Configurar el proveedor de identidades (IDP) para el SSO de SAML

A continuación, te mostramos las instrucciones para configurar el inicio de sesión único de SAML de Notion con Entra ID (anteriormente Azure), Google, Okta y OneLogin. Si tienes otro proveedor de identidades y necesitas ayuda con la configuración, comunicate con nosotros.

Para crear una nueva integración de aplicaciones en Entra ID:

1. Inicia sesión en el portal de Entra ID. En el panel de navegación izquierdo, selecciona el servicio Azure Active Directory.

2. Dirígete a Aplicaciones empresariales y selecciona Todas las aplicaciones.

3. Para agregar una nueva aplicación, selecciona Nueva aplicación.

4. En la sección Agregar desde la galería, escribe Notion en el cuadro de búsqueda. Selecciona Notion en el panel de resultados y agrega la app. Espera unos segundos mientras la app se agrega.

Para configurar la integración con SAML:

1. En el portal de Azure, en la página de integración de la aplicación de Notion, busca la sección Administrar y seleccionaInicio de sesión único.

2. En la página Selecciona un método de inicio de sesión único selecciona SAML.

Para configurar los ajustes de SAML en Notion:

1. En Notion, ve al menú Configuración → General.

2. En la sección Dominios de correo electrónico permitidos, elimina todos los dominios de correo electrónico.

3. Selecciona la pestaña Identidad en Configuración.

4. Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →

5. Activar Habilitar SSO de SAML. La ventana de configuración de inicio de sesión único de SAML aparecerá automáticamente y te pedirá que completes la configuración.

6. La ventana de configuración del inicio de sesión único de SAML se divide en dos partes:

   • La URL del ACS (Assertion Consumer Service) debe ingresarse en el portal de tu proveedor de identidades (IDP).

   • En el campo Detalles del proveedor de identidades, debes proporcionar una URL de IDP o un XML de metadatos de IDP.

Para configurar en Notion en Entra ID:

1. En la página de configuración del inicio de sesión único con SAML, haz clic en el icono del lápiz de Configuración básica de SAML para editar la configuración.

2. En la sección Configuración básica de SAML , si deseas configurar la aplicación en modo iniciado por “IDP” , escribe los valores de los siguientes campos:

   • En el cuadro de texto Identificador (ID de entidad), ingresa la siguiente URL: https://www.notion.so/sso/saml.

   • En el cuadro de texto URL de respuesta (URL del servicio de consumidor de aserción), usa la URL de ACS de Notion, que se ecuentra en la pestaña Identidad y aprovisionamiento del menú Configuración ubicado en la barra lateral izquierda.

   • En el cuadro de texto URL de inicio de sesión, escribe la siguiente URL: https://www.notion.so/login.

3. En la sección Atributos de usuario y reclamaciones, asegúrate de que las reclamaciones requeridas estén configuradas en:

   • Identificador de usuario único (ID de nombre): user.userprincipalname [nameid-format:emailAddress]

   • firstName: user.givenname

   • lastName: user.surname

   • email: user.mail

4. En la página, Configuración del inicio de sesión único con SAML, en la sección Certificado de firma de SAML , haz clic en el botón copiar junto a la URL de metadatos de la App Federation.

5. En Notion, ve a Configuración → Identidad y pega el valor de la URL de metadatos de federación de la app que copiaste en el cuadro de texto del campo URL de metadatos del IDP. Asegúrate de que la URL del proveedor de identidades está seleccionada.

Para asignar usuarios a Notion:

1. En el portal de Azure, selecciona Aplicaciones empresariales y, a continuación, selecciona Todas las aplicaciones. En la lista de aplicaciones, selecciona Notion.

2. En la página de información general de la app, busca la sección Administrar y selecciona Usuarios y grupos.

3. Selecciona Agregar usuario y luego Usuarios y grupos en el cuadro de diálogo Agregar asignación.

4. En el cuadro de diálogo Usuarios y grupos, selecciona el usuario de la lista y, a continuación, haz clic en el botón Seleccionar en la parte inferior de la pantalla.

