Danke, dass du unser Hilfe-Center besuchst. Wir arbeiten gerade daran, alle Inhalte des Hilfe-Centers zu übersetzen, deshalb könntest du noch einige Artikel auf Englisch sehen. Vielen Dank für deine Geduld!

SCIM-Bereitstellung für Benutzer/-innen und Gruppen

Benutzer/-innen und Gruppen mit SCIM bereitstellen – Hero
In diesem Artikel

Benutzer/-innen und Gruppen können in Notion mit dem API-Standard „System for Cross-domain Identity Management“ bereitgestellt und verwaltet werden 🔑


Benutzer/-in erstellen und verwalten:

  • Workspace-Mitglieder erstellen und entfernen

  • Profilinformationen von Mitgliedern ändern

  • Workspace-Mitglieder abrufen

    • Mitglieder anhand von E-Mail-Adresse und Namen suchen

Gruppen erstellen und verwalten:

  • Workspace-Gruppen erstellen und entfernen

  • Gruppenmitglieder hinzufügen und entfernen

  • Workspace-Gruppe abrufen

    • Gruppen anhand von Namen suchen

Nicht unterstützt:

  • Workspace-Gäste verwalten

Derzeit unterstützt Notion Okta, OneLogin, Rippling, Gusto und benutzerdefinierte SCIM-Anwendungen. Falls du einen anderen Identitätsanbieter nutzt, teile uns das bitte mit.

SCIM bei Notion – Voraussetzungen

  • Der Workspace muss zu einem Enterprise Plan gehören.

  • Dein Identity Provider (IdP) muss das SAML 2.0-Protokoll unterstützen.

  • Nur Workspace-Besitzer/-innen können SCIM für einen Notion-Workspace konfigurieren.

  • Wenn du SCIM verwenden möchtest, um den Namen oder die E-Mail-Adresse von Nutzer/-innen zu ändern, musst du nachweisen, dass du Eigentümer/-in ihrer E-Mail-Domain bist. Hier erfährst du mehr über die Domain-Verifizierung →

SCIM-API-Token generieren

Besitzer/-innen eines Workspaces mit Enterprise Plan können SCIM-API-Token generieren und anzeigen, indem sie zu EinstellungenIdentität und BereitstellungSCIM-Bereitstellung gehen.

  1. Um einen neuen Token zu generieren, klickst du rechts auf + Neues Token.

  2. Für alle Workspace-Besitzer/-innen wird ein eindeutiger Token generiert, den nur diese Person sehen kann.

Token widerrufen

Verlässt ein Workspace-Besitzer oder eine Workspace-Besitzerin den Workspace oder wechselt die Rolle, wird der Token widerrufen. Die verbleibenden Workspace-Besitzer/-innen erhalten eine automatische Aufforderung, den widerrufenen Token zu ersetzen.

Aktive Token können auch von den Workspace-Besitzer/-innen widerrufen werden. Klicke dazu neben dem jeweiligen Token auf 🗑.

Token ersetzen

Wird ein Token zurückgezogen, muss dieser in allen vorhandenen Integrationen ersetzt werden.

SCIM-Integration und Bereitstellungen, die den widerrufenen Token nutzen, werden deaktiviert, bis der Token ersetzt wird.

Hinweis: Um andere Integrationen nicht zu beeinträchtigen, sollte man vor der Bereitstellungsaufhebung von Admins alle entsprechenden Tokens ersetzen.

Einladungs-E-Mails unterdrücken

Besitzer/-innen von Workspaces mit Enterprise Plan können über EinstellungenIdentität und BereitstellungSCIM-BereitstellungEinladungs-E-Mails aus SCIM-Bereitstellung unterdrücken festlegen, ob die Nutzer/-innen Einladungen zu Workspaces und Gruppen per E-Mail erhalten. Aktiviere diese Einstellung, wenn du keine E-Mails an Nutzer/-innen senden möchtest.

Azure

Ergänzende Hinweise findest du auch in der Dokumentation im Azure Active Directory Help Center:

Die Azure-SCIM-Einbindung von Notion unterstützt die folgenden Bereitstellungsfunktionen:

  • Mitglieder-Konten erstellen

  • Entferne Benutzer/-innen

  • Synchronisiere Attribute von Benutzer/-innen zwischen Azure AD und Notion.

