SAML-Authentifizierung für deine Organisation

Wenn deine Organisation Security Assertion Markup Language (SAML) zur Authentifizierung von Benutzern verwendet, kannst du Shopify bei deinem Identitätsdienstanbieter als App hinzufügen. Nachdem deine App eingerichtet wurde, können Benutzer mit einer Berechtigung auf Organisationsebene entweder einzelne Benutzer oder alle Benutzer in deiner Organisation dazu veranlassen, ihre Identität mithilfe deines SAML-Identitätsdienstanbieters zu authentifizieren.

Mehr Informationen über Benutzer.

Vor der Einrichtung der SAML-Authentifizierung

Das Einsenden einer zu verifizierenden Domain hat Auswirkungen auf die Benutzer, die sich bei deiner Organisation auf Shopify einloggen. Bevor du beginnst, solltest du die folgenden Punkte sorgfältig durchgehen:

• Erstelle ein Konto zur Sicherung. Falls Probleme bei der Integration deiner SAML-Authentifizierung oder Probleme mit deinem Identitätsdienstanbieter auftreten, solltest du ein Konto zur Sicherung erstellen, das nicht der Domain zugeordnet ist, die du für die SAML-Authentifizierung verwendest. Stelle sicher, dass dieses Konto zu einem aktiven Benutzer in deiner Organisation gehört, die Zwei-Faktor-Authentifizierung aktiviert ist und über Benutzer-Zugriff verfügt, damit du im Notfall SAML deaktivieren kannst.
• Richte Shopify-Konten ein. Da die SAML-Authentifizierung auf Domains basiert, musst du sicherstellen, dass alle Benutzer in deiner Organisation ihr Shopify-Konto mit E-Mail-Adressen eingerichtet haben, die der Domain deiner Organisation zugeordnet sind.

SAML-Authentifizierung für deine Organisation einrichten

Bevor du deine SAML-Konfiguration einrichten kannst, musst du deine Domain verifizieren. Du musst nicht warten, bis deine Domain-Verifizierung abgeschlossen ist, um mit der Einrichtung deiner Konfiguration zu beginnen.

Konfigurationen automatisch einrichten

Konfigurationen sind derzeit für Okta, OneLogin und Entra verfügbar.

Folge den verlinkten Anweisungen je nach deinem Identitätsdienstanbieter:

• Okta: So konfigurierst du SAML 2,0 für Shopify Plus
• OneLogin: Einmaliges Anmelden für SAML-aktivierte Apps konfigurieren
• Entra: Tutorial: Microsoft Entra Single Sign-on (SSO)-Integration mit Shopify Plus

Um die Konfiguration für das einmalige Anmelden auf Shopify abzuschließen, beachte die folgenden Schritte, wenn der Leitfaden deines Identitätsdienstanbieters dich dazu auffordert:

Schritte:

1. Klicke in deinem Shopify-Adminbereich auf Einstellungen.
2. Klicke im Abschnitt Organisation auf Benutzer > Sicherheit.
3. Klicke im Abschnitt SAML-Konfiguration auf Konfiguration einrichten.
4. Füge bei deinem Identitätsdienstanbieter die Shopify Plus-App hinzu und konfiguriere die App dann mit deiner eindeutigen URL für das einmalige Anmelden.
5. Dein Dienstanbieter stellt dir eine Metadaten-URL zur Verfügung. Gib diese in das Feld Metadaten-URL des Identitätsanbieters ein. Nachdem die URL eingegeben wurde, werden die SAML-Konfigurationsdetails automatisch eingepflegt. Sie können derzeit nicht manuell bearbeitet werden.
6. Klicke auf Hinzufügen.

Konfigurationen manuell einrichten

Wenn du einen anderen Identitätsdienstanbieter als Okta, OneLogin oder Entra verwendest, musst du die Konfigurationsdaten manuell eingeben.

Identitätsdienstanbieter verwenden möglicherweise für einige Werte verschiedene Namen. Beispielsweise verwendet die SAML-Integration von Google den Begriff ACS-URL als Bezeichnung für die URL zum einmaligen Anmelden. Wenn bei der manuellen Einrichtung deiner Konfigurationen Fehler auftreten, wende dich für weitere Unterstützung an den Identitätsdienstanbieter.

Schritte:

1. Klicke in deinem Shopify-Adminbereich auf Einstellungen.
2. Klicke im Abschnitt Organisation auf Benutzer > Sicherheit.
3. Klicke im Abschnitt SAML-Konfiguration auf Konfiguration einrichten.
4. Klicke auf SAML-Konfigurationseinstellungen anzeigen.

