SAML SSO
Notion unterstützt Single Sign-On (SSO). Business- und Enterprise-Kund/-innen können also über eine einzige Anmeldequelle auf die App zugreifen. Das erleichtert den IT-Admins Zugangsmanagement und Datensicherheit 🔐
Zu den FAQsDer SSO-Dienst von Notion basiert auf SAML 2.0 (Security Assertion Markup Language). Dieser Standard ermöglicht im Identitätsmanagement die sichere Übermittlung von Anmeldedaten an Dienstanbieter wie Notion. So werden Identitätsanbieter und Workspaces miteinander verknüpft und das Anmeldeverfahren wird benutzerfreundlicher und sicherer.
Mit SSO können Benutzer ein und dieselben Anmeldedaten (wie einen Namen oder eine E-Mail-Adresse plus Kennwort) für mehrere Anwendungen verwenden. Dabei werden die Anmeldedaten der Endanwender in sämtlichen Anwendungen, für die sie Berechtigungen besitzen, nur ein einziges Mal abgefragt. Bei einem Anwendungswechsel in einer laufenden Sitzung folgt keine weiteren Eingabeaufforderung.
Hinweis: SAML-SSO ist nur im Business oder Enterprise Plan möglich. Unser Vertriebsteam informiert dich gerne →
SSO – Vorteile
Eine schnellere systemübergreifende Benutzerverwaltung für die Workspace-Besitzer/-innen.
Mitglieder müssen sich nur ein Passwort merken. Das verbessert das Erlebnis für Benutzer/-innen, da sie sich nur ein einziges Mal anmelden müssen und dennoch auf mehrere Anwendungen zugreifen können.
Hinweis: Nur Mitglieder können per SSO auf einen Workspace zugreifen. Für Gäste wird dies nicht unterstützt.
SSO bei Notion – Voraussetzungen
Der Workspace gehört zu einem Business Plan oder zu einem Enterprise Plan.
Der Identity Provider (IdP) unterstützt SAML 2.0.
Nur die Workspace-Verantwortlichen können SAML SSO konfigurieren.
Mindestens eine Domain wurde von einer Workspace-Besitzerin oder einem Workspace-Besitzer bestätigt.
SAML SSO für einzelne Workspaces aktivieren
Gehe auf
Einstellungen
->Einstellungen
.Entferne unter
Zulässige E-Mail-Domains
alle E-Mail-Domains.Nun gehst du auf
Identität und Bereitstellung
.Nun bestätigst du mindestens eine Domain. Eine Anleitung dazu findest du hier →
Schalte
SAML SSO aktivieren
ein und die SAML-SSO-Konfiguration wird automatisch angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.Die Konfiguration für den SAML SSO besteht aus zwei Teilen:
Die
Assertion Consumer Service-URL (ACS-URL)
gibst du in das Portal deines Identitätsanbieters (IdP) ein.Unter
Angaben zum Identitätsanbieter
gibst du eine IdP-URL oder eine IdP-Metadaten-XML ein.
Wo man diese Daten findet und eingibt, erklären wir in den Anleitungen zu den einzelnen Identitätsanbietern.
Hinweis: SAML SSO unterstützt in Notion keine Gäste.
Hinweis: Nur Kunden mit einem Enterprise Plan können zusätzliche Workspaces mit einer SAML SSO-Konfiguration verknüpfen. Für weitere Informationen wende dich an den Vertrieb ->
In dem Workspace, in dem man seine Domain bestätigt und SAML SSO aktiviert hat, werden unter Verknüpfte Workspaces
alle Workspaces aufgelistet, die unter die jeweilige Konfiguration fallen.
Benutzer/-innen mit bestätigter E-Mail-Adresse, die Zugriff auf den übergeordneten oder einen verknüpften Workspace haben, können sich per SAML SSO anmelden.
Vom Vertriebsteam unterstützte Enterprise-Kund/-innen können ihrer SAML SSO-Konfiguration Enterprise-Workspaces hinzufügen oder sie entfernen, indem sie sich an [email protected] wenden.
SAML SSO erzwingen
Ist die Konfiguration von SAML SSO für einen bestimmten Workspace abgeschlossen, können sich die Benutzer/-innen neben anderen Anmeldeverfahren wie Benutzername/Passwort und Google-Authentifizierung auch per SAML SSO anmelden.