  • Stelle Gruppen und Gruppenmitgliedschaften in Notion bereit.

  • Melde dich per SSO bei Notion an (empfohlen).

Hinweis: Weitere Informationen zur Bereitstellungsplanung findest du in der Azure-Dokumentation.

Schritt 1: Notion für die Unterstützung der Bereitstellung mit Azure AD konfigurieren

  1. Melde dich bei deinem Notion-Workspace an und klicke 

    Einstellungen -> Identität und Bereitstellung. Scrolle nach unten zum Abschnitt SCIM-Bereitstellung .

  2. Wenn noch keinen Token generiert wurde, klicke auf 

    + Token hinzufügen und kopiere dann den Token. Diesen Token gibst du später in Schritt 5.5 als geheimen Token ein.

Schritt 2: Notion aus dem Azure AD-Anwendungskatalog hinzufügen

  • Befolge die Anleitung  hier zum Hinzufügen einer Anwendung aus dem Katalog.

Mit dem Azure AD-Bereitstellungsdienst kannst du anhand der Zuweisung zur Anwendung oder aufgrund von Attributen für Benutzer/-innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll.

  • Wenn du die Benutzerbereitstellung für deine App zuweisungsbasiert festlegen möchtest, führe die folgenden Schritte aus, um der Anwendung Benutzer/-innen und Gruppen zuzuweisen.

  • Wenn du den Bereich, der bereitgestellt wird, ausschließlich anhand der Attribute von Benutzer/-innen oder der Gruppe festlegen möchtest, verwende einen Bereichsfilter, wie hier beschrieben.

Schritt 3: Automatische Benutzerbereitstellung für Notion konfigurieren

  1. Melde dich im Azure-Portal an. Wähle Unternehmensanwendungen und dann Alle Anwendungen.

  2. Wähle in der Anwendungsliste Notion aus.

  3. Gehe auf den Tab Bereitstellung.

  4. Lege den Bereitstellungsmodus auf Automatisch fest.

  5. Gib im Bereich Admin-Anmeldeinformationen die Mandanten-URL und den geheimen Token für Notion ein. Klicke auf Verbindung testen, um sicherzustellen, dass Azure AD eine Verbindung mit Notion herstellen kann. Wenn die Verbindung nicht hergestellt werden kann, vergewissere dich, dass dein Notion-Konto über Admin-Berechtigungen verfügt. Versuche es dann erneut.

  6. Nun klickst du auf Speichern.

  7. Wähle im Bereich Zuordnungen die Option Azure Active Directory-Benutzer mit Notion synchronisieren aus.

    • Überprüfe im Bereich Attributzuordnungen die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. Wähle  Speichern,  um alle Änderungen zu übernehmen.

  8. Wähle im Bereich Zuordnungen die Option Azure Active Directory-Gruppen mit Notion synchronisieren aus.

    • Überprüfe im Bereich Attributzuordnungen die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. Wähle  Speichern,  um alle Änderungen zu übernehmen.

  9. Um den Azure AD-Bereitstellungsdienst für Notion zu aktivieren, ändere im Bereich Einstellungen den Bereitstellungsstatus in Ein.

  10. Lege die Benutzer/-innen bzw. Gruppen fest, die in Notion bereitgestellt werden sollen. Wähle dazu unter Einstellungen unter Bereich die gewünschten Werte aus.

  11. Wenn du fertig bist, klicke auf Speichern.

Hinweis: Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer/-innen und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden.

Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Azure AD-Bereitstellungsdienst ausgeführt wird.

Google

Ergänzende Hinweise findest du auch in der Google Workspace-Admin-Hilfe:

Die Google-SCIM-Integration von Notion unterstützt die folgenden Bereitstellungsfunktionen:

  • Benutzer/-innen anlegen.

  • Aktualisiere die Benutzerattribute (sofern die jeweilige E-Mail-Domain zu deiner Organisation gehört).

  • Deaktiviere Benutzer/-innen (dadurch werden sie aus deinem/deinen Notion-Workspace(s) entfernt).