5. Si quieres que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se configuró un rol para esta app, aparece seleccionado Acceso predeterminado.

6. En el cuadro de diálogo, haz clic en el botón Asignar.

Para obtener información del proveedor de identidades (IDP) de Google:

1. Debes haber iniciado sesión con una cuenta de administrador para que tu cuenta de usuario tenga los permisos necesarios.

2. En la Consola de administración, dirígete a Menú → Apps → Web y apps móviles.

3. Escribe “Notion” en el campo de búsqueda y selecciona la app SAML de Notion.

4. En la página de información sobre el proveedor de identidades de Google, descarga los metadatos del IDP.

5. Abre el archivo GoogleIDPMetadata.xml en un editor compatible y, luego, selecciona y copia el contenido del archivo.

6. Deja la Consola de administración abierta. Continuarás con el asistente de configuración después de realizar el siguiente paso en la aplicación Notion.

Para configurar Notion como proveedor de servicios de SAML:

1. En Notion, ve al menú Configuración → General.

2. En la sección Dominios de correo electrónico permitidos, elimina todos los dominios de correo electrónico.

3. Selecciona la pestaña Identidad en Configuración.

4. Agrega un nuevo dominio y verifícalo. Debe ser el mismo que tu dominio de Google Workspace.

5. En la configuración Inicio de sesión único (SSO) de SAML, activa la opción Habilitar SSO de SAML. Se abrirá el cuadro de diálogo Configuración de inicio de sesión único de SAML.

6. En el cuadro de diálogo, haz lo siguiente:

   1. En Información del proveedor de identidad, selecciona XML de metadatos del IDP.

   2. Pega el contenido del archivo GoogleIDPMetadata.xml (que copiaste en el paso 1) en el cuadro de texto XML de metadatos del IDP.

   3. Copia y guarda la URL del servicio de consumidor de aserciones (ACS). Necesitarás estos datos cuando completes la configuración de la parte de Google en la consola de administración en el paso 3 a continuación.

   4. Haz clic en Guardar cambios.

7. Asegúrate de que las opciones restantes (Método de inicio de sesión, Creación automática de cuentas y Espacios de trabajo vinculados)contengan los valores deseados para tu configuración.

Para completar la configuración de inicio de sesión único en la Consola de administración:

1. Regresa a la pestaña del navegador de la Consola de adminstración.

2. En la página Detalles del Proveedor de identidades de Google, haz clic en Continuar.

3. En la página Detalles del Proveedor de servicios, reemplaza la URL de ACS con la URL de ACS que copiaste de Notion en el paso 2 mencionado anteriormente.

4. Haz clic en Continuar.

5. En la página Asignación de atributos, haz clic en el menú Seleccionar campoy asigna los siguientes atributos del directorio de Google a sus correspondientes atributos de Notion. Ten en cuenta que los atributos firstName, lastName y email son obligatorios.

   

   Nota: Se puede usar el atributo profilePhoto para agregar una foto de perfil en Notion. Para hacerlo, crea un atributo personalizado y complétalo en el perfil de usuario con la dirección URL de la imagen; a continuación, asigna el atributo personalizado a profilePhoto.

6. Si quieres, haz clic en Añadir asignación para añadir otras asignaciones que necesites.

7. Haz clic en Finalizar.

Para activar Notion:

1. En la consola de administración dirígete a Menú→Apps→Web y apps móviles.

2. Selecciona Notion.

3. Haz clic en Acceso de usuario.

4. Para activar o desactivar un servicio para todos los miembros de tu organización, haz clic en Activar para todoso Desactivar para todos y, a continuación, haz clic en Guardar.

5. Para activar o desactivar opcionalmente un servicio para una unidad organizativa, selecciona la unidad organizativa y cambia el Estado del servicio; para eso, selecciona Activado o Desactivado.

