SAML-Authentifizierung für deine Organisation

Wenn deine Organisation SAML zur Authentifizierung von Benutzern verwendet, kannst du Shopify bei deinem Identitätsdienstanbieter als App hinzufügen. Nachdem deine App eingerichtet wurde, können Benutzer, die den Zugriff Benutzerverwaltung haben, entweder einzelne Benutzer oder alle Benutzer in deiner Organisation dazu veranlassen, ihre Identität mithilfe deines SAML-Identitätsdienstanbieters zu authentifizieren.

Bevor du beginnst

Das Einsenden einer zu verifizierenden Domain hat Auswirkungen auf die Benutzer, die sich bei deiner Organisation auf Shopify einloggen. Bevor du beginnst, solltest du die folgenden Punkte sorgfältig durchgehen.

  • Erstelle ein Konto zur Sicherung.

    Falls Probleme bei der Integration deiner SAML-Authentifizierung oder Probleme mit deinem Identitätsanbieter auftreten, solltest du ein Konto zur Sicherung erstellen, das nicht der Domain zugeordnet ist, die du für die SAML-Authentifizierung verwendest. Stelle sicher, dass dieses Konto in deiner Organisation aktiv ist, die Zwei-Faktor-Authentifizierung aktiviert ist und Zugriff auf die Benutzerverwaltung besteht, damit du im Notfall SAML deaktivieren kannst.

  • Richte Shopify-IDs ein.

    Da die SAML-Authentifizierung auf Domains basiert, musst du sicherstellen, dass alle Benutzer in deiner Organisation ihre Shopify-ID über E-Mail-Adressen eingerichtet haben, die der Domain deiner Organisation zugeordnet sind.

  • Richte vorübergehende Sicherheitsmaßnahmen ein.

    Die Überprüfung der Domain deiner Organisation kann ein paar Tage in Anspruch nehmen. Aus diesem Grund solltest du darüber nachdenken, für diese Zeit alternative Authentifizierungsmethoden einzurichten, so zum Beispiel die obligatorische Zwei-Faktor-Authentifizierung.

  • Überprüfe deine Domains.

    Domains sind nur einer Organisation zugeordnet. Verwende für die SAML-Authentifizierung Domains, die exklusiv deiner Organisation zugeordnet sind. Wenn du eine Domain verwendest, die auch von einer anderen Organisation beansprucht wird, kann diese Organisation die Domain nicht für ihre eigene SAML-Authentifizierung verwenden.

    Nehmen wir zum Beispiel an, dass deine Organisation eine Tochtergesellschaft einer größeren Entität ist. Möglicherweise hast du Benutzer, deren Logins auf E-Mail-Adressen sowohl aus deiner Organisation als auch aus dem übergeordneten Unternehmen basieren. Wenn du die SAML-Authentifizierung für deine Tochtergesellschaft sowohl über deine Domain als auch über die Domain des übergeordneten Unternehmens einrichtest, ist die Domain des übergeordneten Unternehmens nicht mehr für andere Organisationen verfügbar, die Shopify verwenden.

    Wenn du Benutzer mit einer Domain verknüpft hast, die für eine andere Organisation in Shopify benötigt wird, dann beanspruche diese Domain nicht.

Richte SAML-Authentifizierung für deine Organisation ein.

Bevor du deine SAML-Konfiguration einrichten kannst, musst du deine Domain verifizieren.

Schritte:

  1. Geh im Shopify-Adminbereich deiner Organisation zu Benutzer > Sicherheit.
  2. Klicke im Abschnitt Domain-Verifizierung auf Domain hinzufügen.
  3. Gib den Namen deiner Domain ein und klicke auf Hinzufügen.

Die Domain befindet sich jetzt im Status Ausstehend. Der Prozess der Verifizierung deiner Domain kann einige Tage dauern. Nach Abschluss des Vorgangs wird der Status deiner Domain auf Verifiziert oder Abgelehntaktualisiert und dir wird eine Benachrichtigungs-E-Mail mit weiteren Informationen zugesandt. Wenn du der Meinung bist, dass deine Domain irrtümlich abgelehnt wurde, wende dich an den Shopify Plus Support.

Du musst nicht warten bis deine Domain verifiziert ist, um mit der Einrichtung deiner Konfiguration zu beginnen.

Automatisches Einrichten von Konfigurationen

Konfigurationen sind derzeit für die Identitätsdienstanbieter Okta, OneLogin und Azure verfügbar.

Schritte:

  1. Geh im Shopify-Adminbereich deiner Organisation zu Benutzer > Sicherheit.
  2. Klicke im Abschnitt SAML-Konfiguration auf Konfiguration einrichten.
  3. Füge in deinem Identitätsanbieter die Shopify Plus-App hinzu.
  4. Dein Dienstanbieter stellt dir eine Metadaten-URL zur Verfügung. Gib diese in das Feld Metadaten-URL für Identitätsanbieter ein. Nachdem die URL eingegeben wurde, werden die SAML-Konfigurationsdetails automatisch eingepflegt und können derzeit nicht manuell bearbeitet werden.
  5. Klicke auf Hinzufügen.

Manuelles Einrichten von Konfigurationen

Wenn du einen anderen Identitätsanbieter als Okta, OneLogin oder Azure verwendest, musst du die Konfigurationsdaten manuell eingeben.

