SCIM-Benutzerverwaltung für deine Organisation

Nachdem du deine Domain verifiziert und die SAML-Authentifizierung (Security Assertion Markup Language) für deine Organisation eingerichtet hast, kannst du einen SCIM-API-Token (System for Cross-domain Identity Management) generieren. Das Generieren von SCIM-Token für Benutzer ist nur für Organisationen mit dem Shopify Plus-Plan verfügbar.

Auf dieser Seite

Eigenschaften

Wenn du den SCIM-API-Token für deinen Identitätsdienstanbieter bereitstellst, kannst du die folgenden Aktionen über deinen Identitätsdienstanbieter ausführen:

Benutzer erstellen
Benutzerrollen zuweisen oder aktualisieren
Benutzer deaktivieren

Voraussetzungen für die SCIM-Verwaltung

Bevor du die SCIM-Benutzerverwaltung einrichtest, musst du deine Domain verifizieren und eine SAML-Konfiguration erstellen. Du kannst nur Benutzer verwalten, die einer Domain, die du für deine Organisation verifiziert hast, zugeordnet sind.

Überlegungen zur SCIM-Verwaltung

Lies dir die folgenden Überlegungen zur Verwendung der SCIM-Verwaltung für Benutzer durch:

Wenn sich der Benutzer zum ersten Mal im Shopify-Adminbereich anmeldet, muss der Benutzer dies über den Identitätsdienstanbieter tun, nicht über die Shopify-Login-Seite.
Wenn du nach dem Hinzufügen des API-Token einen neuen, vorher nicht in Shopify vorhandenen, Benutzer über deinen Identitätsanbieter oder die Benutzer-Einstellungen hinzufügst, erhält der neue Benutzer den Status Ausstehend. Wenn sich der Benutzer mit SAML einloggen muss, behält er so lange den Status Ausstehend, bis er sich mit deinem Identitätsanbieter einloggt.

SCIM-Benutzerverwaltung konfigurieren

Zur Konfiguration der SCIM-Verwaltung musst du im Shopify-Adminbereich ein API-Token erzeugen und anschließend die Konfiguration bei deinem ausgewählten Identitätsanbieter vornehmen.

Navigiere in deinem Shopify-Adminbereich zu Einstellungen > Benutzer.
Klicke auf Sicherheit.
Klicke im Abschnitt SCIM-Integration auf API-Token generieren.
Klicke auf Kopieren, um den generierten Token in die Zwischenablage zu kopieren.
Teile den Token deinem Identitätsanbieter mit. Das Verfahren zum Hinzufügen des Token hängt davon ab, welchen Identitätsanbieter du verwendest.

Okta

SCIM-Konfiguration in Okta abschließen

Öffne die Shopify Plus-App.
Klicke auf den Tab Anmelden.
1. Lege als Format für den Benutzernamen in der Anwendung die Option E-Mail fest.
2. Klicke auf Speichern.
Klicke auf den Tab Bereitstellung.
1. Klicke auf API-Integration konfigurieren.
2. Wähle die Option API-Integration aktivieren aus und füge den API-Token in das bereitgestellte Feld ein.
3. Klicke auf API-Anmeldedaten testen. Wenn ein Fehler auftritt, überprüfe, ob du den API-Token korrekt kopiert hast. Wenn weiterhin Fehler auftreten, wende dich an den Shopify Plus Support.
4. Klicke auf Speichern.

OneLogin

SCIM-Konfiguration in OneLogin abschließen

Öffne die Shopify Plus-App.
Klicke auf den Menüpunkt Konfiguration.
1. Füge im Feld SCIM-Inhabertoken den API-Token ein.
2. Klicke auf Speichern.
Klicke auf den Menüpunkt Parameter.
1. Lege den Standardwert von SCIM-Benutzername auf E-Mail fest.
2. Klicke auf Speichern.

