SCIM-Bereitstellung für Benutzer/-innen und Gruppen
Benutzer/-innen und Gruppen können in Notion mit dem API-Standard „System for Cross-domain Identity Management“ bereitgestellt und verwaltet werden 🔑
Benutzer/-in erstellen und verwalten:
Workspace-Mitglieder erstellen und entfernen
Profilinformationen von Mitgliedern ändern
Workspace-Mitglieder abrufen
Mitglieder anhand von E-Mail-Adresse und Namen suchen
Gruppen erstellen und verwalten:
Workspace-Gruppen erstellen und entfernen
Gruppenmitglieder hinzufügen und entfernen
Workspace-Gruppe abrufen
Gruppen anhand von Namen suchen
Nicht unterstützt:
Workspace-Gäste verwalten
Derzeit unterstützt Notion Okta, OneLogin, Rippling, Gusto und benutzerdefinierte SCIM-Anwendungen. Falls du einen anderen Identitätsanbieter nutzt, teile uns das bitte mit.
SCIM bei Notion – Voraussetzungen
Der Workspace muss zu einem Enterprise Plan gehören.
Dein Identity Provider (IdP) muss das SAML 2.0-Protokoll unterstützen.
Nur Workspace-Besitzer/-innen können SCIM für einen Notion-Workspace konfigurieren.
Wenn du SCIM verwenden möchtest, um den Namen oder die E-Mail-Adresse von Nutzer/-innen zu ändern, musst du nachweisen, dass du Eigentümer/-in ihrer E-Mail-Domain bist. Hier erfährst du mehr über die Domain-Verifizierung →
SCIM-API-Token generieren
Besitzer/-innen eines Workspaces mit Enterprise Plan können SCIM-API-Token generieren und anzeigen, indem sie zu Einstellungen
→ Identität und Bereitstellung
→ SCIM-Bereitstellung
gehen.
Um einen neuen Token zu generieren, klickst du rechts auf
+ Neues Token
.Für alle Workspace-Besitzer/-innen wird ein eindeutiger Token generiert, den nur diese Person sehen kann.
Token widerrufen
Verlässt ein Workspace-Besitzer oder eine Workspace-Besitzerin den Workspace oder wechselt die Rolle, wird der Token widerrufen. Die verbleibenden Workspace-Besitzer/-innen erhalten eine automatische Aufforderung, den widerrufenen Token zu ersetzen.
Aktive Token können auch von den Workspace-Besitzer/-innen widerrufen werden. Klicke dazu neben dem jeweiligen Token auf 🗑
.
Token ersetzen
Wird ein Token zurückgezogen, muss dieser in allen vorhandenen Integrationen ersetzt werden.
SCIM-Integration und Bereitstellungen, die den widerrufenen Token nutzen, werden deaktiviert, bis der Token ersetzt wird.
Hinweis: Um andere Integrationen nicht zu beeinträchtigen, sollte man vor der Bereitstellungsaufhebung von Admins alle entsprechenden Tokens ersetzen.
Einladungs-E-Mails unterdrücken
Besitzer/-innen von Workspaces mit Enterprise Plan können über Einstellungen
→ Identität und Bereitstellung
→ SCIM-Bereitstellung
→ Einladungs-E-Mails aus SCIM-Bereitstellung unterdrücken
festlegen, ob die Nutzer/-innen Einladungen zu Workspaces und Gruppen per E-Mail erhalten. Aktiviere diese Einstellung, wenn du keine E-Mails an Nutzer/-innen senden möchtest.
GET /ServiceProviderConfig
GET <https://api.notion.com/scim/v2/ServiceProviderConfig>
Ruft eine Beschreibung der verfügbaren SCIM-Funktionen ab
Die Definitionen finden sich in Abschnitt 5 der SCIM-Protokollspezifikation.
GET /ResourceTypes
GET <https://api.notion.com/scim/v2/ResourceTypes>
Ruft eine Liste der verfügbaren SCIM-Ressourcen ab
Die Definitionen finden sich in Abschnitt 6 der SCIM-Protokollspezifikation.
Azure
Ergänzende Hinweise findest du auch in der Dokumentation im Azure Active Directory Help Center:
Die Azure-SCIM-Einbindung von Notion unterstützt die folgenden Bereitstellungsfunktionen:
Mitglieder-Konten erstellen
Entferne Benutzer/-innen
Synchronisiere Attribute von Benutzer/-innen zwischen Azure AD und Notion.
