SAML-SSO konfigurieren

Der SSO-Dienst von Notion basiert auf SAML 2.0 (Security Assertion Markup Language). Dieser Standard ermöglicht im Identitätsmanagement die sichere Übermittlung von Anmeldedaten an Dienstanbieter wie Notion. So werden Identitätsanbieter und Workspaces miteinander verknüpft und das Anmeldeverfahren wird benutzerfreundlicher und sicherer.

Mit SSO können Benutzer ein und dieselben Anmeldedaten (wie einen Namen oder eine E-Mail-Adresse plus Kennwort) für mehrere Anwendungen verwenden. Dabei werden die Anmeldedaten der Endanwender in sämtlichen Anwendungen, für die sie Berechtigungen besitzen, nur ein einziges Mal abgefragt. Bei einem Anwendungswechsel in einer laufenden Sitzung folgt keine weiteren Eingabeaufforderung.

• Der Workspace gehört zu einem Business oder Enterprise Plan.

• Der Identitätsanbieter (IdP) unterstützt SAML 2.0.

• Nur die Workspace-Verantwortlichen können SAML SSO konfigurieren.

• Mindestens eine Domain eines/-r Workspace-Besitzer/-in wurde bestätigt.

• Eine schnellere systemübergreifende Benutzerverwaltung für die Workspace-Besitzer/-innen.

• Mitglieder müssen sich nur ein Passwort merken. Das verbessert das Erlebnis für Benutzer/-innen, da sie sich nur ein einziges Mal anmelden müssen und dennoch auf mehrere Anwendungen zugreifen können.

• Gehe auf Einstellungen -> Einstellungen.

• Entferne unter Zulässige E-Mail-Domains sämtliche E-Mail-Domains.

• Nun gehst du auf Identität und Bereitstellung.

• Nun bestätigst du mindestens eine Domain. Eine Anleitung dazu findest du hier →

• Wird SAML SSO aktivieren eingeschaltet, wird automatisch die SAML-SSO-Konfiguration angezeigt. Dort wird man aufgefordert, die Einrichtung abzuschließen.

• Die Konfiguration für den SAML SSO besteht aus zwei Teilen:

  • Die Assertion Consumer Service (ACS) URL gibst du in das Portal deines Identitätsanbieters (IDP) ein.

  • Unter Angaben zum Identitätsanbieter gibst du eine IDP-URL oder eine IDP-Metadaten-XML ein.

Wo man diese Daten findet und eingibt, erklären wir in den Anleitungen zu den einzelnen Identitätsanbietern.

In dem Workspace, in dem man seine Domain bestätigt und SAML SSO aktiviert hat, werden unter Verknüpfte Workspaces alle Workspaces aufgelistet, die mit der jeweiligen Konfiguration verknüpft sind.

Benutzer mit bestätigter E-Mail-Adresse, die Zugriff auf den übergeordneten oder einen verknüpften Workspace haben, können sich per SAML SSO anmelden.

Wenn du SAML SSO für einen Workspace deaktivieren möchtest, wende dich bitte an [email protected].

Ist die Konfiguration von SAML SSO für einen bestimmten Workspace abgeschlossen, können sich die Benutzer neben anderen Anmeldeverfahren wie Benutzername/Passwort und Google-Authentifizierung auch per SAML SSO anmelden.

• Damit eine Anmeldung ausschließlich per SAML SSO möglich ist, setzt man die Anmeldemethode auf Nur SAML SSO.

• SAML SSO steht nur Personen mit verifizierter Domain zur Verfügung, die Zugriff auf den übergeordneten oder einen verknüpften Workspace haben.

• Gäste können SAML SSO in Notion nicht für die Anmeldung verwenden. Sie melden sich per E-Mail-Adresse/Passwort oder „Weiter mit Google/Apple“ an.

• Workspace-Besitzer/-innen können SAML SSO durch Eingabe ihrer E-Mail-Adresse und ihres Kennworts umgehen. So können Sie bei einem Ausfall von IdP oder SAML weiterhin auf Notion zugreifen. Nach der Anmeldung können die Einstellungen dann deaktiviert oder geändert werden.

Notion unterstützt bei Verwendung von SAML SSO die Just-in-Time-Bereitstellung. So kannst du dem Workspace nach der Anmeldung über SAML SSO automatisch als Mitglied beitreten.

