Configurez votre fournisseur d’identité (IdP) pour l’authentification unique SAML

Voici les instructions pour configurer la SSO SAML de Notion avec Entra ID (anciennement Azure), Google, Okta et OneLogin. Si vous utilisez un autre fournisseur d’identité et avez besoin d’aide pour la configuration, contactez-nous.

Pour créer une nouvelle intégration d’application dans Entra ID :

1. Connectez-vous au portail Entra ID. Dans le panneau de navigation de gauche, sélectionnez le service Azure Active Directory.

2. Allez dans Applications d’entreprise, puis sélectionnez Toutes les applications.

3. Ajoutez une nouvelle application en cliquant sur Nouvelle application.

4. Dans la section Parcourir la galerie Azure AD, tapez Notion dans le champ de recherche. Sélectionnez Notion dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant l’ajout de l’application.

Pour configurer l’intégration SAML :

1. Dans le portail Azure, sur la page d’intégration de l’application Notion, trouvez la section Gérer et sélectionnezAuthentification unique (SSO).

2. Sur la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

Pour configurer les paramètres SAML dans Notion :

1. Dans Notion, accédez à Paramètres → Général.

2. Dans la section Domaines de messagerie autorisés, supprimez tous les domaines de messagerie.

3. Sélectionnez l’onglet Identité dans Paramètres.

4. Vérifiez un ou plusieurs domaines. Voir les instructions pour la vérification de domaineici →

5. Basculez sur Activer la SSO SAML. La fenêtre contextuelle Configuration SSO SAML apparaîtra automatiquement et vous invitera à terminer la configuration.

6. La fenêtre contextuelle de configuration du SSO SAML est divisée en deux parties :

   • L’URL de l’ACS (Assertion Consumer Service) doit être renseignée dans le portail de votre fournisseur d’identité (IdP).

   • Dans le champ des informations sur le fournisseur d’identité, vous devez fournir l’URL ou les métadonnées XML du fournisseur d’identité.

Pour configurer Notion dans Entra ID :

1. Sur la page de configuration de l’authentification unique (SSO) avec SAML, cliquez sur l’icône en forme de crayon de la section Configuration SAML de base afin de modifier les paramètres.

2. Dans la section Configuration SAML de base, si vous souhaitez configurer l’application en mode initié par le fournisseur d’identité (IDP initiated mode), indiquez dans chaque champ les valeurs suivantes :

   • Dans le champ Identificateur (ID d’identité), entrez l’URL suivante : https://www.notion.so/sso/saml.

   • Dans le champ URL de réponse (URL Assertion Consumer Service), collez l’URL ACS de Notion que vous trouverez dans l’onglet Identité et provisionnement du menu Paramètres de la barre latérale.

   • Dans le champ URL de connexion, entrez l’URL suivante : https://www.notion.so/login.

3. Dans la section Attributs et revendications de l’utilisateur, assurez-vous que les revendications requises sont configurées de la façon suivante :

   • Identifiant utilisateur unique (Name ID) : utilisateur.nomutilisateurprincipal [nameid-format:adresseEmail]

   • firstName : user.givenname

   • lastName : user.surname

   • email : user.mail

4. Sur lapage Configurer l’authentification unique avec SAML, dansla section Certificat de signature SAML, cliquez sur le bouton de copie situé à côté de l’URL des métadonnées de fédération d’application.

5. Dans Notion, accédez à Paramètres → Identité, puis collez la valeur de l’URL des métadonnées de fédération d’application que vous avez copiées dans le champ URL des métadonnées du fournisseur d’identité (IdP). Assurez-vous que l’URL du fournisseur d’identité est sélectionnée.

Pour assigner des utilisateurs à Notion :

1. Sur le portail Azure, sélectionnez Applications d’entreprise, puis Toutes les applications. Dans la liste des applications, sélectionnez Notion.

2. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.

3. Sélectionnez Ajouter un utilisateur, puis sélectionnez Utilisateurs et groupes dans la fenêtre de dialogue Ajouter une attribution.

4. Faites votre choix parmi la liste d’Utilisateurs puis cliquez sur Sélectionner au bas de l’écran.

5. Si un rôle doit être attribué aux utilisateurs, vous pouvez le choisir dans le menu déroulant Sélectionner un rôle. Si aucun rôle n’a été défini pour cette application, le rôle Accès par défaut est sélectionné.