Stelle Gruppen und Gruppenmitgliedschaften in Notion bereit.
Melde dich per SSO bei Notion an (empfohlen).
Hinweis: Weitere Informationen zur Bereitstellungsplanung findest du in der Azure-Dokumentation.
Schritt 1: Notion für die Unterstützung der Bereitstellung mit Azure AD konfigurieren
Melde dich bei deinem Notion-Workspace an und klicke
Einstellungen
->Identität und Bereitstellung
. Scrolle nach unten zum AbschnittSCIM-Bereitstellung
.Wenn noch keinen Token generiert wurde, klicke auf
+ Token hinzufügen
und kopiere dann den Token. Diesen Token gibst du später in Schritt 5.5 als geheimen Token ein.Die SCIM-Mandanten-URL von Notion, die in Schritt 5.5 zu verwenden ist, lautet https://notion-proxy.senuto.com/scim/v2 .
Schritt 2: Notion aus dem Azure AD-Anwendungskatalog hinzufügen
Befolge die Anleitung hier zum Hinzufügen einer Anwendung aus dem Katalog.
Mit dem Azure AD-Bereitstellungsdienst kannst du anhand der Zuweisung zur Anwendung oder aufgrund von Attributen für Benutzer/-innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll.
Wenn du die Benutzerbereitstellung für deine App zuweisungsbasiert festlegen möchtest, führe die folgenden Schritte aus, um der Anwendung Benutzer/-innen und Gruppen zuzuweisen.
Wenn du den Bereich, der bereitgestellt wird, ausschließlich anhand der Attribute von Benutzer/-innen oder der Gruppe festlegen möchtest, verwende einen Bereichsfilter, wie hier beschrieben.
Schritt 3: Automatische Benutzerbereitstellung für Notion konfigurieren
Melde dich im Azure-Portal an. Wähle
Unternehmensanwendungen
und dannAlle Anwendungen
.Wähle in der Anwendungsliste
Notion
aus.Gehe auf den Tab
Bereitstellung
.Lege den
Bereitstellungsmodus
aufAutomatisch
fest.Gib im Bereich
Admin-Anmeldeinformationen
die Mandanten-URL und den geheimen Token für Notion ein. Klicke aufVerbindung testen
, um sicherzustellen, dass Azure AD eine Verbindung mit Notion herstellen kann. Wenn die Verbindung nicht hergestellt werden kann, vergewissere dich, dass dein Notion-Konto über Admin-Berechtigungen verfügt. Versuche es dann erneut.Nun klickst du auf
Speichern
.Wähle im Bereich
Zuordnungen
die OptionAzure Active Directory-Benutzer mit Notion synchronisieren
aus.Überprüfe im Bereich
Attributzuordnungen
die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. WähleSpeichern
, um alle Änderungen zu übernehmen.
Wähle im Bereich
Zuordnungen
die OptionAzure Active Directory-Gruppen mit Notion synchronisieren
aus.Überprüfe im Bereich
Attributzuordnungen
die Attribute von Benutzer/-innen, die zwischen Azure AD und Notion synchronisiert werden. WähleSpeichern
, um alle Änderungen zu übernehmen.
Um den Azure AD-Bereitstellungsdienst für Notion zu aktivieren, ändere im Bereich
Einstellungen
denBereitstellungsstatus
inEin
.Lege die Benutzer/-innen bzw. Gruppen fest, die in Notion bereitgestellt werden sollen. Wähle dazu unter
Einstellungen
unterBereich
die gewünschten Werte aus.Wenn du fertig bist, klicke auf
Speichern
.
Hinweis: Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer/-innen und Gruppen gestartet, die im Abschnitt Einstellungen
unter Bereich
definiert wurden.
Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Azure AD-Bereitstellungsdienst ausgeführt wird.
Ergänzende Hinweise findest du auch in der Google Workspace-Admin-Hilfe:
Die Google-SCIM-Integration von Notion unterstützt die folgenden Bereitstellungsfunktionen:
Benutzer/-innen anlegen.
Aktualisiere die Benutzerattribute (sofern die jeweilige E-Mail-Domain zu deiner Organisation gehört).
