SAML SSOのIDプロバイダー（IdP）の設定

この説明は、Entra ID（旧称Azure）、Google、Okta、OneLoginでNotion SAML SSOを設定するためのものです。これ以外のIDプロバイダーを利用していて、設定についてサポートが必要な場合は、お知らせください。

Entra IDで新しいアプリケーションインテグレーションを作成する方法：

1. Entra IDにサインインし、左側のナビゲーションパネルで Azure Active Directory サービスを選択します。

2. エンタープライズアプリケーション に移動して、 すべてのアプリケーション を選択します。

3. 新しいアプリケーションを追加するには、 新しいアプリケーションを選択します。

4. ギャラリーから 追加 を選び、検索ボックスに 「Notion」 と入力します。結果パネルから「Notion」を選択し、アプリを追加します。数秒後に、アプリがお使いのテナントに追加されます。

SAMLインテグレーションの設定方法：

1. Azureポータルの Notion アプリケーション統合ページにある 管理 セクションでシングルサインオンを選択します。

2. シングルサインオン方式の選択 ページで SAML を選択します。

NotionでSAML設定を行う方法：

1. Notionで、 設定 → 一般に移動します。

2. 許可されたメールドメイン のセクションで、すべてのメールドメインを削除します。

3. 設定の認証タブを選択します。

4. 1つ以上のドメインを検証します。ドメイン検証の手順については、こちら →

5. SAML SSOを有効にするをオンに切り替えます。 SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

6. SAML SSOの設定モーダルは、次の2つのパートに分かれています。

   • アサーションコンシューマーサービス（ACS）URLは、IDプロバイダー（IdP）のポータルで入力します。

   • IDプロバイダーの詳細は、IdP URLまたはIdPメタデータXMLのいずれかが必要となるフィールドです。

Entra IDのNotionで設定する方法：

1.  SAMLによるシングルサインオンのセットアップ ページで、 基本的なSAML構成 の鉛筆のアイコンをクリックして設定を編集します。

2. 基本的なSAML構成 のセクションで、アプリケーションをIDP開始モードで構成する場合は、次のフィールドに値を入力します。

   • 識別子（エンティティID） のテキストボックスに、URL「https://www.notion.so/sso/saml」を入力します。

   • 応答URL（Assertion Consumer Service URL）テキストボックスに、左側のサイドバーの設定メニューにある認証とプロビジョンタブをクリックすると表示されるNotionのACS URLを入力します。

   • サインオンURL のテキストボックスに、URL「https://www.notion.so/login」を入力します。

3. ユーザー属性とクレームセクションで、必要なクレームを設定します：

   • 一意のユーザー識別子 (名前ID): user.userprincipalname[nameid-format:emailAddress]

   • firstName： user.givenname

   • lastName： user.surname

   • email： user.mail

4. SAMLによるシングルサインオンのセットアップページの SAML署名証明書 セクションで、アプリのフェデレーションメタデータURL の隣にあるコピーボタンをクリックします。

5. Notionで設定 → 認証に移動し、先にコピーした アプリのフェデレーションメタデータURL を IdPメタデータURL のテキストボックスに貼り付けます。 IDプロバイダーのURL が選択されていることを確認します。

ユーザーをNotionに割り当てる方法：

1. Azure portalで エンタープライズアプリケーション を選択し、 すべてのアプリケーション を選択します。アプリケーションの一覧で 「Notion」 を選択します。

2. アプリケーションの概要ページで 管理 セクションを見つけ、 ユーザーとグループ を選択します。

3. ユーザーの追加 を選択し、割り当ての追加 ダイアログで ユーザーとグループ を選択します。

4. ユーザーとグループ ダイアログの ユーザー の一覧からユーザー名を選択し、画面の下部にある 選択 ボタンをクリックします。

5. ユーザーにロールが割り当てられることが想定される場合は、ロールの選択ドロップダウンから選択できます。このアプリに対してロールが設定されていない場合は、デフォルトアクセス ロールが選択されています。

