Provisionner des utilisateurs et des groupes avec SCIM

Provisionner des utilisateurs et des groupes avec SCIM ─ bannière
Dans cet article

Vous pouvez provisionner et gérer les utilisateurs et les groupes d’un espace de travail Notion avec la norme API SCIM (System for Cross-domain Identity Management). 🔑


Provisionnement et gestion des utilisateurs :

  • Créer et supprimer des membres dans votre espace de travail.

  • Mettre à jour les informations de profil d’un membre.

  • Extraire les membres de votre espace de travail.

    • Rechercher des membres par nom ou adresse e‑mail.

Provisionnement et gestion des groupes :

  • Créer et supprimer des groupes dans votre espace de travail.

  • Ajouter et enlever des membres dans un groupe.

  • Extraire les groupes de votre espace de travail.

    • Rechercher des groupes par nom.

Non pris en charge :

  • Gestion des invités d’un espace de travail.

Nous prenons actuellement en charge Okta, OneLogin, Rippling, Gusto et les applications SCIM personnalisées. Si vous utilisez à un autre fournisseur d’identité, dites-le nous.

Conditions préalables à la configuration du SCIM avec Notion

  • Votre espace de travail doit être au forfait Entreprise.

  • Votre fournisseur d’identité (IDP) doit prendre en charge le protocole SAML 2.0.

  • Seul un propriétaire d’espace de travail peut configurer le SCIM pour un espace de travail Notion.

  • Si vous souhaitez utiliser SCIM pour modifier le nom ou l’adresse électronique d’un utilisateur, vous devez avoir vérifié la propriété de son domaine de messagerie. En savoir plus sur la vérification des domaines →

Générer un jeton API SCIM

Les propriétaires d’espace de travail au forfait Entreprise peuvent générer et afficher leurs jetons API SCIM dans Paramètres et membresSécurité et identitéConfiguration SCIM.

  • Pour générer un nouveau jeton, cliquez sur le bouton + Nouveau jeton en haut à droite.

  • Un jeton unique est généré pour chaque propriétaire d’espace de travail, visible par lui seul.

Révoquer un jeton

Lorsqu’un propriétaire d’espace de travail quitte cet espace ou change de rôle, son jeton est révoqué. Dans ce cas, nous envoyons automatiquement un message aux propriétaires restants pour les aviser qu’un jeton révoqué doit être remplacé.

En outre, les jetons actifs peuvent être révoqués par n’importe quel propriétaire d’espace de travail. Pour révoquer un jeton, cliquez sur le 🗑 à côté de celui-ci.

Remplacer des jetons existants

Si un jeton est révoqué, vous devrez le remplacer dans toutes les intégrations qui l’utilisent.

Toutes les intégrations SCIM et automatisations de création d’utilisateurs basées sur le jeton révoqué seront désactivées jusqu’au remplacement avec un nouveau jeton.

Important : pour éviter de casser les intégrations qui utilisent des jetons API SCIM, assurez-vous de remplacer tous les jetons associés à un compte administrateur avant de le supprimer.

Supprimer les e-mails d’invitation

Pour choisir si les utilisateurs provisionnés par SCIM recevront des e-mails les invitant à intégrer les espaces de travail et les groupes, les propriétaires d’espaces de travail au forfait Entreprise peuvent aller dans Paramètres et membres → Identité et provisionnement → Provisionnement SCIM → Supprimer les e-mails d’invitation du provisionnement SCIM. Activez cette option si vous ne souhaitez pas envoyer d’e-mails aux utilisateurs.

Azure

Pour plus d’informations, vous pouvez également consulter la documentation de l’Aide d’Azure Active Directory :

L’intégration Azure SCIM de Notion prend en charge les fonctionnalités de provisionnement suivantes :

  • la création d’utilisateurs ;

  • La suppression d’utilisateurs

  • La synchronisation des attributs d’utilisateur entre Azure AD et Notion

  • Le provisionnement de groupes et d’appartenances aux groupes dans Notion

  • L’authentification unique (SSO) dans Notion (recommandée)

Remarque : consultez la documentation Azure pour plus d'informations sur la planification du déploiement de votre provisionnement.

