見出し画像

Notion を AzureADで SAML使って SSOしたけどちょっと苦戦した。

どうもよーじろーです。

Notionエンプラにしたのですが、最近 SSO 対応したらしいです。
SAML v2に対応とのことです。


Notionのログインってパスワード無くてカッコイイですよね。
ただ、メール待つのちょっとめんどくさいですよね。

しかもここ、SPOFです。怖いですよね。NotionHQの Twitter みてるとここの障害わりとあるようです。



ちなみに SSO は Enterprise でないと利用できません。
企業向けの雰囲気でてきましたね〜。この SSO 対応によってぐっと企業での利用価値も高まるのでは?

会社で利用していると、SaaS の利用の際には SSO 必須って場合も結構あると思います。
2要素認証いるよねーだったり。

監査ログ取れるよねーだったり。

そんな要素の一つが満たせた感じですね。はい。まだまだです。



そんなこんなで最近、SSO 試してみました。
弊社で試した環境は Azure ADです。

Notion 側に連絡をすると、AzureAD は試したことがないようで意気揚々。マニュアルをみると oktaしか実施してない感じですかね?

早速人柱になります。


設定について

前提条件として、Azure AD Premium の契約が必要になります。P1でもP2でも問題無いです。
無料版では利用できないのであしからず。。

基本的なやり方は下記が参考になります。


丁寧に解説も付けときます。(作野さんあざーーす!)


1.アプリ作成

Azure Active Directory管理センターから「すべてのアプリケーション」- 「+新しいアプリケーション」を選択


「ギャラリー以外のアプリケーション」を押下し、独自のアプリケーションの追加ダイアログの「名前」に「Notion」と入力、追加ボタンを押下



2.SAML設定

「シングルサインオン」- 「SAML」を選択



Notionを開き、 Settings & Members から SSOの欄を確認し
これをAzureADに貼り付けるために、Single Sign-On URLをコピー。



基本的なSAML構成 の鉛筆マークをクリックし、下記3カ所を入力
● 識別子(エンティティ ID) : 
   https://www.notion.so/sso/saml
● 応答URL(Assertion Consumer Service URL):
  {{ NotionからコピーしたURLをペースト }}
● サインオンURL:
  {{ NotionからコピーしたURLをペースト }}


先ほどと同様の手順で、ユーザ属性とクレーム設定を画像の通りに設定する。


「アプリのフェデレーションメタデータURL」をコピー、Notionへ貼り付ける。


Notionを開き、 IDP Metadata URLにペースト。
Updateをクリックし、保存



3. 利用ユーザの登録

「ユーザとグループ」- 「ユーザーの追加」を選択、アプリケーションを利用させるユーザを追加。
適宜利用させたいユーザもしくは、グループを追加してください。


4. 基本プロパティの変更(ロゴの変更)

必須ではありませんが、ロゴも設定しましょう。


これで、SSOの設定は完了です。


実際にテストする際には、Notion側に連絡を実施し、Emailドメインを設定してもらう必要があります。


〜 完了 〜


利用イメージ

実際に SSO を利用した場合のイメージは下記です。




その他のSSO設定項目

いくつか、設定する項目があります。
ユーザ削除とか、強制リダイレクトとかできないのが哀しいですね。

SSO としては結構微妙。。


Automatically Create Accounts on Sign-in
SSOログイン時にユーザを自動作成する設定です。こちらはSSOの利便性を享受するために有効化が推奨です。

Enable SAML
こちらは必須で 有効化の必要があります。

Enforce SAML
ユーザに SSO を強制する設定です。有効化すると、ユーザがメールアドレスとワンタイムパスワードでのログインができなくなります。
なお、管理者は障害発生時の事態に備えてメールアドレスでもログイン可能です。
SSO 導入するからには、強制して良いと思われます。


SAML についてのもっと詳細はこちらの公式ページをご確認くださいませ。






ついでに

苦戦した話全く書いてないですが、今回設定値を入れるも、正しく動かなかったのでエンジニアの方と直接テレカンしてその場で修正いただきました。
それがちょっとトラブルシュートで苦戦しました。

Zoom もしながら、Notion 側にSSO 機能を直してもらい、何度かチャレンジして成功。

Notion 側は人柱を積極的に募集中とのことですので、別のサービスで人柱してあげると喜ぶと思います。





めでたし。




ということで。


気軽に SSO したくなっちゃうイケてる仲間募集中




ではまた。



#ノースサンド #NorthSandよーじろー #Notion #SSO

いいなと思ったら応援しよう!