SSO de SAML
Notion ofrece la función de inicio de sesión único (SSO) para clientes de empresa que accedan a la aplicación a través de un solo origen de autenticación. Los administradores TI gestionarán mejor el acceso de equipos y la seguridad de la información 🔐
Ir a la sección de preguntas frecuentes
Nota: Esta función solo está disponible para los usuarios del plan Business o del plan Enterprise.
Con el inicio de sesión único (SSO), puedes agilizar la gestión de usuarios en todos los sistemas. Al permitir a los usuarios finales iniciar sesión en un único punto de acceso, ya no tendrán que recordar ni gestionar múltiples contraseñas y disfrutarán de una experiencia fluida en varias aplicaciones.
Para usar el SSO con Notion:
Tu espacio de trabajo debe pertenecer a un plan Business o Enterprise.
Tu proveedor de identidades (IdP) debe ser compatible con el estándar SAML 2.0. Consulta las instrucciones para la configuración del proveedor de identidad para aplicaciones específicas aquí →
El propietario de un espacio de trabajo de Notion debe configurar el inicio de sesión único de SAML.
El propietario del espacio de trabajo debe haber verificado al menos un dominio. Descubre más sobre la verificación de dominios →
Nota: Solo los miembros del espacio de trabajo pueden usar el inicio de sesión único de SAML como método de acceso. Los invitados a páginas de un espacio de trabajo de Notion habilitado para SAML no pueden iniciar sesión con el inicio de sesión único de SAML. En su lugar, deberán usar otro método de inicio de sesión, como su nombre de usuario y contraseña, o iniciar sesión con Google o Apple.
Plan Business
Para configurar el inicio de sesión único (SSO) de SAML para un espacio de trabajo con el plan Business, el propietario del espacio de trabajo puede:
Ve a
Configuración→General.Una vez en la sección
Dominios de correo electrónico autorizados, elimina todos los dominios.Selecciona la pestaña
Identidaden laConfiguración.
Verifica uno o más dominios. Consulta las instrucciones para la verificación de dominios aquí →
Habilita
Activar inicio de sesión único (SSO) de SAMLy aparecerá la ventana modal Configuración de inicio de sesión único (SSO) de SAML para que puedas completar la configuración.La ventana de configuración del SSO de SAML está dividida en dos partes:
La
URL del ACS (Assertion Consumer Service)debe introducirse en el portal de tu proveedor de identidades (IDP).En el campo
Detalles del proveedor de identidades, debes proporcionar una URL de IDP o un XML de metadatos de IDP.
Plan Enterprise
Los propietarios de organizaciones con el plan Enterprise pueden gestionar el inicio de sesión único de SAML para su espacio de trabajo (o varios espacios de trabajo que pertenezcan a su organización) siguiendo estos pasos:
Abre el selector de espacios de trabajo y selecciona Gestionar organización. Si aún no lo has hecho, es posible que primero tengas que configurar tu organización. Descubre más aquí →
En la pestaña
Generalde la configuración de tu organización, activa la opciónActivar inicio de sesión único (SSO) de SAML.Elige un método de configuración (URL o XML de metadatos), pega la información necesaria de tu proveedor de identidades o IDP y selecciona
Guardar y habilitar.
Nota: En este momento, las organizaciones con el plan Enterprise solo pueden configurar el inicio de sesión único de SAML con un IDP.
Cuando hayas finalizado la configuración del SSO de SAML para un espacio de trabajo, los miembros podrán iniciar sesión por esa vía y con otros métodos de inicio de sesión, como con un nombre de usuario y su contraseña o la autenticación mediante Google.
Si quieres asegurarte de que los miembros solo puedan iniciar sesión mediante el inicio de sesión único de SAML y no a través de otros métodos, accede a la configuración del SSO de SAML y actualiza el Método de inicio de sesión a Solo SSO de SAML. Cuando esto ocurra, se cerrará la sesión de los usuarios del espacio de trabajo y se les pedirá que vuelvan a iniciar sesión mediante el SSO de SAML. El inicio de sesión único de SAML solo se aplicará a los miembros que usen tu dominio verificado.
Así es como se verá en el plan Business:
Así es como se verá en el plan Enterprise:
Los propietarios de la organización no tienen por qué usar el inicio de sesión único de SAML: podrán utilizar su correo electrónico y su contraseña para acceder a Notion en caso de que se produzca un fallo relacionado con el proveedor de identidades (IDP) o con SAML. Podrán iniciar sesión y deshabilitar o actualizar la configuración.
Notion admite el aprovisionamiento Just-in-Time cuando se utiliza el inicio de sesión único de SAML. Esto permite que alguien que se conecte a través del inicio de sesión único de SAML se una automáticamente al espacio de trabajo como miembro.