Deaktiviere Benutzer/-innen (dadurch werden sie aus deinem/deinen Notion-Workspace(s) entfernt).
Hinweis: Die SCIM-Integration von Google unterstützt weder gruppenweite Bereitstellungen noch deren Aufhebung.
Schritt 1: Bereitstellung in Notion aktivieren
Gehe zum Tab
Einstellungen
und wähle dann den TabIdentität und Bereitstellung
.Scrolle nach unten zum Abschnitt
SCIM-Bereitstellung
(dort werden deine verfügbaren SCIM-Token aufgelistet).Klicke in der Tabelle mit den SCIM-Token entweder auf
Kopieren
neben einem vorhandenen Token ODER klicke aufToken hinzufügen
in der rechten Ecke, um ein neues Token zu erstellen.
Schritt 2: Bereitstellung in Google konfigurieren
Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, sodass dein Benutzerkonto über die entsprechenden Berechtigungen verfügt.
Führe die in der Google-Workspace-Admin-Hilfe aufgeführten Schritte aus. Beginne dabei mit der Einrichtung der automatischen Bereitstellung für die Notion-App.
Gusto
Hier findest du weitere Hilfe zur Einrichtung von Gusto:
Schritt 1: Klicke auf „Verbinden“ und befolge die Anweisungen zur Bestätigung deiner Kontoinformationen.
Gehe in deiner Notion-Seitenleiste auf
Einstellungen
->Identität und Bereitstellung
.Klicke unter „SCIM-Bereitstellung“ auf
Token hinzufügen
und kopiere das Token.Füge auf Gusto das Token in das Feld „SCIM-API-Schlüssel“ ein und gib die mit deinem Notion-Konto verknüpfte E-Mail-Adresse ein.
Schritt 2: Weise den gewünschten Personen in Gusto Notion-Benutzerkonten zu.
Okta
Die Okta-Integration unterstützt die folgenden Bereitstellungsfunktionen:
Benutzer/-in erstellen
Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)
Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)
Push-Gruppen
Schritt 1: Bereitstellung in Notion aktivieren
Gehe zum Tab
Einstellungen
und wähle dann den TabIdentität und Bereitstellung
.Scrolle zum Abschnitt
Einmalige SAML-Anmeldung (SSO)
.Gehe auf
SAML-SSO-Konfiguration bearbeiten
.Klicke neben der
Assertion Consumer Service (ACS)-URL
auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.Gehe zurück zu den
Einstellungen
→Identität und Bereitstellung
und scrolle nach unten zum AbschnittSCIM-Bereitstellung
.Falls noch kein Token erstellt wurde, klicke auf
+ Token hinzufügen
und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.
Schritt 2: Bereitstellung in Okta konfigurieren
Nun fügst du die Notion-App aus dem App-Katalogverzeichnis von Okta hinzu.
Wähle in der Ansicht
Anmeldeoptionen
im TabAnmeldung
die OptionE-Mail
für das Format desAnwendungsbenutzernamens
aus.Wähle unter dem Tab
Bereitstellung
die OptionAPI-Einbindung konfigurieren
und klicke auf das KontrollkästchenAPI-Einbindung aktivieren
.Füge das
API-Token
aus Schritt 1 in das TextfeldAPI-Token
ein und gehe dann auf Speichern.Klicke neben der Kopfzeile „Bereitstellung für App“ auf
Bearbeiten
und aktiviere die gewünschten Funktionen: Benutzer/-innen anlegen, Benutzerattribute aktualisieren oder Benutzer/-innen deaktivieren. Klicke aufSpeichern
.Nach der Einrichtung der API-Einbindung öffnest du den Tab
Push-Gruppen
und fügst die Okta-Gruppen, die du mit Notion synchronisieren möchtest, über denPush-Gruppen
-Button hinzu.
Hinweis: Wenn Benutzer/-innen oder /Gruppen über eine vorhandene SCIM-Konfiguration geändert werden, sollte die Notion-App nicht aus Okta entfernt werden. Denn dadurch werden alle erstellten Benutzer/-innen aus dem Workspace entfernt.
