24/10/18 10:19

【Notion】Entra IDとNotion間でSAML SSOを設定する

はじめに

NotionはSAML2.0に対応しており、IdP製品と連携してSAML SSO（シングルサインオン）を設定することができます。
今回はEntra IDとNotion間でSAML SSOを設定してみたので、手順をご紹介していきたいと思います。

NotionのビジネスプランとエンタープライズプランではSAML2.0に対応しており、Entra ID、Okta、OneLoginといったIdP製品とSAML SSOを設定することができます。

SAML SSOを設定することで、ユーザーがパスワードの使い回しをすることを防いだり、
アプリケーションごとにセキュリティポリシーのばらつきが発生することを防止することができます。
ユーザーと管理者の双方にとって導入するメリットが大きい機能となります。

過去に以下のブログでOktaとのSAML SSOの設定手順もご紹介しています。

設定手順としては以下の流れになります。

NotionとEntra ID側でそれぞれ公式手順も公開されているので、こちらもご参照ください。

手順を進めるにあたってはNotion側のシングルサインオンURLとEntra ID側のフェデレーションメタデータURLをそれぞれ設定する必要があります。
Entra IDを別部門等で管理している場合には、あらかじめ社内で確認や調整をしておくとスムーズに進めることができますのでご確認ください。

SAML SSOの設定を進めるためには所有するドメインの検証を実施する必要があります。
検証の手順は以下の記事で紹介していますのでご参考ください。

Entra IDの設定を進めるにあたり、Notion側の応答URLの値が必要となるので先に値を取得します。

この時点ではNotion側の設定をこれ以上進めることはできないので一旦キャンセルで画面を閉じます。

続いてEntra ID側の設定を進めます。

Microsoft Entra 管理センターにログイン
サイドバーのID > アプリケーションからエンタープライズアプリケーションをクリックし、
すべてのアプリケーションの画面に進んだ後、新しいアプリケーションをクリック
検索フィールドに「notion」と入力し、検索結果に表示された「Notion」のアプリケーションをクリック
任意のアプリケーションの名前を入力して作成をクリック
すべてのアプリケーションの画面を確認すると、アプリケーションの一覧が表示される
→一覧から「Notion」をクリック
シングルサインオンをクリックしSAMLをクリック
「基本的なSAML構成」の編集をクリック
「応答URL(Assertion Consumer Service URL)」の項目で応答URLの追加をクリック
→現れた入力フィールドにNotion側の手順でコピーした「アサーション・コンシューマー・サービス（ACS）URL」をペーストする
「サインオンURL」の項目で次のURLを入力
・サインオンURL：https://www.notion.so/login
画面左上の保存をクリック
「SAML証明書」の項目で「アプリのフェデレーションメタデータURL」の右にあるコピーボタンをクリック
※ここでコピーした値は次のNotion側の設定で使用します。

以上でEntra ID側のSAML SSO設定は完了です。

最後に再びNotion側の設定を進めます。

左上のプルダウンから設定をクリック
左のメニューで認証とプロビジョンをクリックし、SAML SSOの設定を編集をクリックする
「IDプロバイダーのURL」を選択し、入力フィールドにEntra ID側の手順でコピーした「アプリのフェデレーションメタデータURL」の値をペーストする
→ 変更を保存をクリック