Hinweis: Die SCIM-Integration von Google unterstützt weder gruppenweite Bereitstellungen noch deren Aufhebung.

Schritt 1: Bereitstellung in Notion aktivieren

  1. Gehe zum Tab Einstellungen und wähle dann den Tab Identität und Bereitstellung.

  2. Scrolle nach unten zum Abschnitt SCIM-Bereitstellung (dort werden deine verfügbaren SCIM-Token aufgelistet).

  3. Klicke in der Tabelle mit den SCIM-Token entweder auf Kopieren neben einem vorhandenen Token ODER klicke auf Token hinzufügen in der rechten Ecke, um ein neues Token zu erstellen.

Schritt 2: Bereitstellung in Google konfigurieren

  1. Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, sodass dein Benutzerkonto über die entsprechenden Berechtigungen verfügt.

  2. Führe die in der Google-Workspace-Admin-Hilfe aufgeführten Schritte aus. Beginne dabei mit der Einrichtung der automatischen Bereitstellung für die Notion-App.

Gusto

Hier findest du weitere Hilfe zur Einrichtung von Gusto:

Schritt 1: Klicke auf „Verbinden“ und befolge die Anweisungen zur Bestätigung deiner Kontoinformationen.

  1. Gehe in deiner Notion-Seitenleiste auf Einstellungen -> Identität und Bereitstellung.

  2. Klicke unter „SCIM-Bereitstellung“ auf Token hinzufügen und kopiere das Token.

  3. Füge auf Gusto das Token in das Feld „SCIM-API-Schlüssel“ ein und gib die mit deinem Notion-Konto verknüpfte E-Mail-Adresse ein.

Schritt 2: Weise den gewünschten Personen in Gusto Notion-Benutzerkonten zu.

Okta

Die Okta-Integration unterstützt die folgenden Bereitstellungsfunktionen:

  • Benutzer/-in erstellen

  • Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)

  • Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)

  • Push-Gruppen

Schritt 1: Bereitstellung in Notion aktivieren

  1. Gehe zum Tab Einstellungen und wähle dann den Tab Identität und Bereitstellung.

  2. Scrolle zum Abschnitt Einmalige SAML-Anmeldung (SSO).

  3. Gehe auf SAML-SSO-Konfiguration bearbeiten.

  4. Klicke neben der Assertion Consumer Service (ACS)-URL auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

  5. Gehe zurück zu den EinstellungenIdentität und Bereitstellung und scrolle nach unten zum Abschnitt SCIM-Bereitstellung.

  6. Falls noch kein Token erstellt wurde, klicke auf + Token hinzufügen und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

Schritt 2: Bereitstellung in Okta konfigurieren

  1. Nun fügst du die Notion-App aus dem App-Katalogverzeichnis von Okta hinzu.

  2. Wähle in der Ansicht Anmeldeoptionen im Tab Anmeldung die Option E-Mail für das Format des Anwendungsbenutzernamens aus.

  3. Wähle unter dem Tab Bereitstellung die Option API-Einbindung konfigurieren und klicke auf das Kontrollkästchen API-Einbindung aktivieren.

  4. Füge das API-Token aus Schritt 1 in das Textfeld API-Token ein und gehe dann auf Speichern.

  5. Klicke neben der Kopfzeile „Bereitstellung für App“ auf Bearbeiten und aktiviere die gewünschten Funktionen: Benutzer/-innen anlegen, Benutzerattribute aktualisieren oder Benutzer/-innen deaktivieren. Klicke auf Speichern.

  6. Nach der Einrichtung der API-Einbindung öffnest du den Tab Push-Gruppen und fügst die Okta-Gruppen, die du mit Notion synchronisieren möchtest, über den Push-Gruppen-Button hinzu.

Hinweis: Wenn Benutzer/-innen oder /Gruppen über eine vorhandene SCIM-Konfiguration geändert werden, sollte die Notion-App nicht aus Okta entfernt werden. Denn dadurch werden alle erstellten Benutzer/-innen aus dem Workspace entfernt.