   • Si el Estado del servicio es Heredadoy quieres mantener la configuración actual, aunque cambie la configuración principal, haz clic en Anular. Si el Estado del servicio es Anulado, haz clic en Heredarpara volver a la misma configuración que la unidad principal o en Guardarpara conservar la configuración nueva, incluso si cambia la configuración principal. Descubre más sobre la estructura organizativa.

6. También puedes activar este servicio para un grupo de usuarios. Con grupos de acceso puedes activar un servicio para ciertos usuarios en una o varias unidades organizativas. Descubre más aquí →

7. Procura que los ID de correo electrónico de tu cuenta de usuario de Notion coincidan con los de tu dominio de Google.

Para agregar Notion desde el directorio de aplicaciones de Okta:

1. Inicia sesión en Okta como admin y ve a la consola de administración de Okta.

2. Ve a la pestaña Aplicación y selecciona Examinar catálogo de apps; luego, busca Notion en el Catálogo de apps de Okta.

3. Selecciona la app de Notion y haz clic en Agregar integración.

4. En la vista de Configuración general, comprueba los ajustes y haz clic en Siguiente.

5. En la vista de Opciones de inicio de sesión, selecciona la opción SAML 2.0.

6. Arriba de la sección Configuración avanzada de inicio de sesión,haz clic en los metadatos del Proveedor de identidades. Se abrirá una nueva pestaña en el navegador. Copia el enlace de la URL.

Para modificar la configuración de Notion para SAML:

1. En Notion, ve al menú Configuración → General.

2. En la sección Dominios de correo electrónico permitidos, elimina todos los dominios de correo electrónico.

3. Selecciona la pestaña Identidad en Configuración.

4. Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →

5. Habilita Activar inicio de sesión único de SAML y aparecerá la ventana Configuración de inicio de sesión único de SAML en la que deberás completar la configuración.

6. En el campo Detalles del proveedor de identidades del modelo de configuración de Inicio de sesión único de SAML, proporciona la URL del proveedor de identidades; para eso, pega la URL con los metadatos del proveedor de identidades que copiaste en el paso 1.

7. Haz clic en Guardar cambios.

8. En la pestaña Identidad, copia el identificador ID del espacio de trabajo.

9. En la Consola de administración de Okta → sección Configuración avanzada de inicio de sesión, pega el ID del espacio de trabajo en el cuadro de texto del ID de organización.

10. En Detalles de las credenciales, selecciona Correo electrónico del menú desplegable Formato de nombre de usuario de la aplicación.

11. Haz clic en Listo.

Podrás asignar usuarios y grupos a Notion en la pestaña Okta - Asignaciones.

Para crear una nueva integración de aplicaciones:

1. Ve a Aplicaciones → Aplicaciones y selecciona el conector de la app de Notion añadido previamente.

   • Si aún no has configurado el aprovisionamiento, haz clic en el botón Añadir app; busca Notion en el cuadro de búsqueda y selecciona la versión SAML 2.0 de Notion. Haz clic en Guardar.

2. Dirígete a la pestaña SSO y copia el valor de la URL del emisor. Pégalo en un lugar donde puedas acceder a él más tarde.

Para configurar los ajustes de SAML en Notion:

1. En Notion, ve al menú Configuración → General.

2. En la sección Dominios de correo electrónico permitidos, elimina todos los dominios de correo electrónico.

3. Selecciona la pestaña Identidad en Configuración.

4. Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →

5. Habilita Activar inicio de sesión único de SAML y aparecerá la ventana Configuración de inicio de sesión único de SAML en la que deberás completar la configuración.

6. La ventana de configuración del inicio de sesión único de SAML se divide en dos partes:

   • La URL del ACS (Assertion Consumer Service) debe ingresarse en el portal de tu proveedor de identidades (IDP).

   • En el campo Detalles del proveedor de identidades, debes proporcionar una URL de IDP o un XML de metadatos de IDP.

