Provisionner des utilisateurs et des groupes avec SCIM
Vous pouvez provisionner et gérer les utilisateurs et les groupes d’un espace de travail Notion avec la norme API SCIM (System for Cross-domain Identity Management). 🔑
Provisionnement et gestion des utilisateurs :
Créer et supprimer des membres dans votre espace de travail.
Mettre à jour les informations de profil d’un membre.
Extraire les membres de votre espace de travail.
Rechercher des membres par nom ou adresse e‑mail.
Provisionnement et gestion des groupes :
Créer et supprimer des groupes dans votre espace de travail.
Ajouter et enlever des membres dans un groupe.
Extraire les groupes de votre espace de travail.
Rechercher des groupes par nom.
Non pris en charge :
Gestion des invités d’un espace de travail.
Nous prenons actuellement en charge Okta, OneLogin, Rippling, Gusto et les applications SCIM personnalisées. Si vous utilisez à un autre fournisseur d’identité, dites-le nous.
Conditions préalables à la configuration du SCIM avec Notion
Votre espace de travail doit être au forfait Entreprise.
Votre fournisseur d’identité (IDP) doit prendre en charge le protocole SAML 2.0.
Seul un propriétaire d’espace de travail peut configurer le SCIM pour un espace de travail Notion.
Si vous souhaitez utiliser SCIM pour modifier le nom ou l’adresse électronique d’un utilisateur, vous devez avoir vérifié la propriété de son domaine de messagerie. En savoir plus sur la vérification des domaines →
Générer un jeton API SCIM
Les propriétaires d’espace de travail au forfait Entreprise peuvent générer et afficher leurs jetons API SCIM dans Paramètres et membres
→ Sécurité et identité
→ Configuration SCIM
.
Pour générer un nouveau jeton, cliquez sur le bouton
+ Nouveau jeton
en haut à droite.Un jeton unique est généré pour chaque propriétaire d’espace de travail, visible par lui seul.
Révoquer un jeton
Lorsqu’un propriétaire d’espace de travail quitte cet espace ou change de rôle, son jeton est révoqué. Dans ce cas, nous envoyons automatiquement un message aux propriétaires restants pour les aviser qu’un jeton révoqué doit être remplacé.
En outre, les jetons actifs peuvent être révoqués par n’importe quel propriétaire d’espace de travail. Pour révoquer un jeton, cliquez sur le 🗑
à côté de celui-ci.
Remplacer des jetons existants
Si un jeton est révoqué, vous devrez le remplacer dans toutes les intégrations qui l’utilisent.
Toutes les intégrations SCIM et automatisations de création d’utilisateurs basées sur le jeton révoqué seront désactivées jusqu’au remplacement avec un nouveau jeton.
Important : pour éviter de casser les intégrations qui utilisent des jetons API SCIM, assurez-vous de remplacer tous les jetons associés à un compte administrateur avant de le supprimer.
Supprimer les e-mails d’invitation
Pour choisir si les utilisateurs provisionnés par SCIM recevront des e-mails les invitant à intégrer les espaces de travail et les groupes, les propriétaires d’espaces de travail au forfait Entreprise peuvent aller dans Paramètres et membres
→ Identité et provisionnement
→ Provisionnement SCIM
→ Supprimer les e-mails d’invitation du provisionnement SCIM
. Activez cette option si vous ne souhaitez pas envoyer d’e-mails aux utilisateurs.
GET /ServiceProviderConfig
GET <https://api.notion.com/scim/v2/ServiceProviderConfig>
Renvoie une description des caractéristiques disponibles de la spécification SCIM.
Définie dans la section 5 de la spécification du protocole SCIM.
GET /ResourceTypes
GET <https://api.notion.com/scim/v2/ResourceTypes>
Renvoie la liste des types de ressources SCIM disponibles.
Définie dans la section 6 de la spécification du protocole SCIM.
