SAML SSO

Avec la SSO, vous pouvez rationnaliser la gestion des utilisateurs sur l’ensemble des systèmes et éliminer le besoin pour les utilisateurs finaux de se souvenir et de gérer plusieurs mots de passe. Ils peuvent se connecter à un point d’accès unique et profiter d’une expérience fluide sur plusieurs applications.

Pour utiliser la SSO avec Notion :

• Votre espace de travail doit avoir un forfait Business ou Entreprise.

• Votre fournisseur d’identité (IDP) doit prendre en charge la norme SAML 2.0. Voir les instructions concernant la configuration du fournisseur d’identité pour des applications spécifiques ici →

• Un propriétaire d’espace de travail doit configurer la SSO SAML pour l’espace de travail Notion.

• Au moins un domaine doit être vérifié par un propriétaire d’espace de travail. En savoir plus sur la vérification des domaines →

Pour configurer la SSO SAML dans un espace de travail du forfait Business, un·E propriétaire de l’espace peut :

1. Cliquez sur Paramètres → Général.

2. Dans la section Domaines de messagerie autorisés, supprimez tous les domaines de messagerie.

3. Sélectionnez l’onglet Identité dans les paramètres.

   

4. Vérifiez un ou plusieurs domaines. Voir les instructions pour la vérification de domaine →

5. Activez l’option Activer la SSO SAML, ce qui affichera automatiquement la fenêtre contextuelle Configuration SSO SAML, qui vous invitera à terminer la configuration.

6. La fenêtre contextuelle de configuration du SSO SAML est divisée en deux parties :

   • L’URL de l’ACS (Assertion Consumer Service) doit être renseignée dans le portail de votre fournisseur d’identité (IdP).

   • Dans le champ des informations sur le fournisseur d’identité, vous devez fournir l’URL ou les métadonnées XML du fournisseur d’identité.

Les propriétaires d’organisations du forfait Enterprise peuvent gérer la SSO SAML pour leur espace de travail (ou plusieurs espaces de travail appartenant à leur organisation) en suivant ces étapes :

1. Ouvrez le sélecteur d’espaces de travail et sélectionnez Gérer l’organisation. Vous devrez peut-être d’abord configurer l’organisation si ce n’est pas déjà fait. En savoir plus ici →

2. Dans l’onglet Général des paramètres de votre organisation, cliquez sur Activer la SSO SAML.

3. Choisissez une méthode de configuration (URL ou métadonnées XML), collez les informations requises de votre fournisseur d’identité (IdP), puis sélectionnez Enregistrer et activer.

Une fois que vous aurez configuré la SSO SAML pour un espace de travail, les membres pourront se connecter par le biais de la SSO SAML en plus des autres méthodes de connexion (e-mail et mot de passe, authentification Google ou Apple).

Pour empêcher les utilisateurs et utilisatrices de se connecter par un moyen autre que la SSO SAML, accédez à vos paramètres SSO SAML et modifiez la méthode de connexion en SSO SAML uniquement. Dans ce cas, les utilisateurs et utilisatrices de l’espace de travail seront déconnecté·es et devront se reconnecter en utilisant la SSO SAML. Le SSO SAML ne peut être imposé que pour les membres qui utilisent votre domaine vérifié.

Voici à quoi cela ressemble dans le forfait Business :

Voici à quoi cela ressemble dans le forfait Enterprise :

En cas de problème avec le fournisseur d’identité ou la configuration SAML, certain·es utilisateurs ou utilisatrices pourront contourner la SSO SAML en se connectant avec leur adresse e-mail et leur mot de passe. Ils pourront ainsi se connecter, et désactiver ou mettre à jour leur configuration.

• Si une configuration SAML est gérée au niveau de l’organisation, seul·es les propriétaires de l’organisation pourront contourner la SSO.

• Si une configuration SAML est gérée au niveau de l’espace de travail, seul·es les propriétaires de l’espace de travail pourront contourner la SSO.

L’authentification SAML au niveau de l’espace de travail permet aux entreprises d’exiger la SSO SAML pour accéder à l’espace de travail, quel que soit le domaine de messagerie de l’utilisateur ou de l’utilisatrice. Cela permet de travailler avec des personnes extérieures de manière plus sécurisée dans votre espace de travail.

Pour activer l’authentification SAML au niveau de l’espace de travail :

1. Ouvrez le sélecteur d’espaces de travail et sélectionnez Gérer l’organisation. Vous devrez peut-être d’abord configurer l’organisation si ce n’est pas déjà fait. En savoir plus ici →

2. Dans l’onglet Général des paramètres de votre organisation, cliquez sur Exiger l’authentification SAML pour accéder aux espaces de travail.

   

Lorsque cette option est activée, les membres des espaces de travail concernés qui n’ont pas encore été autorisés par le fournisseur d’identité de votre organisation verront un écran d’authentification supplémentaire. Ils devront passer par la SSO SAML pour continuer à consulter les espaces de travail de votre organisation.

Notion prend en charge le provisionnement juste-à-temps (aussi appelé Just-in-Time ou JIT) lorsque vous utilisez le SSO SAML. Cela permet à toute personne se connectant via la SSO SAML de rejoindre automatiquement l’espace de travail en tant que membre.

Pour activer le provisionnement juste-à-temps si vous disposez du forfait Business, accédez aux Paramètres→Identité et assurez-vous que la création automatique de compte est activée.

Pour activer le provisionnement juste-à-temps si vous disposez du forfait Entreprise, accédez à la console de votre organisation → Général et assurez-vous que la création automatique de compte est activée.