OneLogin

Ergänzende Hinweise findest du auch auf der Website von OneLogin:

Die OneLogin-Integration unterstützt die folgenden Bereitstellungsfunktionen:

  • Benutzer/-in erstellen

  • Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)

  • Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)

  • Regeln zur Zuordnung der OneLogin-Rollen mithilfe von Notion-Berechtigungsgruppen erstellen

Hinweis: Soll die Benutzerbereitstellung über OneLogin erfolgen, muss SCIM vor SSO konfiguriert werden.

Schritt 1: Bereitstellung in Notion aktivieren

  • Gehe zu Einstellungen und wähle dann den Tab Identität und Bereitstellung.

  • Scrolle nach unten zum Abschnitt SAML Single Sign-On (SSO).

  • Gehe auf SAML-SSO-Konfiguration bearbeiten.

  • Klicke neben der Assertion Consumer Service (ACS)-URL auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

  • Gehe zurück zu den Einstellungen, wähle dann den Tab Identität und Bereitstellung und scrolle nach unten zum Abschnitt SCIM-Bereitstellung.

  • Falls noch kein Token erstellt wurde, klicke auf + Token hinzufügen und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.

Hinweis: Workspace-Besitzer/-innen können nur von ihnen selbst erzeugt Token kopieren und verwenden. Hat bereits eine andere Person einen Token erstellt, solltest du dich erkundigen, ob ein weiterer Token überhaupt notwendig ist. Verlässt die Person, die den Token erstellt hat, den Workspace oder wird zu einem gewöhnlichen Mitglied herabgestuft, verlieren diese Token ihre Gültigkeit.

Schritt 2: Bereitstellung in OneLogin konfigurieren

  1. Gehe zu VerwaltungAnwendungenAnwendungen.

  2. Klicke auf App hinzufügen, gib „Notion“ in das Suchfeld ein und wähle dann die Notion-Version SAML 2.0 aus.

  3. Klicke auf Speichern.

  4. Gehe zum Tab Konfiguration.

  5. Füge die Assertion Consumer Service (ACL)-URL in das Textfeld Consumer URL ein.

  6. Füge das SCIM-API-Token in das Textfeld SCIM Bearer Token ein.

  7. Klicke auf Aktivieren.

  8. Gehe zum Tab Bereitstellung.

  9. Aktiviere unter Workflow die Option Bereitstellung aktivieren.

  10. Klicke oben rechts auf Speichern.

    • (Optional) Aktiviere oder deaktiviere die Anforderung der Admin-Genehmigung für die Erstellung, Löschung und das Update von Benutzer/-innen unter Vor der Ausführung Genehmigung des Admins anfordern.

    • (optional) Wähle aus, wie Notion auf die Löschung von Benutzer/-innen aus OneLogin reagieren soll. Du hast die Wahl zwischen „Löschen“ (Benutzer/-in wird aus dem Notion-Workspace entfernt) und „Nichts unternehmen“.

  11. Klicke oben rechts auf Speichern.

Rippling

Nähere Erläuterungen findest du hier auf der Website von Rippling:

In der Tabelle wird die Zuordnung von SCIM-Benutzerattributen zu Benutzerprofilfeldern in Notion dargestellt. Alle anderen Benutzerattribute werden ignoriert.

  • GET /Users

    • GET <https://api.notion.com/scim/v2/Users>

    • Ruft eine paginierte Liste der Workspace-Mitglieder ab

    • Für die Paginierung eignen sich die Parameter startIndex und count. startIndex ist dabei 1-indiziert.

    • Die Ergebnisse können mit dem Parameter Filter gefiltert werden. Gültige Filterattribute sind email, given_name und family_name. Beispiel: GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq [email protected]

    • Bei given_name und family_name sollte man auf die korrekte Groß- und Kleinschreibung achten. E-Mail-Adressen werden in Kleinbuchstaben konvertiert.

  • GET /Users/<id>

    • GET <https://api.notion.com/scim/v2/Users/><id>

    • Findet Workspace-Mitglieder anhand ihrer Mitglieder-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format 00000000-0000-0000-0000-000000000000.

    • Achtung: meta.created und meta.lastModified geben keine aussagekräftigen Zeitstempelwerte wieder.

  • POST /Users

    • POST <https://api.notion.com/scim/v2/Users>

    • Besitzt ein neu hinzugefügter Person bereits ein Notion-Konto mit derselben E-Mail-Adresse, wird sie deinem Workspace hinzugefügt.