Para activar el aprovisionamiento Just-in-Time si tienes el plan Business, ve a Configuración→Identidad y asegúrate de que la opción Creación automática de cuentas está habilitada.
Para activar el aprovisionamiento Just-in-Time si tienes el plan Enterprise, ve a la consola de tu organización → General y asegúrate de que la opción Creación automática de cuentas está habilitada.
Nota: No recomendamos habilitar el aprovisionamiento Just-in-Time si utilizas SCIM. Cuando se dispone de un «dominio de correo electrónico permitido», los usuarios de ese dominio pueden unirse al espacio de trabajo, de manera que podría producirse un desajuste entre la suscripción a sus proveedores de identidad y a Notion.
Preguntas frecuentes
¿Por qué está de color gris la opción para activar el inicio de sesión único (SSO) de SAML?
¿Por qué está de color gris la opción para activar el inicio de sesión único (SSO) de SAML?
La razón más habitual es que todavía no hayas verificado la propiedad de un dominio. Si es el caso, observarás que tampoco figura ningún dominio en la sección de dominios de correo electrónico verificados o que, de figurar alguno, está pendiente de verificación.
Para saber cuáles son los pasos siguientes, consulta nuestras instrucciones para completar la verificación de dominios aquí →
¿Por qué no puedo editar mi configuración de inicio de sesión único (SSO) de SAML?
¿Por qué no puedo editar mi configuración de inicio de sesión único (SSO) de SAML?
Es posible que estés intentando modificar los dominios verificados o la configuración de inicio de sesión único (SSO) desde un espacio de trabajo enlazado que ya está asociado con otra configuración de SSO.
En los espacios de trabajo enlazados, todos los ajustes de gestión de dominios y de SSO son de solo lectura. Para modificar la configuración del SSO o para eliminar este espacio de trabajo de la configuración del SSO debes tener acceso al espacio de trabajo principal. El nombre del espacio de trabajo principal figura en la parte superior de la pestaña Identidad y aprovisionamientode tu Configuración.
¿Por qué tengo que verificar un dominio para poder activar el inicio de sesión único (SSO)?
¿Por qué tengo que verificar un dominio para poder activar el inicio de sesión único (SSO)?
Exigimos que se valide previamente la propiedad de un dominio de correo electrónico para garantizar que solo el propietario o propietaria de dicho dominio pueda personalizar cómo los usuarios inician sesión en Notion.
No consigo configurar el inicio de sesión único (SSO).
No consigo configurar el inicio de sesión único (SSO).
Intenta usar una URL en lugar de un XML.
Comprueba el proceso de configuración con una cuenta de prueba antes de aplicarlo para todos los usuarios.
Si lo anterior no te sirve de ayuda, ponte en contacto con el equipo de atención al cliente en la siguiente dirección:
¿Por qué tengo que eliminar los dominios de correo de la sección «Dominios de correo electrónico autorizados» antes de configurar el inicio de sesión único (SSO) de SAML en el espacio de trabajo?
¿Por qué tengo que eliminar los dominios de correo de la sección «Dominios de correo electrónico autorizados» antes de configurar el inicio de sesión único (SSO) de SAML en el espacio de trabajo?
La opción Dominios de correo electrónico autorizados de la configuración permite a los usuarios de los dominios que figuran en la lista acceder a tu espacio de trabajo sin pasar por el aprovisionamiento de tu IDP. Para garantizar que solo los usuarios aprovisionados mediante tu IDP puedan acceder al espacio de trabajo con SAML, tienes que desactivar esta función. Para ello, elimina todas las direcciones de trabajo que figuren en la lista de Dominios de correo electrónico permitidos.
¿Puedo seguir iniciando sesión en Notion si mi proveedor de identidades (IDP) está fuera de servicio?
¿Puedo seguir iniciando sesión en Notion si mi proveedor de identidades (IDP) está fuera de servicio?
Sí. Aunque se aplique SAML, los propietarios del espacio de trabajo tienen la opción de iniciar sesión con su correo electrónico. El propietario del espacio de trabajo puede cambiar la configuración de SAML para desactivar la opción Aplicar SAML, de manera que los usuarios puedan volver a iniciar sesión con el correo electrónico.
¿Cómo permito que los administradores de otros espacios de trabajo en mi configuración de SAML creen nuevos espacios de trabajo?
¿Cómo permito que los administradores de otros espacios de trabajo en mi configuración de SAML creen nuevos espacios de trabajo?
Únicamente los administradores de tu espacio de trabajo principal pueden crear nuevos espacios de trabajo con tus dominios verificados. Ponte en contacto con nuestro equipo de atención al cliente ([email protected]) para cambiar tu espacio de trabajo SAML principal a otro espacio de trabajo enlazado en tu configuración SAML.