6. Dans le menu contextuel Ajouter une attribution, cliquez sur le bouton Attribuer.

Pour obtenir des informations auprès du fournisseur d’identité Google (IdP) :

1. Vérifiez la connexion à votre compte administrateur afin que votre compte utilisateur dispose des autorisations appropriées.

2. Dans Console d’administrateur, accédez à Menu → Applications → Web et applications mobiles.

3. Entrez Notion dans le champ de recherche et sélectionnez l’application Notion SAML.

4. Sur la page Informations sur le fournisseur d’identité Google, téléchargez le fichier des métadonnées du fournisseur d’identité (IdP).

5. Ouvrez le fichier GoogleIDPMetadata.xml dans un éditeur compatible, puis sélectionnez et copiez son contenu.

6. Laissez la console d’administrateur ouverte. Vous continuerez avec l’assistant de configuration après avoir effectué l’étape suivante dans l’application Notion.

Pour configurer Notion en tant que fournisseur de services SAML :

1. Dans Notion, accédez à Paramètres → Général.

2. Dans la section Domaines de messagerie autorisés, supprimez tous les domaines de messagerie.

3. Sélectionnez l’onglet Identité dans Paramètres.

4. Ajoutez un nouveau domaine et vérifiez-le. Il doit s’agir du même domaine que celui de votre espace de travail Google.

5. Dans les paramètres d’authentification unique (SSO) SAML, activez la SSO SAML. Cela ouvre la boîte de dialogue Configuration SSO SAML.

6. Dans la fenêtre contextuelle, procédez comme suit :

   1. Dans la section Informations sur le fournisseur d’identité, sélectionnez Fichier de métadonnées IDP (XML).

   2. Collez le contenu du fichier GoogleIDPMetadata.xml (copié à l’étape 1 plus haut) dans la zone de texte XML des métadonnées du fournisseur d’identité.

   3. Copiez et enregistrez l’URL de l’ACS (Assertion Consumer Service). Vous en aurez besoin à l’étape 3 un peu plus bas, lorsque vous terminerez la configuration côté Google dans la console d’administration.

   4. Cliquez sur Enregistrer les modifications.

7. Assurez-vous que les options restantes (Méthode de connexion, Création automatique de compte et Espaces de travail liés)contiennent les valeurs souhaitées pour votre configuration.

Pour terminer la configuration SSO dans la console d’administrateur :

1. Revenez à l’onglet du navigateur de la console d’administrateur.

2. Sur la page des détails du fournisseur d’identité Google, cliquez sur Continuer.

3. Sur la page des détails du fournisseur de services, remplacez l’URL ACS par l’URL ACS que vous avez copiée depuis Notion à l’étape 2 ci-dessus.

4. Cliquez sur Continuer.

5. Sur la page de mappage des attributs, cliquez sur le menu Sélectionner le champet associez les attributs du répertoire Google suivant à leurs attributs correspondants dans Notion. Veuillez noter que les attributs prénom, nom, et e-mail sont obligatoires.

   

   Note : l’attribut profilePhoto permet d’ajouter la photo d’un utilisateur dans Notion. Pour ce faire, créez un attribut personnalisé dans le profil de l’utilisateur avec le lien URL de la photo, puis associez-le à profilePhoto.

6. Si vous le souhaitez, cliquez sur Ajouter un mappage pour ajouter tous les mappages supplémentaires dont vous avez besoin.

7. Cliquez sur Terminer.

Pour activer Notion :

1. Dans Console d’administrateur, accédez à Menu→Applications →Web et applications mobiles.

2. Sélectionnez Notion.

3. Cliquez sur Accès utilisateur.

4. Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tousou Désactivé pour tous, puis sur Enregistrer.

5. Pour activer ou désactiver un service pour une unité organisationnelle, sélectionnez l’unité organisationnelle et modifiez le statut du service en sélectionnant Activé ou Désactivé.

