Se sua organização exige autenticação centralizada, o Notion oferece suporte a Login Único (SSO) para contas de espaço de trabalho. Com o SSO, os usuários acessam o Notion usando o provedor de identidade da empresa, sem necessidade de senha separada. Este artigo explica os pré-requisitos, as etapas de configuração para provedores SAML 2.0 e OIDC, e erros comuns a evitar.
Principais pontos: Configuração de SSO no Notion para Espaços de Trabalho Empresariais
- Settings & Members > Settings > Security & SSO: O ponto de partida para configurar o SSO em um espaço de trabalho do Notion.
- Provedor SAML 2.0 ou OIDC: Você precisa de um provedor de identidade como Okta, Azure AD ou Google Workspace antes de começar.
- Provisionamento SCIM: Após ativar o SSO, habilite o SCIM para adicionar e remover usuários automaticamente do seu espaço de trabalho.
O que é o SSO do Notion e o que você precisa antes da configuração
O Login Único permite que os usuários autentiquem através do provedor de identidade da sua empresa. O Notion suporta os protocolos SAML 2.0 e OIDC. Quando o SSO está ativado, os usuários são redirecionados para a página de login do seu IdP e não podem entrar com senha diretamente. Apenas proprietários do espaço de trabalho no plano Enterprise podem configurar o SSO. Você precisa de uma assinatura Business ou Enterprise e de um provedor de identidade que suporte SAML 2.0 ou OIDC. O Notion também oferece suporte ao provisionamento Just-in-Time, que cria novos membros do espaço de trabalho automaticamente quando eles autenticam pela primeira vez.
Antes de começar, confirme que seu provedor de identidade tem o aplicativo Notion ou um aplicativo SAML personalizado configurado. Você precisará do seguinte do seu IdP: a URL SSO SAML, o entity ID ou issuer URL, e o certificado X.509 para assinar as asserções. Para OIDC, você precisa do client ID, client secret e o endpoint de configuração well-known. O Notion também exige que você mapeie o atributo de email do seu IdP para o campo de email do usuário no Notion.
Passos para configurar SSO SAML 2.0 no Notion
- Abra as configurações do espaço de trabalho
Vá para Settings & Members na barra lateral esquerda. Depois selecione Settings no menu superior e clique na aba Security & SSO. - Escolha o provedor SSO
Clique no botão Configure SSO. Selecione SAML 2.0 na lista suspensa. - Insira os detalhes do IdP
Cole a URL SSO SAML, o entity ID e o certificado X.509 do seu provedor de identidade nos campos correspondentes no Notion. - Defina o mapeamento de atributos
O Notion espera o atributo de email do seu IdP. Se o seu IdP usar um nome de declaração diferente, insira o nome correto no campo Email Attribute. - Ative o provisionamento Just-in-Time (opcional)
Ative a opção para criar automaticamente membros do espaço de trabalho quando eles autenticarem pela primeira vez. Isso é recomendado para novas equipes. - Teste a configuração
Clique no botão Test SSO Connection. O Notion tentará autenticar usando seu IdP. Se o teste falhar, verifique a mensagem de erro para campos ausentes ou dados de certificado incorretos. - Salve e force o SSO
Após um teste bem-sucedido, clique em Save. Opcionalmente, você pode ativar Enforce SSO para impedir login baseado em senha para todos os membros.
Passos para configurar SSO OIDC no Notion
- Abra as configurações de Security & SSO
Navegue até Settings & Members > Settings > Security & SSO. - Selecione o provedor OIDC
Clique em Configure SSO e escolha OpenID Connect na lista suspensa. - Insira os detalhes OIDC
Cole o Client ID, Client Secret e a URL de configuração well-known do seu provedor de identidade. O Notion buscará automaticamente os endpoints de autorização, token e userinfo. - Mapeie o atributo de email
Insira o nome da declaração que contém o email do usuário, geralmente email ou upn. - Teste e salve
Clique em Test SSO Connection. Após um teste bem-sucedido, clique em Save. Force o SSO se necessário.
Erros comuns na configuração de SSO e como evitá-los
Usuários não conseguem fazer login após o SSO ser forçado
Isso geralmente acontece quando o atributo de email no seu IdP não corresponde ao email já armazenado no Notion. Verifique se o atributo enviado pelo seu IdP corresponde ao email principal de cada membro do espaço de trabalho. Se você usar provisionamento Just-in-Time, o email deve ser idêntico ao do seu diretório.
Teste de SSO falha com erro de certificado
O certificado X.509 deve estar no formato PEM e incluir as linhas BEGIN CERTIFICATE e END CERTIFICATE. Copie o bloco inteiro do certificado do seu IdP. Alguns IdPs fornecem o certificado em formato base64 sem linhas de cabeçalho; adicione os cabeçalhos PEM manualmente.
Provisionamento SCIM não sincroniza grupos de usuários
O SSO sozinho não sincroniza associações de grupo. Você deve ativar o SCIM separadamente no Notion e configurar o endpoint SCIM no seu IdP. O SCIM requer um token bearer gerado no Notion em Security & SSO > SCIM. Após ativar o SCIM, a associação de grupo é sincronizada automaticamente.
Usuários veem uma página em branco após login no IdP
Isso indica uma incompatibilidade de URI de redirecionamento. No seu IdP, defina a URI de redirecionamento como https://www.notion.so/sso/saml ou https://www.notion.so/sso/oidc dependendo do protocolo. Para OIDC, a URI de redirecionamento deve corresponder exatamente ao que está configurado no aplicativo do seu IdP.
Protocolos SSO do Notion: SAML 2.0 vs OIDC Comparados
| Item | SAML 2.0 | OIDC |
|---|---|---|
| Tipo de protocolo | Asserção baseada em XML | Token baseado em JSON |
| Requisitos do IdP | URL SSO, entity ID, certificado X.509 | Client ID, client secret, URL well-known |
| Gerenciamento de sessão | Logout iniciado pelo IdP suportado | Logout iniciado pelo RP via endpoint de fim de sessão |
| Provisionamento Just-in-Time | Suportado | Suportado |
| Compatibilidade com SCIM | Funciona com SCIM v2 | Funciona com SCIM v2 |
| Melhor para | IdPs empresariais como Okta, Azure AD | IdPs nativos da nuvem como Google Workspace |
Após ativar o SSO, você pode habilitar o provisionamento SCIM em Security & SSO > SCIM. O SCIM automatiza a integração e desligamento de usuários. Você também pode definir uma duração de tempo limite de sessão na mesma página de configurações. Teste o fluxo completo fazendo um novo usuário entrar a partir de uma janela de navegador privada. Se o usuário for criado automaticamente e puder acessar o espaço de trabalho, a configuração está completa.