【Notion】Entra IDとNotion間でSAML SSOを設定する | Nextmode Blog

はじめに

ネクストモードの南です。

NotionはSAML2.0に対応しており、IdP製品と連携してSAML SSO（シングルサインオン）を設定することができます。
今回はEntra IDとNotion間でSAML SSOを設定してみたので、手順をご紹介していきたいと思います。

SAML SSO

NotionのビジネスプランとエンタープライズプランではSAML2.0に対応しており、Entra ID、Okta、OneLoginといったIdP製品とSAML SSOを設定することができます。

SAML SSOを設定することで、ユーザーがパスワードの使い回しをすることを防いだり、
アプリケーションごとにセキュリティポリシーのばらつきが発生することを防止することができます。
ユーザーと管理者の双方にとって導入するメリットが大きい機能となります。

• SAML SSO - Notionヘルプセンター

過去に以下のブログでOktaとのSAML SSOの設定手順もご紹介しています。

• 【Okta】OktaからNotionにSAML認証でシングルサインオンしてみた

手順

設定手順としては以下の流れになります。

• ドメインの検証
• Notion側の設定①
• Entra ID側の設定
• Notion側の設定②

NotionとEntra ID側でそれぞれ公式手順も公開されているので、こちらもご参照ください。

• SAML SSO – Notionヘルプセンター
• Microsoft Entra シングル サインオン (SSO) と Notion の統合 - Microsoft Entra ID

手順を進めるにあたってはNotion側のシングルサインオンURLとEntra ID側のフェデレーションメタデータURLをそれぞれ設定する必要があります。
Entra IDを別部門等で管理している場合には、あらかじめ社内で確認や調整をしておくとスムーズに進めることができますのでご確認ください。

ドメインの検証

SAML SSOの設定を進めるためには所有するドメインの検証を実施する必要があります。
検証の手順は以下の記事で紹介していますのでご参考ください。

• 【Notion】ドメイン管理関連の機能とドメイン検証手順の紹介 - Nextmode Blog
  →「ドメインの検証手順」

Notion側の設定①

Entra IDの設定を進めるにあたり、Notion側の応答URLの値が必要となるので先に値を取得します。

• 左上のプルダウンから設定をクリック
  
• 左のメニューで設定をクリックし、「許可されたメールドメイン」のセクションですべてのメールドメインを削除する
  
• 左のメニューで認証とプロビジョンをクリックし、「SAMLシングルサインオン（SSO）」の項目でSAML SSOを有効にするをオンにする
  
• 「SAML SSO設定」の画面が開く
  ※開かない場合はSAML SSOの設定を編集をクリックする
• 「アサーション・コンシューマー・サービス（ACS）URL」のコピーをクリックする
  ※ここでコピーした値は次のEntra ID側の設定で使用します。
  

この時点ではNotion側の設定をこれ以上進めることはできないので一旦キャンセルで画面を閉じます。

Entra ID側の設定

続いてEntra ID側の設定を進めます。

• Microsoft Entra 管理センターにログイン
• サイドバーのID > アプリケーションからエンタープライズアプリケーションをクリックし、
  すべてのアプリケーションの画面に進んだ後、新しいアプリケーションをクリック
  
• 検索フィールドに「notion」と入力し、検索結果に表示された「Notion」のアプリケーションをクリック
  
• 任意のアプリケーションの名前を入力して作成をクリック
  
• すべてのアプリケーションの画面を確認すると、アプリケーションの一覧が表示される
  →一覧から「Notion」をクリック
  
• シングルサインオンをクリックしSAMLをクリック
  
• 「基本的なSAML構成」の編集をクリック
  
• 「応答URL(Assertion Consumer Service URL)」の項目で応答URLの追加をクリック
  →現れた入力フィールドにNotion側の手順でコピーした「アサーション・コンシューマー・サービス（ACS）URL」をペーストする
  
• 「サインオンURL」の項目で次のURLを入力
  ・サインオンURL：https://www.notion.so/login
  
  
• 画面左上の保存をクリック
  
• 「SAML証明書」の項目で「アプリのフェデレーションメタデータURL」の右にあるコピーボタンをクリック
  ※ここでコピーした値は次のNotion側の設定で使用します。
  

以上でEntra ID側のSAML SSO設定は完了です。

Notion側の設定②

最後に再びNotion側の設定を進めます。

• 左上のプルダウンから設定をクリック
  
• 左のメニューで認証とプロビジョンをクリックし、SAML SSOの設定を編集をクリックする
  
• 「IDプロバイダーのURL」を選択し、入力フィールドにEntra ID側の手順でコピーした「アプリのフェデレーションメタデータURL」の値をペーストする
  → 変更を保存をクリック
  

以上でSAML SSOの設定は完了です。

動作検証

SAML SSOが正常に動作するか検証をしてみます。

まずはEntra ID側で、作成したNotionアプリケーションに対してSAML SSOログインを許可するユーザー（またはグループ）を割り当てます。

Notionにログインをしてみます。

• Notionのログイン画面でシングルサインオンをクリックし、メールアドレスを入力してログインを進める
  
  
• Entra IDのログイン画面に遷移
  → メールアドレスを入力してログイン処理を進める
  
  
• ログイン処理実施後、Notionの画面に遷移
  
  

正常に動作することが確認できました。

まとめ

Entra IDとNotion間におけるSAML SSOの設定手順をご紹介しました。

SAML SSOを適用することで、組織全体のセキュリティポリシーの一貫性を保ちつつユーザーが安全かつ効率的にNotionを利用できる環境にすることができます。
IdP製品を導入している場合にはぜひご活用ください。

今後も最新情報や有用なナレッジは積極的に展開していきたいと思います。

Notionについてのお問い合わせ

ネクストモード社は、日本で3社しかないNotion販売代理店です。(2023年01月01日現在)
Notion導入を検討の際は是非下記からお問い合わせ頂けますと幸いです。