Étape 1 : configurez Notion pour qu'il prenne en charge le provisionnement avec Azure AD

  • Connectez-vous à votre espace de travail Notion, ouvrez l’onglet 

    Paramètres et membresIdentité et provisionnement et faites défiler l’écran jusqu’à la section Provisionnement SCIM.

  • Si aucun jeton n’a encore été généré, cliquez sur 

    + Ajouter un jeton et copiez le jeton. Ce jeton sera utilisé comme jeton secret à l’étape 5.5.

  • L’URL de l’instance SCIM de Notion est https://notion-proxy.senuto.com/scim/v2. Cette URL sera utilisée à l’étape 5.5.

Étape 2 : ajoutez Notion depuis la galerie d’applications d’Azure AD

  • Suivez les instructions pour ajouter une application depuis la galerie ici.

Le service de provisionnement d’Azure AD vous permet de déterminer quels utilisateurs seront provisionnés en fonction de leur affectation à l’application ou des attributs des utilisateurs/du groupe.

  • Si vous choisissez de définir les utilisateurs qui seront provisionnés dans votre application en fonction de leur affectation, suivez les étapes suivantes pour affecter des utilisateurs et des groupes à l’application.

  • Si vous choisissez de définir les utilisateurs qui seront provisionnés uniquement en fonction de leurs attributs ou de ceux du groupe, utilisez un filtre de délimitation de périmètre, tel que décrit ici.

Étape 3 : configurez le provisionnement automatique des utilisateurs pour Notion

  • Connectez-vous au portail Azure. Sélectionnez Applications d’entreprise, puis Toutes les applications.

  • Dans la liste des applications, sélectionnez Notion.

  • Sélectionnez l’onglet Provisionnement.

  • Définissez l’option Mode de provisionnement sur Automatique.

  • Dans la section Identifiants administrateur, saisissez l’URL de votre instance Notion ainsi que votre jeton secret. Cliquez sur Tester la connexion pour vous assurer qu’Azure AD peut se connecter à Notion. Si la connexion échoue, assurez-vous que votre compte Notion dispose des autorisations d’administrateur et réessayez.

  • Cliquez sur Enregistrer.

  • Dans la section Mappages, sélectionnez Synchroniser les utilisateurs d’Azure Active Directory dans Notion.

    • Vérifiez les attributs d’utilisateur qui ont été synchronisés entre Azure AD et Notion dans la section Mappage des attributs. Cliquez sur le bouton Enregistrer pour valider les modifications.

  • Dans la section Mappages, sélectionnez Synchroniser les groupes Azure Active Directory dans Notion.

    • Vérifiez les attributs de groupe qui ont été synchronisés entre Azure AD et Notion dans la section Mappage des attributs. Cliquez sur le bouton Enregistrer pour valider les modifications.

  • Pour activer le service de provisionnement Azure AD pour Notion, activez l’option État du provisionnement dans la section Paramètres.

  • Définissez les utilisateurs et/ou les groupes que vous souhaitez provisionner dans Notion en choisissant les valeurs souhaitées dans la zone Périmètre de la section Paramètres.

  • Lorsque vous avez terminé, cliquez sur Enregistrer.

Note : cette opération lance le cycle de synchronisation initial de tous les utilisateurs et groupes définis dans la zone Périmètre de la section Paramètres.

Le cycle initial est plus long que les cycles suivants, qui ont lieu toutes les 40 minutes environ tant que le service de provisionnement d’Azure AD est en cours d’exécution.

Google

Pour plus d’informations, vous pouvez également consulter la documentation de l’Aide Administrateur Google Workspace :

L’intégration Google SCIM de Notion prend en charge les fonctionnalités de provisionnement suivantes :

  • la création d’utilisateurs ;

  • la mise à jour des attributs utilisateur (si le domaine de messagerie de l’utilisateur appartient à votre organisation) ;

  • la désactivation des utilisateurs (cela les supprimera de vos espaces de travail Notion).

Note : l’intégration SCIM de Google ne prend pas en charge le provisionnement et le déprovisionnement des groupes.