6. 割り当ての追加ダイアログで 割り当て をクリックします。

Google IDプロバイダー（IdP）から情報を取得する方法：

1. 適切なアクセス許可を持つユーザーアカウントが必要なため、管理者アカウントにサインインしてください。

2. 管理コンソールで、メニュー → アプリ →ウェブとモバイルアプリに移動します。

3. 検索フィールドに「Notion」と入力し、Notion SAMLアプリを選択します。

4. Google IDプロバイダー の詳細ページで、IdPメタデータファイルをダウンロードします。

5. 互換性のあるエディターで、GoogleIDPMetadata.xml ファイルを開き、ファイルの中身を選択してコピーします。

6. 管理者コンソールを開いたままにします。Notionアプリで次のステップを実行した後、設定ウィザードを続行します。

SAMLサービスプロバイダーとしてNotionを設定する方法：

1. Notionで、 設定 → 一般に移動します。

2. 許可されたメールドメイン のセクションで、すべてのメールドメインを削除します。

3. 設定の認証タブを選択します。

4. 新しいドメインを追加して、検証します。これはGoogle Workspaceドメインと同じである必要があります。

5. SAMLシングルサインオン（SSO）設定で、 SAML SSOを有効にするをオンに切り替えます。そうすると、 SAML SSO設定ダイアログが開きます。

6. ダイアログで、次の操作を行います。

   1. IDプロバイダーの詳細 で、IDPメタデータXML を選択します。

   2. 上記ステップ1でコピーした「GoogleIDPMetadata.xml」のファイルの中身を、IDPメタデータXMLのテキストボックスに貼り付けます。

   3. アサーションコンシューマーサービス（ACS）URLをコピーして保存します。以下のステップ3でGoogle側の管理コンソールの設定を完了する際に、これが必要になります。

   4. 変更を保存 をクリックします。

7. ログイン方法、アカウントの自動作成、リンクされたワークスペースなどの他のオプションに、設定に必要な値が入力されていることを確認します。

管理コンソールでSSO設定を完了する方法：

1. 管理コンソールのブラウザタブに戻ります。

2. Google IDプロバイダーの詳細ページで、 続行をクリックします。

3. サービスプロバイダーの詳細ページで、ACS URLを上記ステップ2でコピーしたACS URLに置き換えます。

4. 続行 をクリックします。

5. 属性のマッピングページで、 フィールドを選択メニューをクリックし、以下のGoogleディレクトリ属性を、対応するNotionの属性にマッピングします。名、姓、メールアドレスは、必須属性であることにご留意ください。

   

   備考： profilePhoto属性を使用して、Notionにユーザーの画像を追加できます。これを行うには カスタム属性を作成 し、画像のURLパスをユーザープロファイルに入力、その後カスタム属性をprofilePhotoにマッピングします。

6. 必要に応じて、マッピングを追加をクリックして、必要なマッピングを追加します。

7. 完了 をクリックします。

Notionを有効にする方法：

1. 管理コンソールで、 メニュー→アプリ→ウェブとモバイルアプリに移動します。

2. Notionを選択します。

3. ユーザーアクセスをクリックします。

4. 組織内のすべてのユーザーに対してサービスの有効・無効を設定するには、 オン（すべてのユーザー）または オフ（すべてのユーザー）を選択し、 保存をクリックします。

5. 任意で組織部門のサービスの有効・無効を設定するには、組織部門を選択し、オンまたは オフを選択してサービスのステータスを変更します。

   • サービスのステータスが継承になっており、親組織の設定が変更された場合でも更新された設定を維持したい場合は、 上書きをクリックします。サービスのステータスが上書きされましたになっている場合は、継承をクリックして親組織と同じ設定に戻すか、保存をクリックし、親の設定が変更された場合でも新しい設定を維持します。詳しくはこちら： 組織構造について。

6. 任意で、ユーザーグループに対してサービスをオンにします。アクセス グループを使って、組織部門全体または組織部門内の特定のユーザーに対してサービスを有効にします。詳しくはこちら →

7. NotionのユーザーアカウントのメールIDがGoogleドメインのメールIDと一致していることを確認してください。

OktaのアプリケーションディレクトリからNotionを追加するには：

1. Oktaに管理者としてログインし、Okta管理コンソールに移動します。

2. アプリケーションタブに移動し、アプリカタログを参照選択して、OktaのアプリカタログからNotionを検索します。

3. Notionアプリを選択し、インテグレーションの追加 をクリックします。

4. 一般設定 で設定を確認し、 次へをクリックします。

5. サインオンのオプション 画面で、SAML 2.0 を選択します。

6. 高度なサインオン設定セクションで、アイデンティティプロバイダーのメタデータをクリックします。ブラウザの新しいタブが開くので、そのURLのリンクをコピーします。

SAMLのNotionを設定する方法：

1. Notionで、 設定 → 一般に移動します。

2. 許可されたメールドメイン のセクションで、すべてのメールドメインを削除します。

3. 設定の認証タブを選択します。

4. 1つ以上のドメインを検証します。ドメイン検証の手順については、こちらをご覧ください →

5. SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

6. SAML SSO構成モデルの アイデンティティプロバイダーの詳細フィールドに、ステップ1でコピーした アイデンティティプロバイダーのメタデータのURLをペーストし、アイデンティティプロバイダーのURLを入力します。

7. 変更を保存をクリックします。

8. 認証 タブで、 ワークスペースID識別子をコピーします。

9. Okta管理コンソール → 高度なサインオン設定セクションに移動し、 組織IDのテキストボックスにワークスペースIDのテキストボックスにワークスペースIDを貼り付けます。

10. 資格情報の詳細セクションで、アプリケーションユーザー名フォーマットのドロップダウンメニューからメールを選択します。

11. 完了 をクリックします。

Okta - 割り当てタブで、Notionにユーザーとグループを割り当てることができます。

新しいアプリケーションインテグレーションを作成する方法：

1. アプリケーション → アプリケーションに移動し、追加したNotionアプリコネクターを選択します。

   • プロビジョニングをまだ設定していない場合は、アプリの追加ボタンをクリックし、検索ボックスでNotionを検索し、NotionのSAML 2.0バージョンを選択します。保存 をクリックします。