   • Si le statut du service est défini sur Héritéet que vous souhaitez conserver le paramètre mis à jour même si le paramètre parent change, cliquez sur Remplacer. Si le statut du service est défini sur Remplacé, cliquez sur Hériterpour rétablir le paramètre parent, ou sur Enregistrerpour conserver le nouveau paramètre, même si le paramètre parent est modifié. En savoir plus sur les structures organisationnelles.

6. Activation facultative du service pour un groupe d’utilisateurs. Utilisez des groupes d’accès pour activer un service pour des utilisateurs spécifiques au sein de vos unités organisationnelles ou entre elles. En savoir plus ici →

7. Vérifiez que les identifiants de messagerie de votre compte utilisateur Notion correspondent à ceux de votre domaine Google.

Pour ajouter Notion depuis le répertoire d’applications Okta :

1. Connectez-vous sur Okta en tant qu’administrateur et ouvrez la console d’administration Okta.

2. Accédez à l’onglet Application, sélectionnez Parcourir le catalogue d’applications et cherchez Notion dans le catalogue d’applications Okta.

3. Sélectionnez l’application Notion et cliquez sur Ajouter l’intégration.

4. Dans la vue Paramètres généraux, vérifiez les paramètres et cliquez sur Suivant.

5. Dans la vue Options de connexion, sélectionnez l’option SAML 2.0.

6. Au-dessus de la section Paramètres de connexion avancés, cliquez sur les métadonnées dufournisseur d’identité. Cela ouvrira un nouvel onglet dans votre navigateur. Copiez le lien de l’URL.

Pour configurer les paramètres de Notion pour SAML :

1. Dans Notion, accédez à Paramètres → Général.

2. Dans la section Domaines de messagerie autorisés, supprimez tous les domaines de messagerie.

3. Sélectionnez l’onglet Identité dans Paramètres.

4. Vérifiez un ou plusieurs domaines. Voir les instructions pour la vérification de domaine ici →

5. En cliquant sur Activer l’authentification unique SAML, vous afficherez une fenêtre contextuelle Configuration SSO SAML, qui vous permettra de terminer la configuration.

6. Dans le champ Détails du fournisseur d’identité du modèle de configuration de la SSO SAML, fournissez l’URL du fournisseur d’identité en collant l’URL des métadonnées du fournisseur d’identité que vous avez copiée à l’étape 1.

7. Cliquez sur Enregistrer les modifications.

8. Dans l’onglet Identité, copiez l’identifiant de l’espace de travail.

9. Dans la section Console d’administrateur Okta → Paramètres de connexion avancés, collez l’identifiant de l’espace de travail dans le champ Identifiant de l’organisation.

10. Dans la section Informations d’identifiants, sélectionnez E-mail dans la liste déroulante Format du nom d’utilisateur de l’application.

11. Cliquez sur Terminé.

Vous pourrez assigner des utilisateurs et des groupes à Notion dans l’onglet Okta - Attributions.

Pour créer une nouvelle intégration d’application :

1. Accédez à Applications → Applications et sélectionnez le connecteur d’applications Notion que vous avez déjà ajouté.

   • Si vous n’avez pas encore configuré le provisionnement, cliquez sur le bouton Ajouter une application, recherchez Notion dans la barre de recherche, puis sélectionnez la version SAML 2.0 de Notion. Cliquez sur Enregistrer.

2. Accédez à l’onglet SSO et copiez la valeur de l’URL de l’émetteur. Collez-la dans un endroit où vous pourrez la récupérer plus tard.

Pour configurer les paramètres SAML dans Notion :

1. Dans Notion, accédez à Paramètres → Général.

2. Dans la section Domaines de messagerie autorisés, supprimez tous les domaines de messagerie.

3. Sélectionnez l’onglet Identité dans Paramètres.

4. Vérifiez un ou plusieurs domaines. Voir les instructions pour la vérification de domaineici →

5. En cliquant sur Activer l’authentification unique SAML, vous afficherez une fenêtre contextuelle Configuration SSO SAML, qui vous permettra de terminer la configuration.

6. La fenêtre contextuelle de configuration du SSO SAML est divisée en deux parties :

   • L’URL de l’ACS (Assertion Consumer Service) doit être renseignée dans le portail de votre fournisseur d’identité (IdP).

