステップ1: OktaのアプリケーションディレクトリからNotionアプリを追加する
OktaのアプリケーションディレクトリからNotionを追加するには:
Oktaに管理者としてログインし、
Okta管理コンソールに移動します。アプリケーションタブに移動し、アプリカタログを参照選択して、OktaのアプリカタログからNotionを検索します。Notionアプリを選択し、
インテグレーションの追加をクリックします。一般設定で設定を確認し、次へをクリックします。サインオンのオプション画面で、SAML 2.0を選択します。高度なサインオン設定セクションで、アイデンティティプロバイダーのメタデータをクリックします。ブラウザの新しいタブが開くので、そのURLのリンクをコピーします。
ステップ2: NotionでSAML設定を行う
SAMLのNotionを設定する方法:
Notionで、
設定→一般に移動します。許可されたメールドメインのセクションで、すべてのメールドメインを削除します。設定の認証タブを選択します。1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください →
SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。SAML SSO構成モデルの
アイデンティティプロバイダーの詳細フィールドに、ステップ1でコピーしたアイデンティティプロバイダーのメタデータのURLをペーストし、アイデンティティプロバイダーのURLを入力します。変更を保存をクリックします。認証タブで、ワークスペースID識別子をコピーします。Okta管理コンソール→高度なサインオン設定セクションに移動し、組織IDのテキストボックスにワークスペースIDのテキストボックスにワークスペースIDを貼り付けます。資格情報の詳細セクションで、アプリケーションユーザー名フォーマットのドロップダウンメニューからメールを選択します。完了をクリックします。
Okta - 割り当てタブで、Notionにユーザーとグループを割り当てることができます。
注意:SCIMでプロビジョニングを設定する場合は、SAML SSOを設定する前に行ってください。
ステップ1 : SAMLインテグレーションを作成する
新しいアプリケーションインテグレーションを作成する方法:
アプリケーション→アプリケーションに移動し、追加したNotionアプリコネクターを選択します。プロビジョニングをまだ設定していない場合は、
アプリの追加ボタンをクリックし、検索ボックスでNotionを検索し、NotionのSAML 2.0バージョンを選択します。保存をクリックします。
SSOタブに移動し、Issuer URL(発行者URL)の値をコピーします。後で利用できるように、どこかに貼り付けておきます。
ステップ2 : SAMLを設定する
NotionでSAML設定を行う方法:
Notionで、
設定→一般に移動します。許可されたメールドメインのセクションで、すべてのメールドメインを削除します。設定の認証タブを選択します。1つ以上のドメインを検証します。ドメイン検証の手順については、こちら →
SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。SAML SSOの設定モーダルは、次の2つのパートに分かれています。
アサーションコンシューマーサービス(ACS)URLは、IDプロバイダー(IdP)のポータルで入力します。IDプロバイダーの詳細は、IdP URLまたはIdPメタデータXMLのいずれかが必要となるフィールドです。
ステップ3:OneLoginでNotionアプリケーションを設定する
OneLoginでNotionを設定する方法:
Notionから
アサーションコンシューマーサービス(ACS)URLをコピーします。OneLoginの管理UIに戻ります。
OneLoginアカウントに先ほど追加したNotionアプリコネクターの
構成タブに移動します。Notionからの
アサーションコンシューマーサービス(ACS)URLをコンシューマーURLのテキストボックスに貼り付けます。保存をクリックします。Notionの
SAML SSO設定を編集に戻ります。OneLogin URLの
SSOタブからコピーした発行者URLをIDプロバイダーのURLのテキストボックスに貼り付けます。IDプロバイダーのURLが選択されていることを確認します。
詳細なドキュメントは、RipplingのWebサイトをご確認ください。こちら →
詳細なドキュメントは、TrustLoginのWebサイトをご確認ください。 こちら →
NotionがサポートしているSAMLプロバイダーを使用していない場合は、NotionでSAMLを使用するようにIDPを設定することもできます。
ステップ1: IDPを設定する
IDPが、Notionで使用されているSAML 2.0の仕様をサポートしている必要があります。IdPを設定する方法:
ACS URLをNotionのアサーションコンシューマーサービス(ACS)URLの値に設定します。これは、
設定→認証とプロビジョン→SAML SSOの設定を編集にあります。NameIDをurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressに設定します。同様に、
usernameをurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressに設定します。
エンティティIDを https://notion.so/sso/saml に設定します。これは、設定→認証とプロビジョンの下部にあります。以下の属性を設定します。
emailAddress: ユーザーのメールアドレス。ほとんどのIDPでは、これがデフォルトで設定されています。(任意)
firstName(任意)
lastName(任意)
profilePicture
次のステップで使うため、IDPメタデータURLまたはIDPメタデータXMLをコピーします。
ステップ2: NotionでSAMLを設定する
NotionでSAMLを設定する方法:
Notionで、
設定→一般をクリックします。許可されたメールドメインのセクションで、新しいメールドメインを追加し、プロンプトに従ってドメインを検証します。これらのドメインは、Notionにログインしているユーザーのメールドメインである必要があります。設定の認証タブを選択します。SAMLシングルサインオン(SSO)設定で、SAML SSOを有効にするをオンに切り替えます。そうすると、 SAML SSO設定ダイアログが開きます。IDプロバイダーの詳細で、 IDPのIDPメタデータURLまたはIDPメタデータXMLを入力します。ログイン方法、アカウントの自動作成、リンクされたワークスペースに必要な値を入力します。
IDプロバイダーを切り替える方法:
サイドバーの
設定に移動 →ID→SAML SSO設定を編集します。新しい情報を入力したら、
変更を保存をクリックします。
新しいIDプロバイダーに切り替える際は、以下を行うことをお勧めします。
移行中はSSOを強制しない(ユーザーがロックアウトされるリスクを最小限に抑えるため)
新しいIDプロバイダーでのユーザーのメールアドレスが、Notionのユーザーのメールアドレスと一致するようにする
備考: IDプロバイダーを変更しても、ユーザーセッションが終了したり、ユーザーが非アクティブになったりすることはありません。
SAML SSOを設定中にエラーが発生した場合は、IdPのメタデータ、SAMLリクエストとレスポンスが、SAML XSDスキーマに対して有効なXMLであることを確認してください。このオンラインツールを使って確認できます。
EntitiesDescriptor 要素はサポートされていないため、ご注意ください。IdPのメタデータにこの要素が含まれている場合は、含まれているEntityDescriptor要素を取り出して、もう一度お試しください。
詳しくはこちら
よくあるご質問(FAQ)
プロフィール画像は、IDPからNotionに送信されますか?
プロフィール画像は、IDPからNotionに送信されますか?
はい。profilePhotoは、オプションのカスタム属性です。この属性を、あなたのIdPに対応する属性に割り当てることができます。ただし属性が画像のURLを含んでいる場合に限ります。profilePhotoフィールドが設定されている場合、ユーザーがSAML SSOを使用してサインインした時、この画像がNotionのアバターとして使用されます。
利用しているIDプロバイダー(IdP)がサービス停止している場合でもNotionにログインできますか?
利用しているIDプロバイダー(IdP)がサービス停止している場合でもNotionにログインできますか?
はい。SAMLが強制されている場合も、ワークスペースオーナーには、メールでログインできます。ワークスペースオーナーは、ユーザーがメールで再びログインできるように、SAML強制設定を無効にできます。