2. SSOタブに移動し、Issuer URL(発行者URL)の値をコピーします。後で利用できるように、どこかに貼り付けておきます。

NotionでSAML設定を行う方法：

1. Notionで、 設定 → 一般に移動します。

2. 許可されたメールドメイン のセクションで、すべてのメールドメインを削除します。

3. 設定の認証タブを選択します。

4. 1つ以上のドメインを検証します。ドメイン検証の手順については、こちら →

5. SAML SSOを有効にするをオンに切り替えると、SAML SSO設定ウインドウが自動的に表示され、設定を完了するよう促されます。

6. SAML SSOの設定モーダルは、次の2つのパートに分かれています。

   • アサーションコンシューマーサービス（ACS）URLは、IDプロバイダー（IdP）のポータルで入力します。

   • IDプロバイダーの詳細は、IdP URLまたはIdPメタデータXMLのいずれかが必要となるフィールドです。

OneLoginでNotionを設定する方法：

1. Notionから アサーションコンシューマーサービス（ACS）URL をコピーします。

2. OneLoginの管理UIに戻ります。

3. OneLoginアカウントに先ほど追加したNotionアプリコネクターの 構成 タブに移動します。

4. Notionからの アサーションコンシューマーサービス（ACS）URL を コンシューマーURL のテキストボックスに貼り付けます。

5. 保存 をクリックします。

6. NotionのSAML SSO設定を編集に戻ります。

7. OneLogin URLの SSO タブからコピーした 発行者URL を IDプロバイダーのURL のテキストボックスに貼り付けます。IDプロバイダーのURLが選択されていることを確認します。

詳細なドキュメントは、RipplingのWebサイトをご確認ください。こちら →

詳細なドキュメントは、TrustLoginのWebサイトをご確認ください。 こちら →

NotionがサポートしているSAMLプロバイダーを使用していない場合は、NotionでSAMLを使用するようにIDPを設定することもできます。

IDPが、Notionで使用されているSAML 2.0の仕様をサポートしている必要があります。IdPを設定する方法：

1. ACS URLをNotionのアサーションコンシューマーサービス（ACS）URLの値に設定します。これは、設定 → 認証とプロビジョン → SAML SSOの設定を編集 にあります。

2. NameID を urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress に設定します。

   1. 同様に、username を urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress に設定します。

3. エンティティID を https://notion.so/sso/saml に設定します。これは、設定 → 認証とプロビジョン の下部にあります。

4. 以下の属性を設定します。

   • emailAddress： ユーザーのメールアドレス。ほとんどのIDPでは、これがデフォルトで設定されています。

   • （任意）firstName

   • （任意）lastName

   • （任意）profilePicture

5. 次のステップで使うため、IDPメタデータURLまたはIDPメタデータXMLをコピーします。

NotionでSAMLを設定する方法：

1. Notionで、設定 → 一般をクリックします。

2. 許可されたメールドメインのセクションで、新しいメールドメインを追加し、プロンプトに従ってドメインを検証します。これらのドメインは、Notionにログインしているユーザーのメールドメインである必要があります。

3. 設定の認証タブを選択します。

4. SAMLシングルサインオン（SSO） 設定で、 SAML SSOを有効にする をオンに切り替えます。そうすると、 SAML SSO設定ダイアログが開きます。

5. IDプロバイダーの詳細 で、 IDPのIDPメタデータURLまたはIDPメタデータXMLを入力します。

6. ログイン方法、アカウントの自動作成、リンクされたワークスペース に必要な値を入力します。

IDプロバイダーを切り替える方法：

1. サイドバーの設定に移動 → ID → SAML SSO設定を編集します。

2. 新しい情報を入力したら、変更を保存をクリックします。

新しいIDプロバイダーに切り替える際は、以下を行うことをお勧めします。

• 移行中はSSOを強制しない（ユーザーがロックアウトされるリスクを最小限に抑えるため）

• 新しいIDプロバイダーでのユーザーのメールアドレスが、Notionのユーザーのメールアドレスと一致するようにする

SAML SSOを設定中にエラーが発生した場合は、IdPのメタデータ、SAMLリクエストとレスポンスが、SAML XSDスキーマに対して有効なXMLであることを確認してください。このオンラインツールを使って確認できます。

EntitiesDescriptor 要素はサポートされていないため、ご注意ください。IdPのメタデータにこの要素が含まれている場合は、含まれているEntityDescriptor要素を取り出して、もう一度お試しください。