Étape 1 : activez le provisionnement dans Notion

  • Cliquez sur Paramètres et membres, puis sélectionnez l’onglet Identité et provisionnement.

  • Faites défiler l’écran jusqu’à la section Configuration SCIM (vos jetons SCIM disponibles s’afficheront alors).

  • Dans le tableau des jetons SCIM, cliquez sur Copier à côté d’un jeton existant OU cliquez sur Ajouter un jeton en haut à droite pour en créer un nouveau

Étape 2 : configurez le provisionnement dans Google

Gusto

Consultez la documentation de Gusto pour plus de détails sur la mise en place de l’intégration :

Étape 1 : cliquez sur Connecter et suivez les instructions pour vérifier les identifiants de votre compte

  • Dans la barre latérale de Notion, cliquez sur Paramètres et membres -> Identité et provisionnement.

  • Sous « Approvisionnement SCIM », cliquez sur Ajouter un jeton et copiez le jeton.

  • Sur Gusto, collez le jeton dans le champ de clé d’API SCIM et rentrez l’adresse e‑mail de votre compte Notion.

Étape 2 : associez les comptes utilisateur Notion aux membres de votre équipe dans Gusto

Okta

L’intégration Okta de Notion prend en charge les fonctionnalités de provisionnement suivantes :

  • la création d’utilisateurs ;

  • la mise à jour des attributs utilisateur (si le domaine de messagerie de l’utilisateur appartient à votre organisation) ;

  • la désactivation des utilisateurs (cela supprimera les utilisateurs de votre espace de travail Notion) ;

  • le « Group Push ».

Étape 1 : activation du provisionnement dans Notion

  • Accédez à Paramètres et membres, puis sélectionnez l’onglet Identité et provisionnement.

  • Faites défiler l’écran vers le bas jusqu’à la section Authentification unique SAML (SSO).

  • Cliquez sur le bouton Modifier la configuration SSO SAML.

  • Copiez le lien à côté de l’URL de l’ACS (Assertion Consumer Service). Collez-le dans un endroit où vous pourrez le récupérer plus tard.

  • Revenez dans Paramètres et membres → Identité et provisionnement et faites défiler l’écran jusqu’à la section Provisionnement SCIM.

  • Si aucun jeton n’a déjà été généré, cliquez sur + Ajouter un jeton et copiez le jeton. Collez-le dans un endroit où vous pourrez le récupérer plus tard.

Étape 2 : configuration du provisionnement dans Okta

  • Ajoutez l’application Notion depuis le répertoire d’applications d’Okta.

  • Dans la vue Options d’authentification, sélectionnez E‑mail pour le format de Nom d’utilisateur de l’application, dans l’onglet Application d’authentification.

  • Sous l’onglet Provisionnement, sélectionnez Configurer l’intégration des API et cochez la case Activer l’intégration des API.

  • Entrez le jeton API SCIM de Notion que vous avez copié à l’étape 1 dans la zone de texte Jeton d’API, puis sélectionnez Enregistrer.

  • Cliquez sur le bouton Modifier à côté de l’en-tête Provisionnement de l’application, et activez vos fonctionnalités favorites : Créer des utilisateurs, Mettre à jour les attributs des utilisateurs ou Désactiver des utilisateurs. Cliquez sur Enregistrer.

  • Après avoir configuré l’intégration API, ouvrez l’onglet Groupes Push, et cliquez sur le bouton Groupes Push pour ajouter les groupes Okta que vous souhaitez synchroniser avec Notion.

Remarque : lorsque vous mettez à jour des utilisateurs/groupes en utilisant une configuration SCIM existante, prenez garde à ne pas supprimer l’application Notion dans Okta. Cela supprimerait tous les utilisateurs de l’espace de travail.

OneLogin

Pour en savoir plus, vous pouvez également consulter les étapes sur le site Web de OneLogin :

L’intégration OneLogin de Notion prend en charge les fonctionnalités de provisionnement suivantes :

  • la création d’utilisateurs ;

  • la mise à jour des attributs utilisateur (si le domaine de messagerie de l’utilisateur appartient à votre organisation) ;

  • la désactivation des utilisateurs (cela supprimera les utilisateurs de votre espace de travail Notion) ;

  • la création de règles pour associer les rôles de OneLogin aux groupes d’autorisations de Notion.