Und so aktivierst du die JIT-Bereitstellung:

• Überprüfe unter Einstellungen -> Bereitstellung, ob die automatische Kontoerstellung eingeschaltet ist.

Hier zeigen wir dir, wie du SAML SSO mit Entra ID (vormals Azure), Google, Okta und OneLogin in Notion einrichtest. Falls du einen anderen Identitätsanbieter nutzt und Hilfe bei der Konfiguration benötigst, wende dich bitte an unseren Support.

Ergänzende Hinweise findest du auch auf der Website von Entra ID:

• Entra ID (vormals Azure Active Directory) Single Sign-On (SSO) in Notion integrieren

Schritt 2: Neue Anwendungsintegration erstellen

• Melde dich im Entra ID-Portal an. Wähle nun im Navigationsbereich links den Dienst Azure Active Directory aus.

• Wechsle zu Unternehmensanwendungen und wähle dann Alle Anwendungen aus.

• Klicke auf Neue Anwendung, um eine neue Anwendung hinzuzufügen.

• Im Abschnitt Aus Galerie hinzufügen gibst du nun Notion in das Suchfeld ein. Wähle nun „Notion“ aus den Suchergebnissen aus und füge die App hinzu. Es dauert ein paar Sekunden, bis die App hinzugefügt wird.

Schritt 2: SAML-Integration erstellen

• Wechsle im Azure-Portal zur Seite „Notion-Anwendungsintegration“ und wähle im Abschnitt Verwalten die Option Single Sign-On aus.

• Wähle auf der Seite Methode für einmaliges Anmelden auswählen die Option SAML aus.

Schritt 3: SAML-Einstellungen

• Öffne in Notion den Tab Einstellungen und gehe dann auf Einstellungen.

• Entferne unter Zulässige E-Mail-Domains sämtliche Domains.

• Nun gehst du auf Identität und Bereitstellung.

• Bestätige nun mindestens eine Domain. Eine Anleitung dazu findest du hier →

  Workspace-Domain verifizieren

• Schalte SAML SSO aktivieren ein. Nun wird automatisch die SAML-SSO-Konfiguration angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.

• Die SAML-SSO-Konfiguration gliedert sich in zwei Abschnitte: die URL des Assertion Consumer Service (ACS), die du in das Portal deines Identitätsanbieters (Identity Provider, IdP) eingibst, und die Daten des Identitätsanbieters. Hier gibst du die IdP-URL bzw. Metadaten-XML des IdP ein.

Schritt 4: Notion-App in Entra ID konfigurieren

• Klicke auf der Seite „Einmaliges Anmelden mit SAML einrichten“ auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

• Gib im Abschnitt Grundlegende SAML-Konfiguration die Werte in die folgenden Felder ein, wenn du die Anwendung im IDP-initiierten Modus konfigurieren möchtest:
  

  • Gib im Textfeld Bezeichner (Entitäts-ID) die folgende URL ein: https://notion-proxy.senuto.com/sso/saml.

  • Gib im Textfeld Antwort-URL (Assertion Consumer Service URL) die ACS-URL von Notion ein. Du findest sie in der linken Seitenleiste unter Einstellungen auf der Tab Identität und Bereitstellung.

  • Gib im Textfeld Anmelde-URL die folgende URL ein: https://notion-proxy.senuto.com/login.

• Stelle sicher, dass im Abschnitt Benutzerattribute und Ansprüche die Einstellungen für den erforderlichen Anspruch auf Folgendes festgelegt sind:
  

  • Eindeutige Benutzer-ID (Namens-ID): user.userprincipalname [nameid-format:emailAddress]

  • firstName: user.givenname

  • lastName: user.surname

  • email: user.mail

• Klicke auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat auf die Schaltfläche „Kopieren“ neben der App-Verbundmetadaten-URL.

• Navigiere in deinem Notion-Workspace zu Einstellungen > Identität und Bereitstellung und füge den Wert für die App Federation Metadata URL ein, den du in das Textfeld IDP-Metadaten-URL kopiert hast. Achte dabei darauf, dass die Optionsschaltfläche Identitätsanbieter-URL aktiviert ist.