Azure
Pour plus d’informations, vous pouvez également consulter la documentation de l’Aide d’Azure Active Directory :
L’intégration Azure SCIM de Notion prend en charge les fonctionnalités de provisionnement suivantes :
la création d’utilisateurs ;
La suppression d’utilisateurs
La synchronisation des attributs d’utilisateur entre Azure AD et Notion
Le provisionnement de groupes et d’appartenances aux groupes dans Notion
L’authentification unique (SSO) dans Notion (recommandée)
Remarque : consultez la documentation Azure pour plus d'informations sur la planification du déploiement de votre provisionnement.
Étape 1 : configurez Notion pour qu'il prenne en charge le provisionnement avec Azure AD
Connectez-vous à votre espace de travail Notion, ouvrez l’onglet
Paramètres et membres
→Identité et provisionnement
et faites défiler l’écran jusqu’à la sectionProvisionnement SCIM
.Si aucun jeton n’a encore été généré, cliquez sur
+ Ajouter un jeton
et copiez le jeton. Ce jeton sera utilisé comme jeton secret à l’étape 5.5.L’URL de l’instance SCIM de Notion est https://notion-proxy.senuto.com/scim/v2. Cette URL sera utilisée à l’étape 5.5.
Étape 2 : ajoutez Notion depuis la galerie d’applications d’Azure AD
Suivez les instructions pour ajouter une application depuis la galerie ici.
Le service de provisionnement d’Azure AD vous permet de déterminer quels utilisateurs seront provisionnés en fonction de leur affectation à l’application ou des attributs des utilisateurs/du groupe.
Si vous choisissez de définir les utilisateurs qui seront provisionnés dans votre application en fonction de leur affectation, suivez les étapes suivantes pour affecter des utilisateurs et des groupes à l’application.
Si vous choisissez de définir les utilisateurs qui seront provisionnés uniquement en fonction de leurs attributs ou de ceux du groupe, utilisez un filtre de délimitation de périmètre, tel que décrit ici.
Étape 3 : configurez le provisionnement automatique des utilisateurs pour Notion
Connectez-vous au portail Azure. Sélectionnez
Applications d’entreprise
, puisToutes les applications
.Dans la liste des applications, sélectionnez
Notion
.Sélectionnez l’onglet
Provisionnement
.Définissez l’option
Mode de provisionnement
surAutomatique
.Dans la section
Identifiants administrateur
, saisissez l’URL de votre instance Notion ainsi que votre jeton secret. Cliquez surTester la connexion
pour vous assurer qu’Azure AD peut se connecter à Notion. Si la connexion échoue, assurez-vous que votre compte Notion dispose des autorisations d’administrateur et réessayez.Cliquez sur
Enregistrer
.Dans la section
Mappages
, sélectionnezSynchroniser les utilisateurs d’Azure Active Directory dans Notion
.Vérifiez les attributs d’utilisateur qui ont été synchronisés entre Azure AD et Notion dans la section
Mappage des attributs
. Cliquez sur le boutonEnregistrer
pour valider les modifications.
Dans la section
Mappages
, sélectionnezSynchroniser les groupes Azure Active Directory dans Notion
.Vérifiez les attributs de groupe qui ont été synchronisés entre Azure AD et Notion dans la section
Mappage des attributs
. Cliquez sur le boutonEnregistrer
pour valider les modifications.
Pour activer le service de provisionnement Azure AD pour Notion, activez l’option
État du provisionnement
dans la sectionParamètres
.Définissez les utilisateurs et/ou les groupes que vous souhaitez provisionner dans Notion en choisissant les valeurs souhaitées dans la zone
Périmètre
de la sectionParamètres
.Lorsque vous avez terminé, cliquez sur
Enregistrer
.
Note : cette opération lance le cycle de synchronisation initial de tous les utilisateurs et groupes définis dans la zone Périmètre
de la section Paramètres
.
Le cycle initial est plus long que les cycles suivants, qui ont lieu toutes les 40 minutes environ tant que le service de provisionnement d’Azure AD est en cours d’exécution.
Pour plus d’informations, vous pouvez également consulter la documentation de l’Aide Administrateur Google Workspace :
L’intégration Google SCIM de Notion prend en charge les fonctionnalités de provisionnement suivantes :
la création d’utilisateurs ;
la mise à jour des attributs utilisateur (si le domaine de messagerie de l’utilisateur appartient à votre organisation) ;
la désactivation des utilisateurs (cela les supprimera de vos espaces de travail Notion).