    • Wenn die Person noch kein Konto hat, wird automatisch ein neues Mitglieds-Konto erstellt, in deinen Workspace aufgenommen und dem neu erstellten Profil hinzugefügt.

  • PATCH /Users/<id>

    • PATCH <https://api.notion.com/scim/v2/Users/><id>

    • Mehrstufige Aktualisierung und anschließende Erstellung des geänderten Benutzerdatensatzes

Hinweis: Du kannst Profildaten von Mitgliedern nur dann ändern, wenn du verifizierte/-r Inhaber/-in der verwendeten E-Mail-Domain des Mitglieds bist. (Diese ist meist mit der E-Mail-Domain identisch, die für SAML-SSO eingerichtet wurde). Verifiziere deine Domain anhand der Anweisungen hier

  • PUT /Users/<id>

    • PUT <https://api.notion.com/scim/v2/Users/><id>

    • Update und Ausgabe des geänderten Benutzerdatensatzes.

  • DELETE /Users/<id>

    • DELETE <https://api.notion.com/scim/v2/Users/><id>

    • Entfernt Benutzer/-innen aus dem Workspace. Die betroffene Person wird dabei von allen laufenden Sitzungen abgemeldet.

      • Das Benutzerkonto kann nicht über SCIM gelöscht werden. Konten müssen immer manuell gelöscht werden.

      • Benutzer/-innen können auch aus deinem Workspace entfernt werden, indem du das aktive Benutzerattribut auf falsch setzt. Hierzu musst du eine PATCH /Users/<id>- oder eine PUT /Users/<id>-Anfrage senden.

      • Der Besitzer oder die Besitzerin des Workspaces, der oder die das SCIM-Bot-Token erstellt hat, kann nicht über die API entfernt werden. Geschieht dies dennoch, werden alle von ihm oder ihr erstellten Token widerrufen und alle Einbindungen, die den jeweiligen Bot verwenden, werden unterbrochen.

Hinweis: Du kannst Benutzer/-innen mit Hilfe des Rollenattributs, das eine Erweiterung des vorhandenen Benutzerschemas darstellt, Workspace-Ebenen zuweisen. Das Format lautet wie folgt:

"urn:ietf:params:scim:schemas:extension:notion:2.0:User": { role: string // "owner" | "membership_admin" | "member" }

  • GET /Groups

    • GET <https://api.notion.com/scim/v2/Groups>

    • Ruft eine paginierte Liste der Workspace-Gruppen ab

    • Für die Nummerierung eignen sich die Parameter startIndex und count. Beachte, dass startIndex 1-indiziert ist und count einen Höchstwert von 100 hat, z. B. GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>

      • Wenn die Nummerierung nicht verwendet wird, werden in einer Anfrage maximal 100 Workspace-Gruppen herausgegeben.

    • Die Ergebnisse können mit dem Parameter Filter gefiltert werden. Gruppen können anhand des displayName-Attributs gefiltert werden. Beispiel: GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers

  • GET /Groups/<id>

    • GET <https://api.notion.com/scim/v2/Groups/><id>

    • Findet Workspace-Mitglieder anhand ihrer Gruppen-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format 00000000-0000-0000-0000-000000000000.

  • POST /Groups

    • POST <https://api.notion.com/scim/v2/Groups>

    • Erstellt eine neue Workspace-Gruppe

  • PATCH /Groups/<id>

    • PATCH <https://api.notion.com/scim/v2/Groups/><id>

    • Mehrstufige Aktualisierung der Workspace-Gruppe

  • PUT /Groups/<id>

    • PUT <https://api.notion.com/scim/v2/Groups/><id>

    • Aktualisiert die Workspace-Gruppe

  • DELETE /Groups/<id>

    • DELETE <https://api.notion.com/scim/v2/Groups/><id>

    • Löscht die Workspace-Gruppe

Hinweis: Gruppen können nicht gelöscht werden, wenn anschließend niemand mehr vollen Zugriff auf eine oder mehrere Seiten hätte.


Feedback geben

War diese Ressource hilfreich?