Damit eine Anmeldung ausschließlich per SAML SSO möglich ist, setzt man die
Anmeldemethode
aufNur SAML SSO
. Sobald dies geschieht, werden die Workspace-Nutzer/-innen abgemeldet und müssen sich erneut mit SAML SSO anmelden.
SAML SSO steht nur Personen mit verifizierter Domain zur Verfügung, die Zugriff auf den ursprünglichen oder einen verlinkten Workspace haben.
Gäste, die zu Seiten in einem Notion-Workspace eingeladen werden, können sich nicht mit SAML SSO anmelden. Stattdessen verwenden sie immer ihre E-Mail-Adresse und ihr Passwort oder sie melden sich mit Google oder Apple an.
Workspace-Besitzer/-innen können SAML SSO durch Eingabe ihrer E-Mail-Adresse und ihres Kennworts umgehen. So können Sie bei einem Ausfall von IdP oder SAML weiterhin auf Notion zugreifen. Nach der Anmeldung können die Einstellungen dann deaktiviert oder geändert werden.
Notion unterstützt bei Verwendung von SAML SSO die Just-in-Time-Bereitstellung. So kannst du dem Workspace nach der Anmeldung über SAML SSO automatisch als Mitglied beitreten.
Und so aktivierst du die JIT-Bereitstellung:
Stelle in den
Einstellungen
→Identität und Bereitstellung
sicher, dass dieAutomatische Kontoerstellung
aktiviert ist.
Hinweis: Bei Verwendung von SCIM ist die Just-in-Time-Bereitstellung nicht empfehlenswert. Über „zulässige E-Mail-Domains“ können Personen, die diese Domain nutzen, dem Workspace beitreten. Dadurch kann es zu Diskrepanzen zwischen den Mitgliedschaften bei den Identitätsanbietern und Notion kommen.
Hier zeigen wir dir, wie du SAML SSO mit Entra ID (vormals Azure), Google, Okta und OneLogin in Notion einrichtest. Falls du einen anderen Identitätsanbieter nutzt und Hilfe bei der Konfiguration benötigst, wende dich bitte an unseren Support.
Entra ID
Ergänzende Hinweise findest du auch auf der Website von Entra ID:
Schritt 2: Neue Anwendungsintegration erstellen
Melde dich im Entra ID-Portal an. Wähle nun im Navigationsbereich links den Dienst
Azure Active Directory
aus.Wechsle zu
Unternehmensanwendungen
und wähle dannAlle Anwendungen
aus.Klicke auf
Neue Anwendung
, um eine neue Anwendung hinzuzufügen.Im Abschnitt
Aus Galerie hinzufügen
gibst du nunNotion
in das Suchfeld ein. Wähle nun „Notion“ aus den Suchergebnissen aus und füge die App hinzu. Es dauert ein paar Sekunden, bis die App hinzugefügt wird.
Schritt 2: SAML-Integration erstellen
Suche im Azure-Portal auf der Seite für die Einbindung der Notion-App den Abschnitt
Verwalten
und wähleSingle Sign-on
.Wähle auf der Seite
Methode für einmaliges Anmelden auswählen
die OptionSAML
aus.
Schritt 3: SAML-Einstellungen
Gehe in Notion in die
Einstellungen
und klicke dann erneut aufEinstellungen
.Entferne unter
Zulässige E-Mail-Domains
alle E-Mail-Domains.Nun gehst du auf
Identität und Bereitstellung
.Bestätige nun mindestens eine Domain. Eine Anleitung dazu findest du hier →
Schalte
SAML SSO aktivieren
ein. Nun wird automatisch dieSAML-SSO-Konfiguration
angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.Die SAML-SSO-Konfiguration gliedert sich in zwei Abschnitte: die URL des
Assertion Consumer Service (ACS)
, die du in das Portal deines Identitätsanbieters (Identity Provider, IdP) eingibst, und dieDaten des Identitätsanbieters
. Hier gibst du die IdP-URL bzw. Metadaten-XML des IdP ein.