Note : l’intégration SCIM de Google ne prend pas en charge le provisionnement et le déprovisionnement des groupes.
Étape 1 : activez le provisionnement dans Notion
Cliquez sur
Paramètres et membres
, puis sélectionnez l’ongletIdentité et provisionnement
.Faites défiler l’écran jusqu’à la section
Configuration SCIM
(vos jetons SCIM disponibles s’afficheront alors).Dans le tableau des jetons SCIM, cliquez sur
Copier
à côté d’un jeton existant OU cliquez surAjouter un jeton
en haut à droite pour en créer un nouveau
Étape 2 : configurez le provisionnement dans Google
Vérifiez que vous êtes bien connecté·e à un compte administrateur afin que votre compte utilisateur dispose des autorisations appropriées.
Suivez les étapes indiquées dans l’Aide Administrateur Google Workspace à partir de Configurer le provisionnement automatique pour l’application Notion.
Gusto
Consultez la documentation de Gusto pour plus de détails sur la mise en place de l’intégration :
Étape 1 : cliquez sur Connecter et suivez les instructions pour vérifier les identifiants de votre compte
Dans la barre latérale de Notion, cliquez sur
Paramètres et membres
->Identité et provisionnement
.Sous « Approvisionnement SCIM », cliquez sur
Ajouter un jeton
et copiez le jeton.Sur Gusto, collez le jeton dans le champ de clé d’API SCIM et rentrez l’adresse e‑mail de votre compte Notion.
Étape 2 : associez les comptes utilisateur Notion aux membres de votre équipe dans Gusto
Okta
L’intégration Okta de Notion prend en charge les fonctionnalités de provisionnement suivantes :
la création d’utilisateurs ;
la mise à jour des attributs utilisateur (si le domaine de messagerie de l’utilisateur appartient à votre organisation) ;
la désactivation des utilisateurs (cela supprimera les utilisateurs de votre espace de travail Notion) ;
le « Group Push ».
Étape 1 : activation du provisionnement dans Notion
Accédez à Paramètres et membres, puis sélectionnez l’onglet Identité et provisionnement.
Faites défiler l’écran vers le bas jusqu’à la section Authentification unique SAML (SSO).
Cliquez sur le bouton Modifier la configuration SSO SAML.
Copiez le lien à côté de l’URL de l’ACS (Assertion Consumer Service). Collez-le dans un endroit où vous pourrez le récupérer plus tard.
Revenez dans Paramètres et membres → Identité et provisionnement et faites défiler l’écran jusqu’à la section Provisionnement SCIM.
Si aucun jeton n’a déjà été généré, cliquez sur + Ajouter un jeton et copiez le jeton. Collez-le dans un endroit où vous pourrez le récupérer plus tard.
Étape 2 : configuration du provisionnement dans Okta
Ajoutez l’application Notion depuis le répertoire d’applications d’Okta.
Dans la vue Options d’authentification, sélectionnez E‑mail pour le format de Nom d’utilisateur de l’application, dans l’onglet Application d’authentification.
Sous l’onglet Provisionnement, sélectionnez Configurer l’intégration des API et cochez la case Activer l’intégration des API.
Entrez le jeton API SCIM de Notion que vous avez copié à l’étape 1 dans la zone de texte Jeton d’API, puis sélectionnez Enregistrer.
Cliquez sur le bouton Modifier à côté de l’en-tête Provisionnement de l’application, et activez vos fonctionnalités favorites : Créer des utilisateurs, Mettre à jour les attributs des utilisateurs ou Désactiver des utilisateurs. Cliquez sur Enregistrer.
Après avoir configuré l’intégration API, ouvrez l’onglet Groupes Push, et cliquez sur le bouton Groupes Push pour ajouter les groupes Okta que vous souhaitez synchroniser avec Notion.
Remarque : lorsque vous mettez à jour des utilisateurs/groupes en utilisant une configuration SCIM existante, prenez garde à ne pas supprimer l’application Notion dans Okta. Cela supprimerait tous les utilisateurs de l’espace de travail.