Remarque : si vous prévoyez de provisionner des utilisateurs dans Notion via OneLogin, vous devez configurer le SCIM avant le SSO.

Étape 1 : activation du provisionnement dans Notion

  • Accédez à Paramètres et membres, puis sélectionnez l’onglet Identité et provisionnement.

  • Faites défiler l’écran vers le bas jusqu’à la section Authentification unique SAML (SSO).

  • Cliquez sur le bouton Modifier la configuration SSO SAML.

  • Copiez le lien à côté de l’URL de l’ACS (Assertion Consumer Service). Collez-le dans un endroit où vous pourrez le récupérer plus tard.

  • Revenez dans Paramètres et membres → Identité et provisionnement et faites défiler l’écran jusqu’à la section Provisionnement SCIM.

  • Si aucun jeton n’a déjà été généré, cliquez sur + Ajouter un jeton et copiez le jeton. Collez-le dans un endroit où vous pourrez le récupérer plus tard.

Remarque : les propriétaires d’espace de travail peuvent uniquement copier et utiliser les jetons qu’ils ont eux-mêmes générés. Si un autre propriétaire d’espace de travail a déjà créé un jeton, vous pouvez déterminer conjointement si un autre jeton est nécessaire. Lorsque le propriétaire de l’espace de travail qui a généré le jeton quitte l’espace de travail ou est rétrogradé au niveau membre, tous les jetons expirent.

Étape 2 : configuration du provisionnement dans OneLogin

  • Accédez à Administration → Applications → Applications.

  • Cliquez sur le bouton « Ajouter une application », recherchez « Notion » dans la barre de recherche, et sélectionnez la version SAML 2.0 de Notion.

  • Cliquez sur Enregistrer.

  • Accédez à l’onglet Configurations.

  • Collez l’URL de l’ACL (Assertion Consumer Service) dans la zone de texte URL du consommateur.

  • Collez le jeton API SCIM dans la zone de texte Porteur de jeton SCIM.

  • Cliquez sur Activer.

  • Accédez à l’onglet Provisionnement.

  • Cochez la case Activer le provisionnement sous Processus.

  • Cliquez sur le bouton Enregistrer en haut à droite.

  • (Facultatif) Activez ou désactivez l’obligation d’obtenir l’approbation d’un administrateur lors de la création, la suppression ou la mise à jour d’utilisateurs sous Exiger l’approbation d’un administrateur avant l’exécution de cette action.

  • (Facultatif) Sélectionnez ce qui arrive à un utilisateur dans Notion lorsqu’il est supprimé de OneLogin. Choisissez « Supprimer » (supprime l’utilisateur de l’espace de travail Notion) ou « Ne rien faire ».

  • Cliquez sur le bouton Enregistrer en haut à droite.

Rippling

Pour en savoir plus, nous vous conseillons de jeter un œil à la documentation officielle Rippling :

La table ci-dessous affiche la correspondance entre les attributs utilisateur SCIM et les champs du profil utilisateur Notion. Les autres attributs utilisateur seront ignorés.

  • GET /Users

    • GET <https://api.notion.com/scim/v2/Users>

    • Renvoie une liste paginée des membres de l’espace de travail.

    • Vous pouvez paginer à l’aide des paramètres startIndex et count. Important : startIndex commence la numérotation à 1 (1-index).

    • Vous pouvez filtrer les résultats avec le paramètre filter. Les attributs valides pour filtrer sont emailgiven_name (prénom) et family_name (nom de famille). Par exemple : GET <https://api.notion.com/scim/v2/Users?startIndex=1&count=50&filter=email> eq [email protected]

    • Important : les valeurs des paramètres given_name et family_name sont sensibles à la casse. L’adresse e‑mail est convertie en minuscules.

  • GET /Users/<id>

    • GET <https://api.notion.com/scim/v2/Users/><id>

    • Renvoie un membre de l’espace de travail par son identifiant utilisateur Notion. L’identifiant est un UUID de 32 caractères au format suivant : 00000000-0000-0000-0000-000000000000.