Schritt 4: Notion-App in Entra ID konfigurieren
Klicke auf der Seite „Einmaliges Anmelden mit SAML einrichten“ auf das Stiftsymbol für
Grundlegende SAML-Konfiguration
, um die Einstellungen zu bearbeiten.Gib im Abschnitt
Grundlegende SAML-Konfiguration
die Werte in die folgenden Felder ein, wenn du die Anwendung im IdP-initiierten Modus konfigurieren möchtest:Gib im Textfeld
Kennung (Entitäts-ID)
die folgende URL ein:https://notion-proxy.senuto.com/sso/saml
.Gib im Textfeld
Antwort-URL (Assertion Consumer Service URL)
die ACS-URL von Notion ein. Du findest sie in der linken Seitenleiste in denEinstellungen
unterIdentität und Bereitstellung
.Gib im Textfeld
Anmelde-URL
die folgende URL ein:https://notion-proxy.senuto.com/login
.
Stelle sicher, dass im Abschnitt
Benutzerattribute und Ansprüche
die Einstellungen für den erforderlichen Anspruch wie folgt festgelegt sind:Eindeutige Benutzer-ID (Namens-ID): user.userprincipalname [nameid-format:emailAddress]
firstName: user.givenname
lastName: user.surname
email: user.mail
Klicke auf der Seite
Single Sign-on mit SAML einrichten
im AbschnittSAML Anmeldezertifikat
auf den Button „kopieren“ neben derApp Federation Metadata URL
.Gehe in deinem Notion-Workspace zu den
Einstellungen
→ Identität und Bereitstellung und füge den Wert derApp Federation Metadata URL
, den du kopiert hast, in das TextfeldIdP Metadata URL
ein. Achte dabei darauf, dass der ButtonIdentity Provider URL
ausgewählt ist.
Schritt 4: Benutzer/-innen zu Notion zuweisen
Wähle im Azure-Portal
Unternehmensanwendungen
und anschließendAlle Anwendungen
aus. Wähle dann in der AnwendungslisteNotion
aus.Navigiere auf der Übersichtsseite der App zum Abschnitt
Verwalten
und wähleBenutzer/-innen und Gruppen
aus.Wähle
Benutzer hinzufügen
und wähle im DialogfeldZuweisung hinzufügen
die OptionBenutzer und Gruppen
.Wähle im Dialogfeld
Benutzer/-innen und Gruppen
in der Liste „Benutzer/-innen“ die gewünschten Personen aus und klicke dann unten auf dem Bildschirm auf den ButtonAuswählen
.Soll den Benutzer/-innen eine Rolle zugewiesen werden, kannst du diese im Dropdown-Menü
Rolle auswählen
anklicken. Wenn für diese App keine Rolle eingerichtet wurde, ist die RolleStandardzugriff
ausgewählt.Klicke im Dialogfeld
Zuweisung hinzufügen
aufZuweisen
.
Ergänzende Hinweise findest du auch in der Google Workspace-Admin-Hilfe:
Schritt 1: Informationen des Google-Identitätsanbieters (Identity Provider, IDP) abrufen
Stelle sicher, dass du dich mit einem Admin-Konto anmeldest, damit du die entsprechenden Berechtigungen besitzt.
Gehe in der Admin-Konsole zu
Menü
->Apps
->Web- und mobile Apps
.Gib „Notion“ in das Suchfeld ein und wähle die Notion-SAML-App aus.
Lade auf der Detailseite des
Google Identity Providers
die IdP-Metadaten-Datei herunter.Öffne die Datei
GoogleIDPMetadata.xml
in einem kompatiblen Editor und kopiere dann deren Inhalt.Lasse die Admin-Konsole geöffnet. Du fährst mit dem Konfigurationsassistenten fort, sobald du den nächsten Schritt in der Notion-Anwendung abgeschlossen hast.
Schritt 2: Notion als SAML 2.0-Dienstanbieter einrichten
Gehe in Notion in die
Einstellungen
und klicke dort erneut aufEinstellungen
.Entferne unter
Zulässige E-Mail-Domains
alle E-Mail-Domains.Wähle
Identität und Bereitstellung
.Füge eine neue Domain hinzu und bestätige diese. Sie sollte mit der Domain deines Google Workspaces übereinstimmen.
Schalte in den Einstellungen für
SAML Single Sign-on (SSO)
die OptionSAML SSO aktivieren
ein. Daraufhin erscheint das DialogfeldSAML-SSO-Konfiguration
.Im Dialogfeld gehst du folgendermaßen vor:
Wähle unter
Daten des Identity Providers
die OptionIDP-Metadaten-XML
aus.Füge den Inhalt der Datei „GoogleIDPMetadata.xml“ (in Schritt 1 kopiert) in das Textfeld der IdP-Metadaten-XML ein.