Schritt 4: Benutzer/-innen zu Notion zuweisen

• Wähle im Azure-Portal Unternehmensanwendungen und anschließend Alle Anwendungen aus. Wähle dann in der Anwendungsliste Notion aus.

• Navigiere auf der Übersichtsseite der App zum Abschnitt Verwalten und wähle Benutzer/-innen und Gruppen aus.

• Wähle Benutzer/-in hinzufügen und anschließend im Dialogfeld „Zuweisung hinzufügen“ die Option Benutzer/-innen und Gruppen aus.

• Wähle im Dialogfeld Benutzer/-innen und Gruppen in der Liste „Benutzer/-innen“ die gewünschten Personen aus und klicke dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.

• Wenn den Benutzer/-innen eine Rolle zugewiesen werden soll, kannst du sie im Dropdown-Menü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, wird automatisch die Rolle „Standardzugriff“ ausgewählt.

• Klicke im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Ergänzende Hinweise findest du auch in der Google Workspace-Admin-Hilfe:

• Notion-Cloudanwendung

Schritt 1: Informationen des Google-Identitätsanbieters (Identity Provider, IDP) abrufen

• Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, damit du die entsprechenden Berechtigungen besitzt.

• Gehe in der Admin-Konsole auf Menü -> Apps -> Web- und mobile Apps.

• Gib „Notion“ in das Suchfeld ein und wähle die Notion-SAML-App aus.

• Lade auf der Seite zum Google-Identitätsanbieter die IDP-Metadatendatei herunter.

• Öffne die Datei „GoogleIDPMetadata.xml“ in einem kompatiblen Editor und kopiere dann deren Inhalt.

• Lasse die Admin-Konsole geöffnet. Der Konfigurationsassistent wird benötigt, sobald du den nächsten Schritt in der Notion-Anwendung abgeschlossen hast.

Schritt 2: Notion als SAML 2.0-Dienstanbieter einrichten

• Gehe in Notion auf den Tab Einstellungen und dort auf Einstellungen.

• Entferne alle unter Zulässige E-Mail-Domains aufgeführten E-Mail-Domains.

• Nun gehst du auf Identität und Bereitstellung.

• Füge eine neue Domain hinzu und bestätige diese. Sie sollte mit der Domain deines Google Workspace übereinstimmen.

• Schalte unter den Einstellungen für SAML Single Sign-On (SSO) die Option SAML SSO aktivieren ein. Daraufhin erscheint das Dialogfeld SAML-SSO-Konfiguration.

• Im Dialogfeld gehst du folgendermaßen vor:

  1. Wähle unter Daten des Identitätsanbieters die Option IDP-Metadaten-XML aus.

  2. Füge den in Schritt 1 kopierten Inhalt der Datei „GoogleIDPMetadata.xml“ in das Textfeld der IDP-Metadaten-XML ein.

  3. Kopiere und speichere die ACS-URL (Assertion Consumer Service URL). Sie wird wieder benötigt, wenn du in Schritt 3 die Google-Konfiguration in der Admin-Konsole abschließt.

  4. Klicke nun noch auf Änderungen speichern.

• Stelle sicher, dass auch die Angaben unter „Anmeldemethode“, „Automatische Kontoerstellung“ und „Verknüpfte Workspaces“ stimmen.

Schritt 3: SSO-Konfiguration in der Admin-Konsole abschließen

• Klicke wieder auf den Browser-Tab, in dem du die Admin-Konsole geöffnet hast.

• Klicke unter Daten des Google-Identitätsanbieters auf Weiter.

• Ersetze die ACS-URL unter Daten des Dienstanbieters durch die ACS-URL, die in Schritt 2 aus Notion kopiert wurde.

• Klicke auf Weiter.

• Klicke unter Attributzuordnung auf das Menü Feld auswählen und ordne die Google-Verzeichnisattribute den entsprechenden Notion-Attributen zu. Die Attribute „firstName“, „lastName“ und „email“ sind Pflichtfelder.

  

  Hinweis: Mit dem Attribut profilePhoto können Mitgliederfotos hinzugefügt werden.Dazu erstellst du ein individuelles Attribut, trägst darin im Mitgliederprofil die Foto-URL ein und verknüpfst es anschließend mit profilePhoto.