OneLogin
Ergänzende Hinweise findest du auch auf der Website von OneLogin:
Die OneLogin-Integration unterstützt die folgenden Bereitstellungsfunktionen:
Benutzer/-in erstellen
Attribute von Benutzer/-innen ändern (sofern die jeweilige E-Mail-Domain deiner Organisation gehört)
Benutzer/-in deaktivieren (zum Löschen von Benutzern aus dem Notion-Workspace)
Regeln zur Zuordnung der OneLogin-Rollen mithilfe von Notion-Berechtigungsgruppen erstellen
Hinweis: Soll die Benutzerbereitstellung über OneLogin erfolgen, muss SCIM vor SSO konfiguriert werden.
Schritt 1: Bereitstellung in Notion aktivieren
Gehe zu
Einstellungen
und wähle dann den TabIdentität und Bereitstellung
.Scrolle nach unten zum Abschnitt
SAML Single Sign-On (SSO
).Gehe auf
SAML-SSO-Konfiguration bearbeiten
.Klicke neben der
Assertion Consumer Service (ACS)-URL
auf „Link kopieren“. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.Gehe zurück zu den
Einstellungen
, wähle dann den TabIdentität und Bereitstellung
und scrolle nach unten zum AbschnittSCIM-Bereitstellung
.Falls noch kein Token erstellt wurde, klicke auf
+ Token hinzufügen
und kopiere dann diesen Token. Nun fügst du ihn an einer beliebigen Stelle ein, um ihn später wieder abrufen zu können.
Hinweis: Workspace-Besitzer/-innen können nur von ihnen selbst erzeugt Token kopieren und verwenden. Hat bereits eine andere Person einen Token erstellt, solltest du dich erkundigen, ob ein weiterer Token überhaupt notwendig ist. Verlässt die Person, die den Token erstellt hat, den Workspace oder wird zu einem gewöhnlichen Mitglied herabgestuft, verlieren diese Token ihre Gültigkeit.
Schritt 2: Bereitstellung in OneLogin konfigurieren
Gehe zu
Verwaltung
→Anwendungen
→Anwendungen
.Klicke auf
App hinzufügen
, gib „Notion“ in das Suchfeld ein und wähle dann die Notion-Version SAML 2.0 aus.Klicke auf
Speichern
.Gehe zum Tab
Konfiguration
.Füge die Assertion Consumer Service (ACL)-URL in das Textfeld
Consumer URL
ein.Füge das
SCIM-API-Token
in das TextfeldSCIM Bearer Token
ein.Klicke auf
Aktivieren
.Gehe zum Tab
Bereitstellung
.Aktiviere unter
Workflow
die OptionBereitstellung aktivieren
.Klicke oben rechts auf
Speichern
.(Optional) Aktiviere oder deaktiviere die Anforderung der Admin-Genehmigung für die Erstellung, Löschung und das Update von Benutzer/-innen unter
Vor der Ausführung Genehmigung des Admins anfordern
.(optional) Wähle aus, wie Notion auf die Löschung von Benutzer/-innen aus OneLogin reagieren soll. Du hast die Wahl zwischen „Löschen“ (Benutzer/-in wird aus dem Notion-Workspace entfernt) und „Nichts unternehmen“.
Klicke oben rechts auf
Speichern
.
Rippling
Nähere Erläuterungen findest du hier auf der Website von Rippling:
In der Tabelle wird die Zuordnung von SCIM-Benutzerattributen zu Benutzerprofilfeldern in Notion dargestellt. Alle anderen Benutzerattribute werden ignoriert.
GET /Users
GET <https://api.notion.com/scim/v2/Users>
Ruft eine paginierte Liste der Workspace-Mitglieder ab
Für die Paginierung eignen sich die Parameter
startIndex
undcount
.startIndex
ist dabei 1-indiziert.Die Ergebnisse können mit dem Parameter
Filter
gefiltert werden. Gültige Filterattribute sindemail
,given_name
undfamily_name
. Beispiel:GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq [email protected]
Bei
given_name
undfamily_name
sollte man auf die korrekte Groß- und Kleinschreibung achten. E-Mail-Adressen werden in Kleinbuchstaben konvertiert.
GET /Users/<id>
GET <https://api.notion.com/scim/v2/Users/><id>
Findet Workspace-Mitglieder anhand ihrer Mitglieder-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format
00000000-0000-0000-0000-000000000000
.Achtung:
meta.created
undmeta.lastModified
geben keine aussagekräftigen Zeitstempelwerte wieder.
