Notion
Dieser Leitfaden erklärt Ihnen, wie Sie die Einrichtung der Single Sign-On (SSO)-Authentifizierung zwischen SmartLink und Notion mithilfe von SAML 2.0 durchführen.
Voraussetzungen
- Notion Enterprise-Plan
- Administratorzugriff auf Notion
- Verifizierte E-Mail-Domain in Notion
- Anwendung in SmartLink mit SAML2 konfiguriert
Hinweis: SAML SSO ist nur mit dem Enterprise-Plan von Notion verfügbar.
Konfiguration in SmartLink
1. Anwendung erstellen
- Melden Sie sich als Administrator bei SmartLink an
- Gehen Sie zu Anwendungen → Hinzufügen
- Erstellen Sie eine neue Anwendung:
- Name: Notion
- URL:
https://notion.so - Beschreibung: All-in-One-Arbeitsbereich für Notizen und Zusammenarbeit
- Symbol: Wählen Sie das Notion-Symbol aus
2. SAML2 konfigurieren
- Im Tab Authentifizierung
- Wählen Sie SAML2
- Konfigurieren Sie die folgenden Parameter:
- Entity-ID:
https://[your-smartlink].link.vaultys.org/[appid] - ACS-URL:
https://www.notion.so/sso/saml - Format NameID:
emailAddress - App-ID:
[appid](automatisch generierte eindeutige Kennung)
- Entity-ID:
3. Metadaten abrufen
Notieren Sie sich die folgenden URLs:
- IdP-Metadaten:
https://[your-smartlink].link.vaultys.org/api/saml2/[appid]/metadata - SSO-URL:
https://[your-smartlink].link.vaultys.org/api/saml2/sso/[appid] - SLO-URL:
https://[your-smartlink].link.vaultys.org/api/saml2/slo/[appid] - Entity-ID:
https://[your-smartlink].link.vaultys.org/[appid] - X.509-Zertifikat: Von SmartLink herunterladen
Konfiguration in Notion
1. Zugriff auf SSO-Einstellungen
- Melden Sie sich als Administrator bei Notion an
- Gehen Sie zu Einstellungen & Mitglieder
- Klicken Sie auf Sicherheit & Identität
- Klicken Sie im Abschnitt SSO auf SAML konfigurieren
2. SAML-Konfiguration
Füllen Sie die folgenden Felder aus:
Konfiguration des Identitätsanbieters
- SSO-URL des Identitätsanbieters:
https://[your-smartlink].link.vaultys.org/api/saml2/sso/[appid] - Identitätsanbieter-Aussteller:
[appid] - Öffentliches Zertifikat: Fügen Sie das X.509-Zertifikat von SmartLink ein
Konfiguration des Dienstanbieters
- Entity-ID:
notion.so(von Notion generiert) - ACS-URL:
https://www.notion.so/sso/saml(von Notion generiert)
3. Attributkonfiguration
Konfigurieren Sie das Mapping der SAML-Attribute:
| Notion-Attribut | SAML-Attribut | Erforderlich |
|---|---|---|
email | ✅ | |
| Vorname | firstName | ✅ |
| Nachname | lastName | ✅ |
| Anzeigename | displayName | ❌ |
4. Erweiterte Konfiguration
Automatische Bereitstellung
- Automatische Bereitstellung: Aktiviert
- Benutzerinformationen bei Anmeldung aktualisieren: Aktiviert
- Benutzer bei SCIM-Deprovision entfernen: Gemäß Ihrer Richtlinie
Zugelassene Domains
- Fügen Sie Ihre Unternehmensdomains hinzu
- Überprüfen Sie sie über DNS (TXT-Eintrag)
- Aktivieren Sie SSO erzwingen für diese Domains
Konfiguration der Arbeitsbereiche
Organisation der Arbeitsbereiche
workspaces:
- name: "Engineering"
default_access: "member"
groups:
- "smartlink-engineering"
- "smartlink-developers"
- name: "Marketing"
default_access: "guest"
groups:
- "smartlink-marketing"
- name: "HR"
default_access: "no_access"
groups:
- "smartlink-hr"
- "smartlink-management"
Standardberechtigungen
Konfigurieren Sie in Notion:
- Einstellungen & Mitglieder → Workspace-Einstellungen
- Standardberechtigungen:
- Mitglieder können einladen: ❌
- Mitglieder können Gruppen erstellen: ❌
- Mitglieder können exportieren: ✅
- Mitglieder können die API verwenden: ✅
Gruppen- und Berechtigungsverwaltung
SCIM-Konfiguration (optional)
Für eine automatische Gruppensynchronisierung:
{
"scim_endpoint": "https://www.notion.so/scim/v2",
"scim_token": "bearer_token_xxxxxx",
"group_mappings": {
"smartlink-admins": "workspace_admin",
"smartlink-editors": "content_editor",
"smartlink-viewers": "content_viewer"
}
}
Verfügbare Rollen
| Rolle | Berechtigungen |
|---|---|
| Arbeitsbereichsbesitzer | Vollzugriff, Abrechnungsverwaltung |
| Administrator | Mitgliederverwaltung und Einstellungen |
| Mitglied | Erstellung und Bearbeitung von Inhalten |
| Gast | Eingeschränkter Zugriff auf bestimmte Seiten |
Konfigurationstest
1. Verbindungstest
- Öffnen Sie ein privates Browserfenster
- Gehen Sie zu notion.so/login
- Klicken Sie auf Mit SAML SSO fortfahren
- Geben Sie Ihre Unternehmense-Mailadresse ein
- Sie werden zu SmartLink weitergeleitet