5. Kopiere die folgenden Werte und stelle sie deinem Identitätsdienstanbieter zur Verfügung, zusammen mit zusätzlichen Informationen, die der Identitätsdienstanbieter möglicherweise anfordert:

   • URL für einmaliges Anmelden: https://accounts.shopify.com/saml/consume/organization/{organization ID}. Jede Organisation hat eine eindeutige ID. Kopiere diesen Wert aus dem URL-Eintrag für einmaliges Anmelden in den SAML-Konfigurationsdetails.
   • Zielgruppen-URI (SP Entity ID): https://accounts.shopify.com/saml_sp
   • Format der Namens-ID: Dauerhaft
   • Attribut-Anweisungen: given_name, family_name, email

6. Dein Dienstanbieter stellt dir eine Metadaten-URL zur Verfügung. Gib diese in das Feld Metadaten-URL des Identitätsanbieters ein. Nachdem die URL eingegeben wurde, werden die SAML-Konfigurationsdetails automatisch eingepflegt. Sie können derzeit nicht manuell bearbeitet werden.

7. Klicke auf Hinzufügen.

SAML-Authentifizierung als erforderlich einrichten

Nachdem du deine Domain hinzugefügt und deine Konfiguration eingerichtet hast, warte, bis die Verifizierung abgeschlossen ist. Wenn sich der Status deiner Domain in Verifiziert ändert, kannst du die Einstellungen für die SAML-Authentifizierung ändern.

Es gibt drei Einstellungen für die SAML-Authentifizierung: Erforderlich, Bestimmte Benutzer und Aus.

Überlegungen zur SAML-Authentifizierung

• Wenn du Bestimmte Benutzer auswählst, kannst du bestimmte Anmeldeanforderungen für deine Benutzer, deren Shopify-Konten mit der auf der Seite Benutzer festgelegten E-Mail-Domain verbunden sind, festlegen. Benutzer, die nicht so konfiguriert sind, dass sie eine SAML-Authentifizierung benötigen, können sich auf normalem Weg einloggen. Wenn du die Option Erforderlich auswählst, müssen alle Benutzer mit der eingerichteten E-Mail-Domain die SAML-Authentifizierung verwenden, um sich einzuloggen, einschließlich des Shop-Inhabers und Benutzern außerhalb deiner Organisation.
• Die Einstellung Erforderlich ersetzt alle individuellen Sicherheitsanforderungen für deine Benutzer. Wenn du deine Einstellung zu einem späteren Zeitpunkt änderst, musst du die Einstellungen für deine Benutzer manuell ändern. Du hast für deine Domain beispielsweise Bestimmte Benutzer sowie drei Benutzer festgelegt, die die SAML-Authentifizierung verwenden müssen. Anschließend legst du für die Erzwingung die Option Erforderlich fest, sodass alle Benutzer, die mit der festgelegten E-Mail-Domain verbundene Shopify-Konten haben, die SAML-Authentifizierung durchlaufen müssen. Später legst du für die Erzwingung erneut die Option Bestimmte Benutzer fest. Für die drei Benutzer, die sich über die SAML-Authentifizierung einloggen mussten, gilt die Erzwingung nicht mehr. Die Erzwingung muss auf der Seite "Benutzerdetails" für diese Benutzer wieder eingerichtet werden.
• Wenn du die SAML-Authentifizierung für einen Benutzer erforderlich machst, sind die vorhandenen Voraussetzungen für die Zwei-Faktor-Authentifizierung überflüssig. Wenn du SAML einrichtest und für das Einloggen erforderlich machst, solltest du es in Betracht ziehen, die Zwei-Faktor-Authentifizierung zu deaktivieren, damit sich Benutzer nicht zweimal authentifizieren müssen.
• Bei Benutzern auf einem Desktop-Gerät dauern SAML-Authentifizierungssitzungen 14 Tage lang an, bevor sich die Benutzer erneut einloggen müssen. Bei Benutzern auf einem Mobilgerät oder POS laufen SAML-Authentifizierungssitzungen nach 14 Tagen ab, wenn das Konto inaktiv ist. Wenn das Konto aktiv ist, werden die Sitzungen innerhalb von 14 Tagen automatisch verlängert. Wenn du einen Benutzer in der Shopify-Anwendung bei deinem Identitätsanbieter entfernst, kann er bis zu 14 Tage lang weiterhin auf Shopify zugreifen.
  • Um zu verhindern, dass Benutzer auf Organisationseinstellungen zugreifen, entferne in den Organisationseinstellungen auf der Seite Benutzer ihre Organisationszugriffsrechte.

SAML-Authentifizierung anfordern

Schritte:

1. Klicke in deinem Shopify-Adminbereich auf Einstellungen.
2. Klicke im Abschnitt Organisation auf Benutzer > Sicherheit.
3. Klicke im Abschnitt SAML-Authentifizierung auf Einstellung ändern.
4. Wähle eine Authentifizierungseinstellung aus.
5. Klicke auf Speichern.

SAML-Authentifizierung entfernen

Wenn die SAML-Authentifizierung auf Aus gesetzt ist, können sich alle Benutzer in deiner Organisation, die mit deiner festgelegten E-Mail-Domain verbundene Shopify-Konten haben, mit ihrem Passwort und ihrer E-Mail-Adresse einloggen.

Schritte:

1. Klicke in deinem Shopify-Adminbereich auf Einstellungen.
2. Klicke im Abschnitt Organisation auf Benutzer > Sicherheit.
3. Klicke im Abschnitt SAML-Authentifizierung auf Einstellung ändern.
4. Wähle Aus.
5. Klicke auf Speichern.