• Optional: Klicke auf Zuordnung hinzufügen, wenn du weitere Zuordnungen hinzufügen möchtest.

• Optional: Sollen die SAML-Antworten Angaben zur Gruppenzugehörigkeit enthalten, gib die jeweiligen Gruppennamen in das Feld Gruppenmitgliedschaft ein.

  • Klicke unter Google-Gruppen das Eingabefeld Nach einer Gruppe suchen an.

  • Gib mindestens einen Buchstaben des Gruppennamens ein.

  • Wähle den gewünschten Gruppennamen aus der Liste aus.

  • Füge nach Bedarf weitere Gruppen hinzu (maximal 75).

  • Nun gibst du unter App-Attribut den Namen des Gruppenattributs des jeweiligen Dienstanbieters ein.

• Klicke zum Abschluss auf Fertigstellen.

Schritt 4: Notion-App aktivieren

• Gehe in der Admin-Konsole auf Menü > Apps > Web- und mobile Apps.

• Wähle Notion aus.

• Klicke auf Benutzerzugriff.

• Wenn du einen Dienst für alle Organisationsangehörigen aktivieren bzw. deaktivieren möchtest, klickst du auf Für alle aktivieren oder Für alle deaktivieren und anschließend auf Speichern.

• Optional: So aktivierst bzw. deaktivierst du Dienste für einzelne Organisationseinheiten:

  • Wähle links die entsprechende Organisationseinheit aus.

  • Den Dienststatus änderst du per Ein bzw. Aus.

  • Steht der Dienststatus auf Übernommen und soll die aktualisierte Konfiguration auch bei Änderung der übergeordneten Einstellung beibehalten werden, klickst du auf Überschreiben. Steht der Dienststatus dagegen auf Überschrieben, kannst du auf Übernehmen gehen, um die übergeordnete Einstellung wiederherzustellen. Du kannst aber auch auf Speichern klicken, damit die neue Konfiguration beibehalten wird, selbst wenn sich die übergeordnete Einstellung ändert. Hinweis: Hier findest du weitere Informationen zur Organisationsstruktur.

• Optional: Aktiviere den Dienst nur für eine bestimmte Gruppe. Mithilfe von Zugriffsgruppen kannst du Dienste auch nur für bestimmte Benutzergruppen innerhalb einer Organisationseinheit oder für mehrere Einheiten aktivieren. Weitere Informationen

• Vergewissere dich, dass die E‑Mail-IDs der Notion-Konten mit denen in deiner Google-Domain übereinstimmen.

Ergänzende Hinweise findest du auch auch auf der Website von Okta:

• SAML 2.0 für Notion einrichten

Schritt 1: Füge aus dem Anwendungsverzeichnis von Okta die Notion-App hinzu.

• Melde dich in Okta als Admin an und rufe die Admin-Konsole von Okta auf.

• Wechsle zur Tab Anwendung, wähle App-Katalog durchsuchen aus und suche im App-Katalog von Okta nach „Notion“.

• Wähle die Notion-App aus und klicke auf Integration hinzufügen.

• Überprüfe die Einstellungen unter Allgemeine Einstellungen und klicke auf Weiter.

• Wähle unter Anmeldeoptionen die Option „SAML 2.0“ aus.

• Klicke oberhalb des Abschnitts Erweiterte Anmeldeeinstellungen auf Metadaten des Identitätsanbieters. Daraufhin wird eine neue Browser-Tab geöffnet. Kopiere den Link der URL.

Schritt 2: SAML-Einstellungen in Notion konfigurieren

• Öffne in Notion den Tab Einstellungen und gehe dann auf Einstellungen.

• Entferne unter Zulässige E-Mail-Domains sämtliche Domains.

• Nun gehst du auf Identität und Bereitstellung.

• Bestätige nun mindestens eine Domain. Eine Anleitung dazu findest du hier → Workspace-Domain verifizieren.

• Schalte SAML SSO aktivieren ein. Nun wird automatisch die SAML-SSO-Konfiguration angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.

• Die SAML-SSO-Konfiguration gliedert sich in zwei Abschnitte: die URL des Assertion Consumer Service (ACS), die du in das Portal deines Identitätsanbieters (Identity Provider, IdP) eingibst, und die Daten des Identitätsanbieters. Hier gibst du die IdP-URL bzw. Metadaten-XML des IdP ein.
  