Entra

SCIM-Konfiguration in Entra abschließen

Öffne die Shopify Plus-App.
Klicke auf den Menüpunkt Bereitstellung.
Klicke auf Erste Schritte.
Wähle im Menü Bereitstellungsmodus die Option Automatisch aus.
Gib im Feld Mandanten-URL die Basis-URL https://shopifyscim.com/scim/v2/ ein.
Gib im Feld Geheimer Token den API-Token ein.
Klicke auf die Schaltfläche Verbindung testen. Wenn ein Fehler auftritt, überprüfe, ob du den API-Token korrekt kopiert hast. Wenn weiterhin Fehler auftreten, wende dich an den Shopify Plus Support.
Klicke auf Speichern.
Ändere den Schalter für den Bereitstellungsstatus in Ein.
Klicke auf Speichern.

Benutzer mit SCIM verwalten

Nachdem dein API-Token zu deinem Identitätsdienstanbieter hinzugefügt wurde, kannst du Benutzer über diesen Dienst hinzufügen oder entfernen. Abhängig vom Status des Benutzers bei Shopify und deinem Identitätsdienstanbieter kann dies den Vorgang ändern, wie sich der Benutzer bei Shopify einloggt.

Auswirkungen des Erstellens eines Benutzers bei einem Identitätsdienstanbieter
Benutzerstatus	Auswirkung innerhalb von Shopify
Benutzer ist bereits in deiner Organisation vorhanden	Wenn du einen Benutzer bei deinem Identitätsdienstanbieter hinzufügst, muss sich der Benutzer mit der SAML-Authentifizierung einloggen, wenn Folgendes zutrifft: der Benutzer existiert bereits in Shopify der Benutzer ist in deiner Organisation bereits vorhanden du verwendest die Erzwingung Bestimmte Benutzer Die Auswirkungen des Löschens des Zugriffs eines Benutzers über deinen Identitätsdienstanbieter hängen vom jeweiligen Benutzerstatus ab. Wenn du den Zugriff eines aktiven Benutzers auf Shopify mithilfe deines Identitätsdienstanbieters entfernst, wird dieser in deinem Unternehmen gesperrt. Wenn du einen Benutzer dauerhaft über deinen Identitätsdienstanbieter löschst, wird dieser möglicherweise aus deiner Organisation gelöscht, je nach Einrichtung deines Identitätsdienstanbieters.
Benutzer existiert in Shopify, aber nicht in deiner Organisation	Wenn du einen Benutzer bei deinem Identitätsdienstanbieter hinzufügst, wird der Benutzer auch zu deiner Organisation hinzugefügt und muss sich mit der SAML-Authentifizierung einloggen, wenn Folgendes zutrifft: der Benutzer existiert bereits in Shopify der Benutzer existiert nicht in deiner spezifischen Organisation du verwendest die Erzwingung Erforderlich oder Bestimmte Benutzer
Benutzer existiert nicht in Shopify	Wenn du einen Benutzer bei deinem Identitätsdienstanbieter hinzufügst, wird der Benutzer auch zu deiner Organisation hinzugefügt und muss sich mit der SAML-Authentifizierung einloggen, wenn Folgendes zutrifft: der Benutzer existiert in Shopify nicht du verwendest die Erzwingung Erforderlich oder Bestimmte Benutzer Wenn sich der Benutzer zum ersten Mal im Shopify-Adminbereich anmeldet, muss der Benutzer dies über den Identitätsdienstanbieter tun, nicht über die Shopify-Login-Seite.

Wenn du nach dem Hinzufügen des API-Token einen neuen, vorher nicht in Shopify vorhandenen, Benutzer über deinen Identitätsanbieter oder die „Organisation“-Einstellungen hinzufügst, erhält der neue Benutzer den Status Ausstehend. Wenn sich der Benutzer mit SAML einloggen muss, behält er so lange den Status Ausstehend, bis er sich mit deinem Identitätsanbieter einloggt.

Rollenzuweisung in SCIM

Nachdem du die SCIM-Konfiguration abgeschlossen hast, kannst du SCIM-Benutzern über deinen Identitätsdienstanbieter optional Rollen zuweisen. Bevor du einem Benutzer eine Rolle zuweist, überprüfe, ob die Rolle in deiner Organisation vorhanden ist. Vorhandene SCIM-Benutzer werden nicht aktualisiert, wenn die Rolle nicht für deine Organisation erstellt wurde.

Rollen bei unterstützten Identitätsdienstanbietern zuweisen

Rollenzuweisungen werden in der Entra-, OneLogin- und der Okta-App unterstützt. Die Erstellung und Zuweisung von Rollennamen unterscheidet sich je nach Identitätsdienstanbieter.