- Nach der Authentifizierung gelangen Sie zu Notion
2. Tests auf Anwendungen
- Desktop: Die Desktop-Anwendung unterstützt SSO über den Browser
- Mobile: iOS und Android unterstützen SSO
- Web Clipper: Browsererweiterung kompatibel mit SSO
3. API-Überprüfung
// Test der Notion-API mit Authentifizierung
const { Client } = require('@notionhq/client');
const notion = new Client({
auth: process.env.NOTION_TOKEN,
});
async function testConnection() {
const response = await notion.users.me();
console.log(response);
}
Integration mit der Notion-API
Konfiguration von Integrationen
- Einstellungen & Mitglieder → Meine Verbindungen
- Entwickeln oder verwalten Sie Integrationen
- Erstellen Sie eine neue Integration:
{
"name": "SmartLink Integration",
"capabilities": {
"read_content": true,
"update_content": true,
"insert_content": true
},
"oauth_redirect_uri": "https://[your-smartlink].link.vaultys.org/callback"
}
Webhooks für die Synchronisierung
// Webhook zur Synchronisierung von Änderungen
app.post('/webhook/notion', async (req, res) => {
const { type, data } = req.body;
switch(type) {
case 'page.created':
await syncNewPage(data);
break;
case 'database.updated':
await syncDatabase(data);
break;
}
res.status(200).send('OK');
});
Fehlerbehebung
Fehler "SAML-Konfiguration ist ungültig"
Problem: Falsche SAML-Konfiguration
Lösung:
- Stellen Sie sicher, dass die Entity-ID
[appid]ist - Überprüfen Sie das Format des X.509-Zertifikats (ohne zusätzliche Leerzeichen oder Zeilenumbrüche)
- Stellen Sie sicher, dass die ACS-URL lautet:
https://www.notion.so/sso/saml
Fehler "Benutzer-E-Mail-Domain nicht autorisiert"
Problem: Die E-Mail-Domain ist nicht verifiziert
Lösung:
- In Notion → Sicherheit & Identität → Domainverwaltung
- Fügen Sie Ihre Domain hinzu und überprüfen Sie sie
- Fügen Sie den von Notion bereitgestellten DNS-TXT-Eintrag hinzu
Benutzer werden nicht automatisch erstellt
Problem: Die automatische Bereitstellung funktioniert nicht
Lösung:
- Überprüfen Sie, ob die Automatische Bereitstellung aktiviert ist
- Stellen Sie sicher, dass die erforderlichen SAML-Attribute vorhanden sind:
emailfirstNamelastName
- Überprüfen Sie die SAML-Logs in Notion
Problem mit der Gruppensynchronisierung
Problem: Gruppen werden nicht korrekt zugeordnet
Lösung:
<!-- Richtige SAML-Aussage für Gruppen -->
<saml:Attribute Name="groups">
<saml:AttributeValue>smartlink-notion-admins</saml:AttributeValue>
<saml:AttributeValue>smartlink-notion-users</saml:AttributeValue>
</saml:Attribute>
Sicherheit
Best Practices
- SSO erzwingen: Aktivieren Sie die SSO-Pflicht für alle Benutzer
- Sitzungszeitlimit: Legen Sie eine angemessene Sitzungsdauer fest (empfohlen: 8 Stunden)
- 2FA-Backup: Behalten Sie ein Admin-Konto mit 2FA als Backup
- Audit-Logs: Überprüfen Sie regelmäßig die Logs unter Einstellungen → Audit-Log
- API-Token: Verwalten Sie API-Token für Integrationen separat
Erweiterte Sicherheitskonfiguration
{
"security_settings": {
"enforce_sso": true,
"session_duration": "8h",
"allow_public_sharing": false,
"disable_guests": false,
"disable_export": false,
"watermark_exports": true,
"audit_log_retention": "365d"
}
}
Compliance und Datenschutz
- DSGVO: Notion ist DSGVO-konform
- SOC 2: Zertifizierung verfügbar
- Verschlüsselung: AES 256 im Ruhezustand, TLS 1.2+ im Transit
- Datenlokalisierung: Wählen Sie Ihre Region (US/EU)
Migration bestehender Benutzer
Migrationskript
import requests
import csv
def migrate_notion_users(csv_file):
"""Benutzer zu SSO migrieren"""
with open(csv_file, 'r') as file:
reader = csv.DictReader(file)
for row in reader:
user_email = row['email']
# SSO-Einladung senden
send_sso_invitation(user_email)
# Alten Zugriff deaktivieren
disable_password_login(user_email)
print(f"Migrated: {user_email}")
def send_sso_invitation(email):
# Logik zum Senden der Einladung
pass
Benachrichtigung an Benutzer
E-Mail-Vorlag für die Migration:
Betreff: Migration zu Single Sign-On (SSO) für Notion
Hallo,
Ab dem [DATUM] migrieren wir zu Single Sign-On für Notion.
Erforderliche Aktionen:
1. Verwenden Sie Ihre geschäftliche E-Mail-Adresse zur Anmeldung
2. Sie werden zu SmartLink weitergeleitet
3. Verwenden Sie Ihre üblichen SmartLink-Anmeldeinformationen
Vorteile:
- Nur ein Passwort zu merken
- Erhöhte Sicherheit
- Vereinfachter Zugriff
Support: support@unternehmen.com