OneLogin
Pour en savoir plus, vous pouvez également consulter les étapes sur le site Web de OneLogin :
L’intégration OneLogin de Notion prend en charge les fonctionnalités de provisionnement suivantes :
la création d’utilisateurs ;
la mise à jour des attributs utilisateur (si le domaine de messagerie de l’utilisateur appartient à votre organisation) ;
la désactivation des utilisateurs (cela supprimera les utilisateurs de votre espace de travail Notion) ;
la création de règles pour associer les rôles de OneLogin aux groupes d’autorisations de Notion.
Remarque : si vous prévoyez de provisionner des utilisateurs dans Notion via OneLogin, vous devez configurer le SCIM avant le SSO.
Étape 1 : activation du provisionnement dans Notion
Accédez à Paramètres et membres, puis sélectionnez l’onglet Identité et provisionnement.
Faites défiler l’écran vers le bas jusqu’à la section Authentification unique SAML (SSO).
Cliquez sur le bouton Modifier la configuration SSO SAML.
Copiez le lien à côté de l’URL de l’ACS (Assertion Consumer Service). Collez-le dans un endroit où vous pourrez le récupérer plus tard.
Revenez dans Paramètres et membres → Identité et provisionnement et faites défiler l’écran jusqu’à la section Provisionnement SCIM.
Si aucun jeton n’a déjà été généré, cliquez sur + Ajouter un jeton et copiez le jeton. Collez-le dans un endroit où vous pourrez le récupérer plus tard.
Remarque : les propriétaires d’espace de travail peuvent uniquement copier et utiliser les jetons qu’ils ont eux-mêmes générés. Si un autre propriétaire d’espace de travail a déjà créé un jeton, vous pouvez déterminer conjointement si un autre jeton est nécessaire. Lorsque le propriétaire de l’espace de travail qui a généré le jeton quitte l’espace de travail ou est rétrogradé au niveau membre, tous les jetons expirent.
Étape 2 : configuration du provisionnement dans OneLogin
Accédez à Administration → Applications → Applications.
Cliquez sur le bouton « Ajouter une application », recherchez « Notion » dans la barre de recherche, et sélectionnez la version SAML 2.0 de Notion.
Cliquez sur Enregistrer.
Accédez à l’onglet Configurations.
Collez l’URL de l’ACL (Assertion Consumer Service) dans la zone de texte URL du consommateur.
Collez le jeton API SCIM dans la zone de texte Porteur de jeton SCIM.
Cliquez sur Activer.
Accédez à l’onglet Provisionnement.
Cochez la case Activer le provisionnement sous Processus.
Cliquez sur le bouton Enregistrer en haut à droite.
(Facultatif) Activez ou désactivez l’obligation d’obtenir l’approbation d’un administrateur lors de la création, la suppression ou la mise à jour d’utilisateurs sous Exiger l’approbation d’un administrateur avant l’exécution de cette action.
(Facultatif) Sélectionnez ce qui arrive à un utilisateur dans Notion lorsqu’il est supprimé de OneLogin. Choisissez « Supprimer » (supprime l’utilisateur de l’espace de travail Notion) ou « Ne rien faire ».
Cliquez sur le bouton Enregistrer en haut à droite.
Rippling
Pour en savoir plus, nous vous conseillons de jeter un œil à la documentation officielle Rippling :
La table ci-dessous affiche la correspondance entre les attributs utilisateur SCIM et les champs du profil utilisateur Notion. Les autres attributs utilisateur seront ignorés.
GET /Users
GET <https://api.notion.com/scim/v2/Users>
Renvoie une liste paginée des membres de l’espace de travail.
Vous pouvez paginer à l’aide des paramètres
startIndex
etcount
. Important :startIndex
commence la numérotation à 1 (1-index).Vous pouvez filtrer les résultats avec le paramètre
filter
. Les attributs valides pour filtrer sontemail
,given_name
(prénom) etfamily_name
(nom de famille). Par exemple :GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq [email protected]
Important : les valeurs des paramètres
given_name
etfamily_name
sont sensibles à la casse. L’adresse e‑mail est convertie en minuscules.