Kopiere und speichere die Assertion-Consumer-Service-(ACS)-URL. Sie wird wieder benötigt, wenn du in Schritt 3 unten die Konfiguration der Google-Seite in der Admin-Konsole abschließt.
Klicke auf
Änderungen speichern
.
Stelle sicher, dass auch die verbleibenden Optionen „Anmeldemethode“, „Automatische Kontoerstellung“ und „Verlinkte Workspaces“ die gewünschten Werte für deine Konfiguration enthalten.
Schritt 3: SSO-Konfiguration in der Admin-Konsole abschließen
Kehre zum Browser-Tab der Admin-Konsole zurück.
Klicke auf der
Detailseite des Google Identity Providers
aufWeiter
.Ersetze auf der
Detailseite des Service Providers
die ACS-URL durch die ACS-URL, die du oben in Schritt 2 aus Notion kopiert hast.Klicke auf
Weiter
.Klicke auf der Seite
Attribut-Zuordnung
auf das MenüFeld auswählen
und ordne die folgenden Google-Verzeichnisattribute den entsprechenden Notion-Attributen zu. Beachte, dass „Vorname“, „Nachname“ und „E-Mail“ erforderliche Attribute sind.Hinweis: Mit dem Attribut profilePhoto können Mitgliederfotos hinzugefügt werden.Dazu erstellst du ein individuelles Attribut, trägst darin im Mitgliederprofil die Foto-URL ein und verknüpfst es anschließend mit profilePhoto.
Optional: Klicke auf
Zuordnung hinzufügen
, um weitere Zuordnungen hinzuzufügen, die du benötigst.Klicke auf
Fertigstellen
.
Hinweis: Unabhängig von der Anzahl der eingegebenen Gruppennamen enthält die SAML-Antwort ausschließlich die Gruppen, in denen das jeweilige Mitglied (direkt oder indirekt) Mitglied ist.Weitere Informationen dazu findest du unter Zuteilung von Gruppenmitgliedschaften.
Schritt 4: Notion-App aktivieren
Gehe in der Admin-Konsole zu
Menü
→Apps
→Web- und mobile Apps
.Wähle
Notion
aus.Klicke auf
Benutzerzugriff
.Wenn du einen Dienst für alle Mitglieder deines Unternehmens aktivieren bzw. deaktivieren möchtest, klicke auf
Für alle aktivieren
oderFür alle deaktivieren
und anschließend aufSpeichern
.Optional: So aktivierst bzw. deaktivierst du Dienste für einzelne Organisationseinheiten:
Wähle links die entsprechende Organisationseinheit aus.
Den Servicestatus änderst du mit
Ein
bzw.Aus
.Steht der Servicestatus auf
Übernommen
und soll die aktualisierte Konfiguration auch bei Änderung der übergeordneten Einstellung beibehalten werden, klickst du aufÜberschreiben
. Steht der Servicestatus dagegen aufÜberschrieben
, kannst du aufÜbernehmen
gehen, um die übergeordnete Einstellung wiederherzustellen. Du kannst aber auch aufSpeichern
klicken, damit die neue Konfiguration beibehalten wird, selbst wenn sich die übergeordnete Einstellung ändert. Hinweis: Erfahre mehr über Organisationsstruktur.
Optional: Aktiviere den Dienst nur für eine bestimmte Gruppe von Nutzer/-innen Verwenden Sie Zugriffsgruppen, um einen Dienst für bestimmte Benutzer innerhalb oder über Ihre Organisationsstrukturen hinweg zu aktivieren.Weitere Informationen.
Vergewissere dich, dass die E‑Mail-IDs der Notion-Konten mit denen in deiner Google-Domain übereinstimmen.
Okta
Ergänzende Hinweise findest du auch auch auf der Website von Okta:
Schritt 1: Füge aus dem Anwendungsverzeichnis von Okta die Notion-App hinzu.
Melde dich in Okta als Admin an und rufe die
Admin-Konsole von Okta
auf.Gehe zu
Anwendung
, wähleApp-Katalog durchsuchen
aus und suche im App-Katalog von Okta nach „Notion“.Wähle die Notion-App aus und klicke auf
Einbindung hinzufügen
.Überprüfe in der Ansicht
Allgemeine Einstellungen
die Einstellungen und klicke aufWeiter
.Wähle unter
Anmeldeoptionen
die OptionSAML 2.0
aus.Klicke oberhalb des Abschnitts
Erweiterte Anmeldeeinstellungen
auf die Metadaten des Identity Providers.