  • Wähle die Identitätsanbieter-URL aus und füge die in Schritt 1 kopierte Identitätsanbieter-Metadaten-URL ein. Klicke auf „Änderungen speichern“.

• Scrolle auf der Tab Identität und Bereitstellung nach unten und kopiere den Bezeichner Workspace-ID.

• Füge in der Admin-Konsole von Okta im Abschnitt Erweiterte Anmeldeeinstellungen die Workspace-ID in das Textfeld Organisations-ID ein.

• Wähle unter den Details zu den Anmeldeinformationen aus dem Dropdown-Menü Format des Anwendungs-Benutzernamens die Option E-Mail aus und klicke dann auf „Fertig“.

Schritt 3: Benutzer und Gruppen zu Notion zuweisen

• Auf der Tab Zuweisungen von Okta können jetzt Benutzer/-innen und Gruppen zu Notion zugewiesen werden.

Ergänzende Hinweise findest du auch auf der Website von OneLogin:

• SAML für Notion einrichten

Schritt 1: Neue Anwendungseinbindung erstellen

• Wurde die Bereitstellung noch nicht konfiguriert, gehst du auf Verwaltung → Anwendungen → Anwendungen, klickst auf App hinzufügen, suchst im Suchfenster nach Notion und wählst dann die Notion-Version SAML 2.0 aus.

• Nun klickst du auf Speichern.

Schritt 2: SAML-Einbindung erstellen

• Alternativ kannst du auf Anwendungen → Anwendungen klicken und wählst dort den Notion App Connector aus, den du bereits hinzugefügt hast.

• Öffne den Tab SSO und kopiere den Issuer URL Wert. Diese fügst du nun an einer beliebigen Stelle ein, um sie später wieder abrufen zu können.

Schritt 3: SAML-Einstellungen

• Gehe in Notion auf Einstellungen -> Einstellungen.

• Entferne unter Zulässige E-Mail-Domains sämtliche Domains.

• Nun gehst du auf Identität und Bereitstellung.

• Nun bestätigst du mindestens eine Domain. Eine Anleitung dazu findest du hier → Workspace-Domain verifizieren

• Schalte SAML SSO aktivieren ein. Nun wird automatisch die SAML-SSO-Konfiguration angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.

• Die SAML-SSO-Konfiguration gliedert sich in zwei Abschnitte: die URL des Assertion Consumer Service (ACS), die du in das Portal deines Identitätsanbieters (Identity Provider, IdP) eingibst, und die Daten des Identitätsanbieters. Hier gibst du die IdP-URL bzw. Metadaten-XML des IdP ein.

Schritt 4: Notion-App in OneLogin konfigurieren

• Kopiere die Assertion Consumer Service (ACS)-URL aus Notion.

• Öffne nun wieder die OneLogin-Verwaltung

• Gehe im Notion App Connector, den du zuvor zu deinem OneLogin-Konto hinzugefügt hast, auf Konfiguration.

• Füge die aus Notion kopierte Assertion Consumer Service (ACS)-URL in das Feld Consumer URL ein.

• Nun klickst du auf Speichern.

• Öffne in Notion erneut SAML-SSO-Konfiguration bearbeiten.

• Füge die Aussteller-URL, die du unter SSO von der OneLogin-URL kopiert hast, in das Feld Identitätsanbieter-URL ein. Achte dabei darauf, dass die Optionsschaltfläche Identitätsanbieter-URL ausgewählt ist.

Nähere Erläuterungen findest du hier auf der Website von Rippling:

• Rippling API – Single Sign-On

Falls es bei der Einrichtung von SAML-SSO zu Fehlern kommt, sollten die Metadaten des IDP und die Gültigkeit der SAML-Anfragen und -Antworten anhand der SAML-XSD-Schemata überprüft werden. Dazu gibt es ein Online-Tool: https://www.samltool.com/validate_xml.php

Bitte beachte, dass wir das Element EntitiesDescriptor nicht unterstützen. Enthalten die IDP-Metadaten dieses Element, sollte das EntityDescriptor-Element extrahiert und der Vorgang erneut versucht werden.