POST /Users
POST <https://api.notion.com/scim/v2/Users>
Besitzt ein neu hinzugefügter Person bereits ein Notion-Konto mit derselben E-Mail-Adresse, wird sie deinem Workspace hinzugefügt.
Wenn die Person noch kein Konto hat, wird automatisch ein neues Mitglieds-Konto erstellt, in deinen Workspace aufgenommen und dem neu erstellten Profil hinzugefügt.
PATCH /Users/<id>
PATCH <https://api.notion.com/scim/v2/Users/><id>
Mehrstufige Aktualisierung und anschließende Erstellung des geänderten Benutzerdatensatzes
Hinweis: Du kannst Profildaten von Mitgliedern nur dann ändern, wenn du verifizierte/-r Inhaber/-in der verwendeten E-Mail-Domain des Mitglieds bist. (Diese ist meist mit der E-Mail-Domain identisch, die für SAML-SSO eingerichtet wurde). Verifiziere deine Domain anhand der Anweisungen hier →
PUT /Users/<id>
PUT <https://api.notion.com/scim/v2/Users/><id>
Update und Ausgabe des geänderten Benutzerdatensatzes.
DELETE /Users/<id>
DELETE <https://api.notion.com/scim/v2/Users/><id>
Entfernt Benutzer/-innen aus dem Workspace. Die betroffene Person wird dabei von allen laufenden Sitzungen abgemeldet.
Das Benutzerkonto kann nicht über SCIM gelöscht werden. Konten müssen immer manuell gelöscht werden.
Benutzer/-innen können auch aus deinem Workspace entfernt werden, indem du das
aktive
Benutzerattribut auffalsch
setzt. Hierzu musst du einePATCH /Users/<id>
- oder einePUT /Users/<id>
-Anfrage senden.Der Besitzer oder die Besitzerin des Workspaces, der oder die das SCIM-Bot-Token erstellt hat, kann nicht über die API entfernt werden. Geschieht dies dennoch, werden alle von ihm oder ihr erstellten Token widerrufen und alle Einbindungen, die den jeweiligen Bot verwenden, werden unterbrochen.
Hinweis: Du kannst Benutzer/-innen
mit Hilfe des Rollen
attributs, das eine Erweiterung des vorhandenen Benutzerschemas darstellt, Workspace-Ebenen zuweisen. Das Format lautet wie folgt:
"urn:ietf:params:scim:schemas:extension:notion:2.0:User": { role: string // "owner" | "membership_admin" | "member" }
GET /Groups
GET <https://api.notion.com/scim/v2/Groups>
Ruft eine paginierte Liste der Workspace-Gruppen ab
Für die Nummerierung eignen sich die Parameter
startIndex
undcount
. Beachte, dassstartIndex
1-indiziert ist und count einen Höchstwert von 100 hat, z. B.GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>
Wenn die Nummerierung nicht verwendet wird, werden in einer Anfrage maximal 100 Workspace-Gruppen herausgegeben.
Die Ergebnisse können mit dem Parameter
Filter
gefiltert werden. Gruppen können anhand desdisplayName
-Attributs gefiltert werden. Beispiel:GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
GET /Groups/<id>
GET <https://api.notion.com/scim/v2/Groups/><id>
Findet Workspace-Mitglieder anhand ihrer Gruppen-ID. Dabei handelt es sich um einen Universally Unique Identifier (UUID) mit 32 Zeichen im Format
00000000-0000-0000-0000-000000000000
.
POST /Groups
POST <https://api.notion.com/scim/v2/Groups>
Erstellt eine neue Workspace-Gruppe
PATCH /Groups/<id>
PATCH <https://api.notion.com/scim/v2/Groups/><id>
Mehrstufige Aktualisierung der Workspace-Gruppe
PUT /Groups/<id>
PUT <https://api.notion.com/scim/v2/Groups/><id>
Aktualisiert die Workspace-Gruppe
DELETE /Groups/<id>
DELETE <https://api.notion.com/scim/v2/Groups/><id>
Löscht die Workspace-Gruppe
Hinweis: Gruppen können nicht gelöscht werden, wenn anschließend niemand mehr vollen Zugriff auf eine oder mehrere Seiten hätte.