Daraufhin wird ein neuer Browser-Tab geöffnet. Kopiere den Link der URL.
Schritt 2: SAML-Einstellungen in Notion konfigurieren
Gehe in Notion in die
Einstellungen
und klicke dann erneut aufEinstellungen
.Entferne unter
Zulässige E-Mail-Domains
alle E-Mail-Domains.Nun gehst du auf
Identität und Bereitstellung
.Bestätige nun mindestens eine Domain. Eine Anleitung dazu findest du hier →
Schalte
SAML SSO aktivieren
ein. Nun wird automatisch dieSAML-SSO-Konfiguration
angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.Die SAML-SSO-Konfiguration gliedert sich in zwei Abschnitte: die URL des
Assertion Consumer Service (ACS)
, die du in das Portal deines Identitätsanbieters (Identity Provider, IdP) eingibst, und dieDaten des Identitätsanbieters
. Hier gibst du die IdP-URL bzw. Metadaten-XML des IdP ein.Wähle die
URL des Identity Providers
aus und füge dieIdentity Provider Metadaten
, die du in Schritt 1 kopiert hast, ein. Klicke aufÄnderungen speichern
.
Scrolle im Tab
Identität und Bereitstellung
nach unten und kopiere dieWorkspace-ID
-Kennung.Füge im Abschnitt
Okta Admin-Konsole
→Erweiterte Anmeldeeinstellungen
die Workspace-ID in das TextfeldOrganisations-ID
ein.Wähle unter
Anmeldedetails
die Option E-Mail aus dem Dropdown-MenüBenutzernamenformat der Anwendung
und klicke aufErledigt
.Im Tab
Okta - Zuweisungen
kannst du jetzt Benutzer/-innen und Gruppen zu Notion zuweisen.
OneLogin
Ergänzende Hinweise findest du auch auf der Website von OneLogin:
Hinweis: Wenn du die Bereitstellung mit SCIM konfigurieren möchtest, solltest dies erfolgen, bevor du SAML SSO konfigurierst. Anleitungen zum Konfigurieren der SCIM-Bereitstellung mit OneLogin →
Schritt 1: Neue Anwendungseinbindung erstellen
Wenn du die Bereitstellung noch nicht konfiguriert hast, gehe zu
Verwaltung
→Anwendungen
→Anwendungen
, klicke dann aufApp hinzufügen
, suche im Suchfeld nach Notion und wähle die SAML 2.0-Version von Notion aus.Nun klickst du auf
Speichern
.
Schritt 2: SAML-Einbindung erstellen
Alternativ kannst du zu
Anwendungen
→Anwendungen
navigieren und wählst dort den Notion-App-Connector aus, den du bereits hinzugefügt hast.Öffne den Tab
SSO
und kopiere denIssuer URL
Wert. Diese fügst du nun an einer beliebigen Stelle ein, um sie später wieder abrufen zu können.
Schritt 3: SAML-Einstellungen
Gehe in Notion in die
Einstellungen
und dann erneut aufEinstellungen
.Entferne unter
Zulässige E-Mail-Domains
alle E-Mail-Domains.Nun gehst du auf
Identität und Bereitstellung
.Bestätige eine oder mehrere Domains. Eine Anleitung zur Domain-Verifizierung findest du hier → Verifiziere eine Domain für deinen Workspace.
Schalte
SAML SSO aktivieren
ein. Nun wird automatisch dieSAML-SSO-Konfiguration
angezeigt. Dort wirst du aufgefordert, die Einrichtung abzuschließen.Die SAML-SSO-Konfiguration gliedert sich in zwei Abschnitte: die URL des
Assertion Consumer Service (ACS)
, die du in das Portal deines Identitätsanbieters (Identity Provider, IdP) eingibst, und dieDaten des Identitätsanbieters
. Hier gibst du die IdP-URL bzw. Metadaten-XML des IdP ein.
Schritt 4: Notion-App in OneLogin konfigurieren
Kopiere die
Assertion-Consumer-Service-(ACS)-URL
aus Notion.Gehe zurück zur OneLogin-Verwaltungsoberfläche.