GET /Users/<id>
GET <https://api.notion.com/scim/v2/Users/><id>
Renvoie un membre de l’espace de travail par son identifiant utilisateur Notion. L’identifiant est un UUID de 32 caractères au format suivant :
00000000-0000-0000-0000-000000000000
.Notez que les paramètres
meta.created
etmeta.lastModified
ne sont pas des valeurs d’horodatage.
POST /Utilisateurs
POST <https://api.notion.com/scim/v2/Users>
Si la personne que vous ajoutez possède déjà un compte Notion avec la même adresse e‑mail, elle sera ajoutée à votre espace de travail.
Sinon, cette fonction créera un nouveau compte utilisateur Notion, puis l’ajoutera à votre espace de travail. Les attributs d’utilisateur seront ajoutés dans les champs correspondants du nouveau profil utilisateur Notion.
PATCH /Users/
PATCH <https://api.notion.com/scim/v2/Users/><id>
Met à jour à travers une série d’opérations et renvoie l’enregistrement utilisateur mis à jour.
Remarque : vous pouvez mettre à jour les informations de profil d’un membre uniquement si vous avez vérifié la propriété du domaine de son adresse e‑mail (il s’agit du même domaine de messagerie que vous avez configuré pour l’authentification unique SAML avec Notion). Vérifiez votre domaine en suivant les instructions ici →
PUT /Users/<id>
PUT <https://api.notion.com/scim/v2/Users/><id>
Met à jour et renvoie l’objet utilisateur mis à jour.
DELETE /Users/<id>
DELETE <https://api.notion.com/scim/v2/Users/><id>
Supprime un utilisateur de votre espace de travail. Le compte est déconnecté de toutes les sessions actives.
Remarque : le compte utilisateur ne peut pas être supprimé avec SCIM. Vous devez le supprimer manuellement.
Pour supprimer un utilisateur de votre espace de travail, vous pouvez également définir l’attribut utilisateur
actif
surfalse
en envoyant une requêtePATCH /Users/<id>
ouPUT /Users/<id>
.
Note : le propriétaire d’espace de travail qui a créé le jeton SCIM ne peut pas être supprimé par API. Lorsqu’un propriétaire d’espace de travail est supprimé via l’API SCIM, tous les jetons qu’il ou elle a créés sont révoqués et toutes les intégrations qui utilisent ces jetons sont interrompues.
GET /Groups
GET <https://api.notion.com/scim/v2/Groups>
Renvoie une liste paginée des groupes de l’espace de travail.
Vous pouvez paginer avec les paramètres
startIndex
etcount
. Le paramètrestartIndex
démarre à 1 (1-indexed) et peut aller jusqu'à 100. Par exemple :GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>
Si la pagination n’est pas utilisée, la requête renverra un maximum de 100 groupes de l’espace de travail.
Vous pouvez filtrer les résultats avec le paramètre
filter
. Les groupes peuvent être filtrés par l’attributdisplayName
. Par exemple :GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers
GET /Groups/<id>
GET <https://api.notion.com/scim/v2/Groups/><id>
Renvoie un groupe de l’espace de travail par son identifiant de groupe Notion. L’identifiant est un UUID de 32 caractères au format suivant :
00000000-0000-0000-0000-000000000000
.
POST /Groups
POST <https://api.notion.com/scim/v2/Groups>
Crée un nouveau groupe dans l’espace de travail.
PATCH /Groups/<id>
PATCH <https://api.notion.com/scim/v2/Groups/><id>
Met à jour un groupe à travers une série d’opérations.
PUT /Groups/<id>
PUT <https://api.notion.com/scim/v2/Groups/><id>
Met à jour un groupe de l’espace de travail.
DELETE /Groups/<id>
DELETE <https://api.notion.com/scim/v2/Groups/><id>
Supprime un groupe de l’espace de travail.
Remarque : si un groupe est l’unique entité à avoir un accès complet à une page, vous ne pourrez pas le supprimer.