   • Dans le champ des informations sur le fournisseur d’identité, vous devez fournir l’URL ou les métadonnées XML du fournisseur d’identité.

Pour configurer Notion dans OneLogin :

1. Copiez l’URL de l’ACS (Assertion Consumer Service) depuis Notion.

2. Revenez sur l’interface d’Administration de OneLogin.

3. Accédez à l’onglet Configuration du connecteur d’applications Notion que vous venez d’ajouter à votre compte OneLogin.

4. Depuis Notion, collez l’URL de l’ACS (Assertion Consumer Service) dans la zone de texte URL du consommateur.

5. Cliquez sur Enregistrer.

6. Revenez aux paramètres de configuration Modifier la SSO SAML.

7. Collez l’URL de l’émetteur que vous avez copiée vers l’URL OneLogin depuis l’onglet SSO dans la zone de texte URL du fournisseur d’identité. Assurez-vous que l’URL du fournisseur d’identité est sélectionnée.

Pour en savoir plus, visitez le site Web de Rippling ici →

Pour en savoir plus, visitez le site Web de TrustLogin ici →

Si vous n'utilisez pas l’un des fournisseurs SAML pris en charge par Notion, vous pouvez également configurer votre fournisseur d’identité pour utiliser SAML avec Notion.

Votre fournisseur d'identité doit prendre en charge la spécification SAML 2.0 pour être utilisé avec Notion. Pour configurer votre fournisseur d'identité :

1. Configurez l’URL ACS dans le champ URL Assertion Consumer Service (ACS) de Notion. Vous le trouverez dans Paramètres → Identité et provisionnement → Modifier la configuration SSO SAML.

2. Configurez NameID avec urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

   1. De même, configurez username avec urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

3. Configurez EntityID avec https://notion.so/sso/saml. Vous le trouverez dans Paramètres → Identité et provisionnement, en bas de la page.

4. Configurez les attributs suivants :

   • emailAddress : adresse e-mail d’un utilisateur. La plupart des fournisseurs d’identité (IdP) définissent ce paramètre par défaut.

   • (Facultatif) firstName

   • (Facultatif) lastName

   • (Facultatif) profilePicture

5. Copiez l’URL des métadonnées ou le XML des métadonnées du fournisseur d’identité pour les étapes suivantes.

Pour configurer SAML dans Notion :

1. Dans Notion, cliquez sur Paramètres → Général.

2. Dans la section Domaines de messagerie autorisés, ajoutez de nouveaux domaines de messagerie et suivez les instructions pour les vérifier. Il doit s'agir des domaines de messagerie de vos utilisateurs se connectant à Notion.

3. Sélectionnez l’onglet Identité dans Paramètres.

4. Dans les paramètres Authentification unique (SSO) SAML, activez l’option Activer l’authentification unique SAML. Cela ouvrira la fenêtre contextuelle Configuration de l’authentification unique SAML.

5. Sous Détails du fournisseur d'identité, saisissez l'URL des métadonnées ou le XML des métadonnées de votre fournisseur d'identité.

6. Vérifiez que les champs méthode de connexion, création automatique de compte et espaces de travail liés sont corrects.

Pour changer de fournisseur d'identité :

1. Accédez à Paramètres dans la barre latérale → Identité → Modifier la configuration SSO SAML.

2. Saisissez vos nouvelles informations, puis sélectionnez Enregistrer les modifications.

Lorsque vous passez à un nouveau fournisseur d’identité, suivez les conseils ci-dessous :

• N’activez pas l’authentification unique (SSO) pendant la transition pour éviter de bloquer des utilisateurs.

• Vérifiez que les adresses e-mail des utilisateurs chez le nouveau fournisseur d’identité correspondent à celles configurées dans Notion.

En cas d'erreurs lors de la configuration de la SSO SAML, vérifiez que les métadonnées de votre fournisseur d'identité (IdP), les requêtes et les réponses SAML sont des XML valides par rapport aux schémas XSD SAML. Vous pouvez le faire en utilisant cet outil en ligne.

Notez que nous ne prenons pas en charge l’élément EntitiesDescriptor. S’il est présent dans les métadonnées de votre fournisseur d’identité (IdP), extrayez l’élément EntityDescriptor contenu et réessayez.