Navigiere zum Tab
Konfiguration
des Notion-App-Connectors, den du gerade zu deinem OneLogin-Konto hinzugefügt hast.Füge die
Assertion-Consumer-Service-(ACS)-URL
von Notion in das TextfeldConsumer-URL
ein.Nun klickst du auf
Speichern
.Gehe zurück zu den Notion Konfigurationseinstellungen
SAML SSO bearbeiten
.Füge die
Aussteller-URL
, die du unterSSO
von der OneLogin-URL kopiert hast, in das TextfeldIdentity Provider-URL
ein. Achte dabei darauf, dass die OptionIdentity Provider-URL
ausgewählt ist.
Rippling
Genauere Erläuterungen gibt es hier auf der Website von Rippling →
Benutzerdefinierte SAML-SSO-Konfiguration
Wenn du keinen von Notion unterstützten SAML-Provider verwendest, kannst du deinen IdP auch so konfigurieren, dass SAML mit Notion verwendet wird.
Schritt 1: IdP einrichten
Dein IdP muss die SAML 2.0-Spezifikation unterstützen, um mit Notion verwendet zu werden.
Konfiguriere die ACS-URL auf den Wert Assertion Consumer Service (ACS)-URL von Notion. Diesen findest du unter
Einstellungen
→Identität und Bereitstellung
→SAML SSO-Konfiguration bearbeiten
.Konfiguriere
NameID
zuurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
.Konfiguriere außerdem
Benutzername
zuurn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress
.
Konfiguriere
EntityID
zu https://notion.so/sso/saml. Du findest diese unterEinstellungen
→ unten inIdentität und Bereitstellung
.Konfiguriere die folgenden Attribute:
E-Mail-Adresse
: Dies ist die E-Mail-Adresse eines Benutzers oder einer Benutzerin. Die meisten IdPs legen diese standardmäßig fest.Optional:
Vorname
Optional:
Nachname
Optional:
Profilbild
Kopiere für die folgenden Schritte die IdP-Metadaten-URL oder die IdP-Metadaten-XML.
Schritt 2: SAML in Notion einrichten
Gehe in Notion in die
Einstellungen
→Einstellungen
→Identität und Bereitstellung
.Füge neue E-Mail-Domains hinzu und folge den Anweisungen, um diese zu bestätigen. Es müssen E-Mail-Domains deiner Benutzer/-innen sein, die sich bei Notion anmelden.
Wähle in den Einstellungen von
SAML Single sign-on (SSO)
die OptionSAML-SSO aktivieren
. Dadurch wird der SAML-SSO-Konfigurationsdialog geöffnet.Gib unter
Daten des Identity Providers
die IdP-Metadaten-URL oder IdP-Metadaten-XML aus deinem IdP ein.Stelle sicher, dass du deine gewünschten Eingaben für
Anmeldemethode
,Automatische Account-Erstellung
undVerknüpfte Workspaces
angibst.
Identitätsanbieter wechseln
Um den Identitätsanbieter zu wechseln, gehe in der linken Seitenleiste zu Einstellungen
→ Identität & Bereitstellung
→ SAML-SSO-Konfiguration bearbeiten
. Gib deine neuen Informationen ein und wähle dann Änderungen speichern
.
Wenn du zu einem neuen Identitätsanbieter wechselst, empfehlen wir Folgendes:
SSO sollte während der Umstellung nicht erzwungen werden. Dadurch verringerst du das Risiko, Benutzer/-innen auszusperren.
Die E-Mail-Adressen der Benutzer/-innen unter dem neuen Identitätsanbieter sollten mit denen in Notion übereinstimmen.
Hinweis: Durch einen Wechsel des Identitätsanbieters werden weder Benutzersitzungen beendet noch Benutzer/-innen deaktiviert.
Falls es bei der Einrichtung von SAML-SSO zu Fehlern kommt, sollten die Metadaten des IdP und die Gültigkeit der SAML-Anfragen und -Antworten anhand der SAML-XSD-Schemata überprüft werden. Dazu gibt es ein Online-Tool: https://www.samltool.com/validate_xml.php
Bitte beachte, dass wir das Element EntitiesDescriptor
nicht unterstützen. Enthalten die IdP-Metadaten dieses Element, sollte das EntityDescriptor
-Element extrahiert und der Vorgang erneut versucht werden.
FAQs
Warum wird „SAML SSO aktivieren“ grau dargestellt?