Okta

Rollen in Okta zuweisen

Öffne die Shopify Plus-App in Okta.
Klicke auf den Tab Zuweisungen.
Klicke auf Zuweisen, um einen Benutzer hinzuzufügen oder die Attribute eines vorhandenen Benutzers zu bearbeiten.
Füge im Modal, das geöffnet wird, den Namen der Shopify-Rolle im Feld Rollenname (optional) hinzu oder aktualisiere den Namen.
Klicke auf Speichern.

OneLogin

Rollen in OneLogin zuweisen

Öffne die Shopify Plus-App in OneLogin.
Klicke in der Navigationsleiste auf Benutzer.
Klicke auf Neuer Benutzer, um einen Benutzer hinzuzufügen, oder klicke auf einen Benutzer, um den Rollennamen zu bearbeiten oder einen hinzuzufügen.
Mache unter Benutzerinformationen in der Seitennavigationsleiste den Abschnitt Benutzerdefinierte Felder ausfindig.
Füge den Namen der Rolle im Feld Rollenname (optional) hinzu.
Klicke auf Benutzer speichern.

Entra

Rollen in Entra zuweisen

Melde dich beim Entra-Portal an.
Erstelle eine Rolle für deine Shopify Plus-App, indem du diesen von Microsoft bereitgestellten Leitfaden befolgst. Der Rollenname muss mit dem Namen in deiner Shopify-Organisation identisch sein.
Weise die Rolle Benutzern in der Shopify Plus-App zu, indem du diesen von Microsoft bereitgestellten Leitfaden befolgst.
Um zu testen, ob deine Rollenzuweisung funktioniert, stelle den Benutzer auf Anfrage bereit.

Rollen bei nicht unterstützten Identitätsdienstanbietern zuweisen

Wenn dein Identitätsdienstanbieter keine Shopify Plus-App hat, musst du deine SCIM-Konfiguration manuell bearbeiten. Bevor du beginnst, überprüfe, ob dein Identitätsdienstanbieter Rollen als SCIM-Feld hinzufügen kann.

Um eine SCIM-Benutzerrolle zuzuweisen oder zu aktualisieren, muss der JSON-Text in den Aufforderungen POST, PUT und PATCH Folgendes umfassen:

{
  "name": {
    "givenName": "given_name"
    "familyName": "family_name"
  },
  "userName": "email",
  "roles": [{"value": "role_name"}]
}

Der SCIM-JSON-Text muss einen Schlüssel mit der Bezeichnung roles umfassen. Der Schlüssel roles muss ein Array sein, das einen Hash enthält, der den Rollennamen speichert. Wenn mehrere Rollennamen-Hashes angegeben werden, wird nur der Hash für den letzten Rollennamen zum Zuweisen einer Rolle verwendet. Wenn der Rollenname ungültig ist oder der SCIM-JSON-Text nicht mit der oben genannten Vorlage übereinstimmt, werden keine Rollen zugewiesen oder aktualisiert.

Zuweisung der Rolle aufheben

Verwende die Organisationseinstellungen, um die Zuweisung einer Benutzerrolle aufzuheben. Erfahre mehr über das Aufheben von Benutzerrollen-Zuweisungen in Shopify.

SCIM-Integration entfernen

Wenn du keine SCIM-Integration mehr benötigst, kannst du sie entfernen. Diese Aktion kann nicht rückgängig gemacht werden. Wenn du deine Integration reaktivieren möchtest, musst du einen neuen API-Token generieren.

Schritte:

Navigiere in deinem Shopify-Adminbereich zu Einstellungen > Benutzer.
Klicke auf Sicherheit.
Klicke im Abschnitt SCIM-Integration neben dem API-Token auf ....
Klicke auf Token löschen.

Beschränkungen

Shop-Inhaber:innen und Organisationsinhaber:innen können nicht über einen Identitätsdienstanbieter entfernt werden. Beide Inhaberschaftsarten müssen übertragen werden, damit Benutzer:innen entfernt werden können. Wenn du den:die Shop-Inhaber:in ändern musst, ist dies über deinen Shopify-Adminbereich möglich. Wenn du den Organisationsinhaber ändern musst, wende dich an den Shopify Plus Support.