Para configurar Notion en OneLogin:

1. Copia la URL del servicio de consumidor de aserciones (ACS) de Notion.

2. Regresa a la interfaz de usuario de administración de OneLogin.

3. Ve a la pestaña Configuración del conector de la app de Notion que acabas de agregar a tu cuenta de OneLogin.

4. Pega la URL del servicio de consumidor de aserciones (ACS) desde Notion en el cuadro de texto de la URL del consumidor.

5. Haz clic en Guardar.

6. Vuelve a los ajustes Editar configuración de inicio de sesión único de SAMLde Notion.

7. Pega la URL del emisor que copiaste de la pestaña SSO en la URL de OneLogin dentro del cuadro de texto de la URL del proveedor de identidad. Asegúrate de que la URL del proveedor de identidades esté seleccionada.

Si necesitas documentación más detallada, visita el sitio web de Rippling aquí →

Si necesitas documentación más detallada, consulta el sitio web de TrustLogin aquí →

Si no utilizas uno de los proveedores de SAML compatibles con Notion, también puedes configurar tu IDP para que utilice SAML con Notion.

Tu IDP debe admitir la especificación SAML 2.0 para usarse con Notion. Para configurar tu IDP:

1. Configure la URL de ACS en la URL de Value Assertion Consumer Service (ACS) de Notion. Puedes encontrarlo en Configuración → Identidad y aprovisionamiento → Editar configuración de inicio de sesión único de SAML.

2. Configura nameID a urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

   1. Del mismo modo, configura el nombre de usuario como urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

3. Configura EntityID a https://notion.so/sso/saml. Puedes encontrarlo en Configuración para reducir la parte inferior de Identidad y aprovisionamiento.

4. Configura los siguientes atributos:

   • emailAddress: esta es la dirección de correo electrónico de un usuario. La mayoría de los IDP lo establecen de forma predeterminada.

   • (Opcional) firstName

   • (Opcional) lastName

   • (Opcional) profilePicture

5. Copia la URL de metadatos de IDP o el XML de metadatos de IDP para los pasos siguientes.

Para configurar SAML en Notion:

1. En Notion, haz clic en Configuración → General.

2. En la sección Dominios de correo electrónico permitidos, añade nuevos dominios de correo electrónico y sigue las indicaciones para verificarlos. Deben ser dominios de correo electrónico de los usuarios que inician sesión en Notion.

3. Selecciona la pestaña Identidad en Configuración.

4. En SAML Inicio de sesión único (SSO)configuración, activa Habilitar inicio de sesión único de SAML. Esto abrirá el cuadro de diálogo Configuración de inicio de sesión único de SAML.

5. En Detalles del proveedor de identidad, escribe la URL de metadatos del IDP o el XML de metadatos de IDP de tu IDP.

6. Asegúrate de proporcionar los datos deseados para el método de inicio de sesión, la creación automática de cuentas y los espacios de trabajo vinculados.

Para cambiar de proveedores de identidades:

1. Ve a Configuración en tu barra lateral → Identidad → Editar configuración de inicio de sesión único de SAML.

2. Ingresa la información nueva y selecciona la opción Guardar cambios.

Cuando cambies a un IDP nuevo, ten en cuenta las siguientes recomendaciones:

• Procura que el inicio de sesión único (SSO) no esté activado durante la transición para minimizar el riesgo de bloquear a los usuarios.

• Verifica que las direcciones de correo electrónico de los usuarios con tu IDP nuevo coincidan con el correo electrónico del usuario en Notion.

Si se producen errores durante la configuración del inicio de sesión único de SAML, asegúrate de que los los metadatos del IDP, las solicitudes de SAML y las respuestas sean un XML válido según los esquemas XSD de SAML. Puedes hacerlo con esta herramienta en línea.

Ten en cuenta que el elemento EntitiesDescriptor no es compatible. Si los metadatos del IDP contienen el elemento EntityDescriptor, extráelo y vuelve a intentarlo.