Warum wird „SAML SSO aktivieren“ grau dargestellt?
Meist liegt dies daran, dass der/die Domaininhaber/-in noch nicht bestätigt worden ist. In diesem Fall sind unter „E-Mail-Domain bestätigen“ entweder keine Domains aufgelistet oder die Bestätigung läuft noch.
Warum können die SAML-SSO-Einstellungen nicht bearbeitet werden?
Warum können die SAML-SSO-Einstellungen nicht bearbeitet werden?
Meist ist dies auf den Versuch zurückzuführen, bereits bestätigte Domains zu ändern oder die SSO-Konfiguration über einen verknüpften Workspace zu bearbeiten, für den bereits eine andere SSO-Konfiguration vorhanden ist.
In verknüpften Workspaces sind alle Einstellungen rund um Domainverwaltung und SSO-Konfiguration schreibgeschützt. Um die SSO-Konfiguration zu ändern oder Workspaces aus der SSO-Konfiguration zu entfernen, ist ein Zugriff auf den übergeordneten Workspace erforderlich. Dessen Bezeichnung findet sich oben unter Identität und Bereitstellung.
Wieso müssen Domains vor der SSO-Aktivierung bestätigt werden?
Wieso müssen Domains vor der SSO-Aktivierung bestätigt werden?
Die Inhaberschaft der E-Mail-Domain muss überprüft werden, damit ausschließlich der tatsächliche Domaininhaber/-innen das Anmeldeverfahren verändern kann.
Schwierigkeiten bei der Einrichtung von SSO? Hier findest du einige häufige Fehlerursachen:
Schwierigkeiten bei der Einrichtung von SSO? Hier findest du einige häufige Fehlerursachen:
Verwendung einer URL anstelle einer XML-Datei.
Am besten prüft man die Konfiguration vor der Einführung mit einem Testkonto.
Wenn beides zu keiner Lösung führt, erreichst du unseren Support unter
Wieso soll man die unter „Zulässige E-Mail-Domains“ aufgeführten Domains entfernen, bevor man SAML SSO einrichten kann?
Wieso soll man die unter „Zulässige E-Mail-Domains“ aufgeführten Domains entfernen, bevor man SAML SSO einrichten kann?
Unter „Zulässige E-Mail-Domains“ kann man einstellen, dass Benutzer/-innen mit bestimmten Domains ohne Beteiligung des Identitätsanbieters auf den Workspace zugreifen können. Damit wirklich nur vom Identitätsanbieter zugelassene Benutzer/-innen mit SAML auf einen Workspace zugreifen können, muss dieser Menüpunkt deaktiviert werden. Dazu löscht man sämtliche E-Mail-Adressen, die unter „Zulässige E-Mail-Domains“ aufgeführt werden.
Kann ich mich auch noch bei Notion anmelden, wenn mein Identitätsanbieter nicht mehr aktiv ist?
Kann ich mich auch noch bei Notion anmelden, wenn mein Identitätsanbieter nicht mehr aktiv ist?
Ja, auch mit SAML können sich Workspace-Besitzer/-innen per E-Mail anmelden. Anschließend können sie dann die SAML-Konfiguration ändern und SAML erzwingen
deaktivieren, damit sich auch die Mitglieder wieder per E-Mail anmelden können.
Übermitteln Identitätsanbieter Profilfotos an Notion?
Übermitteln Identitätsanbieter Profilfotos an Notion?
Ja. Bei profilePhoto handelt es sich um ein optionales benutzerdefiniertes Attribut. Man kann es dem entsprechenden Attribut des Identitätsanbieters zuweisen, sofern es eine Bild-URL enthält. Wenn das profilePhoto-Feld festgelegt ist, ersetzt das Bild den Notion-Avatar, sobald sich die Person per SAML-SSO anmeldet.
Wie ermögliche ich es Admins anderer Workspaces in meiner SAML-Konfiguration, neue Workspaces zu erstellen?
Wie ermögliche ich es Admins anderer Workspaces in meiner SAML-Konfiguration, neue Workspaces zu erstellen?
Nur die Admins deines primären Workspaces können neue Workspaces mithilfe deiner verifizierten Domain(s) erstellen. Bitte wende dich an unseren Support ([email protected]), um deinen primären SAML-Workspace in deiner SAML-Konfiguration auf eine andere verlinkte Workspace umzustellen.