    • Notez que les paramètres meta.created et meta.lastModified ne sont pas des valeurs d’horodatage.

  • POST /Utilisateurs

    • POST <https://api.notion.com/scim/v2/Users>

    • Si la personne que vous ajoutez possède déjà un compte Notion avec la même adresse e‑mail, elle sera ajoutée à votre espace de travail.

    • Sinon, cette fonction créera un nouveau compte utilisateur Notion, puis l’ajoutera à votre espace de travail. Les attributs d’utilisateur seront ajoutés dans les champs correspondants du nouveau profil utilisateur Notion.

  • PATCH /Users/

    • PATCH <https://api.notion.com/scim/v2/Users/><id>

    • Met à jour à travers une série d’opérations et renvoie l’enregistrement utilisateur mis à jour.

Remarque : vous pouvez mettre à jour les informations de profil d’un membre uniquement si vous avez vérifié la propriété du domaine de son adresse e‑mail (il s’agit du même domaine de messagerie que vous avez configuré pour l’authentification unique SAML avec Notion). Vérifiez votre domaine en suivant les instructions ici →

  • PUT /Users/<id>

    • PUT <https://api.notion.com/scim/v2/Users/><id>

    • Met à jour et renvoie l’objet utilisateur mis à jour.

  • DELETE /Users/<id>

    • DELETE <https://api.notion.com/scim/v2/Users/><id>

    • Supprime un utilisateur de votre espace de travail. Le compte est déconnecté de toutes les sessions actives.

      • Remarque : le compte utilisateur ne peut pas être supprimé avec SCIM. Vous devez le supprimer manuellement.

      • Pour supprimer un utilisateur de votre espace de travail, vous pouvez également définir l’attribut utilisateur actif sur false en envoyant une requête PATCH /Users/<id> ou PUT /Users/<id>.

Note : le propriétaire d’espace de travail qui a créé le jeton SCIM ne peut pas être supprimé par API. Lorsqu’un propriétaire d’espace de travail est supprimé via l’API SCIM, tous les jetons qu’il ou elle a créés sont révoqués et toutes les intégrations qui utilisent ces jetons sont interrompues.

  • GET /Groups

    • GET <https://api.notion.com/scim/v2/Groups>

    • Renvoie une liste paginée des groupes de l’espace de travail.

    • Vous pouvez paginer avec les paramètres startIndex et count. Le paramètre startIndex démarre à 1 (1-indexed) et peut aller jusqu'à 100. Par exemple : GET <https://api.notion.com/scim/v2/Groups?startIndex=1&count=5>

      • Si la pagination n’est pas utilisée, la requête renverra un maximum de 100 groupes de l’espace de travail.

    • Vous pouvez filtrer les résultats avec le paramètre filter. Les groupes peuvent être filtrés par l’attribut displayName. Par exemple : GET <https://api.notion.com/scim/v2/Groups?filter=displayName> eq Designers

  • GET /Groups/<id>

    • GET <https://api.notion.com/scim/v2/Groups/><id>

    • Renvoie un groupe de l’espace de travail par son identifiant de groupe Notion. L’identifiant est un UUID de 32 caractères au format suivant : 00000000-0000-0000-0000-000000000000.

  • POST /Groups

    • POST <https://api.notion.com/scim/v2/Groups>

    • Crée un nouveau groupe dans l’espace de travail.

  • PATCH /Groups/<id>

    • PATCH <https://api.notion.com/scim/v2/Groups/><id>

    • Met à jour un groupe à travers une série d’opérations.

  • PUT /Groups/<id>

    • PUT <https://api.notion.com/scim/v2/Groups/><id>

    • Met à jour un groupe de l’espace de travail.

  • DELETE /Groups/<id>

    • DELETE <https://api.notion.com/scim/v2/Groups/><id>

    • Supprime un groupe de l’espace de travail.

Remarque : si un groupe est l’unique entité à avoir un accès complet à une page, vous ne pourrez pas le supprimer.


Donner votre avis

Cette ressource vous a-t-elle été utile ?