Schritte:

  1. Geh im Shopify-Adminbereich deiner Organisation zu Benutzer > Sicherheit.
  2. Klicke im Abschnitt SAML-Konfiguration auf Konfiguration einrichten.
  3. Klicke auf SAML-Konfigurationseinstellungen anzeigen.
  4. Kopiere die folgenden Werte und stelle sie deinem Identitätsanbieter zur Verfügung, zusammen mit zusätzlichen Informationen, die der Identitätsanbieter möglicherweise anfordert: - URL für Single Sign-On: https://accounts.shopify.com/saml/consume/organization/{organization ID}. Deine Organisations-ID ist eine Zahl, die in der URL deines Organisations-Adminbereichs enthalten ist. Wenn z. B. die URL für den Shopify-Adminbereich deiner Organisation https://shopify.plus/12312312 ist, lautet deine Organisations-ID 12312312.

    • Zielgruppen-URI (SP Entity ID): https://accounts.shopify.com/saml_sp
    • Format der Namens-ID: Persistent
    • Attribut-Anweisungen: first_name, last_name, email
  5. Dein Dienstanbieter stellt dir eine Metadaten-URL zur Verfügung. Gib diese in das Feld Metadaten-URL für Identitätsanbieter ein. Nachdem die URL eingegeben wurde, werden die SAML-Konfigurationsdetails automatisch eingepflegt und können derzeit nicht manuell bearbeitet werden.

  6. Klicke auf Hinzufügen.

SAML-Authentifizierung als erforderlich einrichten

Nachdem du deine Domain hinzugefügt und deine Konfiguration eingerichtet hast, warte bis die Verifizierung abgeschlossen ist. Wenn sich der Status deiner Domain in Verifiziert ändert, kannst du deine Einstellungen für die SAML-Authentifizierung ändern.

Überlegungen zur SAML-Authentifizierung

Es gibt drei Einstellungen für die SAML-Authentifizierung: Erforderlich, Bestimmte Benutzer und Aus.

Wenn du Bestimmte Nutzerauswählst, kannst du bestimmte Anmeldeanforderungen für deine Nutzer festlegen, die mit der festgelegten E-Mail-Domain verbundene Shopify-IDs von der Seite Nutzer haben. Alle Nutzer, die nicht so eingestellt sind, dass sie eine SAML-Authentifizierung benötigen, können sich normal einloggen. Wenn du die Option Erforderlichauswählst, müssen alle Nutzer in deiner Organisation mit der eingerichteten E-Mail-Domain die SAML-Authentifizierung verwenden, um sich einzuloggen.

Die Einstellung Erforderlich ersetzt alle individuellen Sicherheitsanforderungen für Benutzer in deiner Organisation. Wenn du deine Einstellung zu einem späteren Zeitpunkt änderst, musst du die Einstellungen für deine Benutzer manuell ändern.

Du hast deine Domain beispielsweise auf Bestimmte Benutzer festgelegt und hast drei Benutzer festgelegt, um die SAML-Authentifizierung zu verlangen. Anschließend legst du die Erzwingung auf Erforderlich fest, sodass alle Benutzer, die mit der festgelegten E-Mail-Domain verbundene Shopify-IDs haben, die SAML-Authentifizierung durchlaufen müssen. Später legst du deine Erzwingung erneut auf Bestimmte Benutzer fest. Für die drei Benutzer, die sich über die SAML-Authentifizierung einloggen mussten, gilt die Erzwingung nicht mehr, und sie muss auf der Seite "Benutzerdetails" für diese Benutzer wieder eingerichtet werden.

Wenn du SAML-Authentifizierung als erforderlich einrichtest, wird die bestehende erforderliche Zwei-Faktor-Authentifizierung entfernt.

SAML-Authentifizierungssitzungen dauern sechs Tage, bevor sich deine Benutzer erneut einloggen müssen. Wenn du einen Benutzer aus der Shopify-Anwendung bei deinem Identitätsdienstanbieter entfernst, kann er noch bis zu sechs Tage lang auf Shopify zugreifen. Um zu verhindern, dass Benutzer auf deinen Organisations-Adminbereich zugreifen, entferne ihren Organisationszugriff auf der Seite Benutzer im Shopify-Organisations-Adminbereich.

SAML-Authentifizierung anfordern

Hinweis: Benutzer können sich nicht über die SAML-Authentifizierung bei Shopify POS einloggen. Benutzer können sich nur mit Version 8.72.0 oder höher in der Shopify-App einloggen. Wenn du festlegst, dass POS-Benutzer oder mobile Benutzer mit einer älteren Version der Shopify-App SAML-Authentifizierung verwenden müssen, können sie sich nicht einloggen. Wenn sich Benutzer in deiner Organisation bei diesen Anwendungen einloggen müssen, solltest du die SAML-Authentifizierung für sie nicht obligatorisch machen.

Schritte:

  1. Geh im Shopify-Adminbereich deiner Organisation zu Benutzer > Sicherheit.
  2. Klicke im Abschnitt SAML-Authentifizierung auf Einstellung ändern.
  3. Wähle eine Authentifizierungseinstellung aus.
  4. Klicke auf Speichern.

SAML-Authentifizierung entfernen

Wenn die SAML-Authentifizierung auf Ausgesetzt ist, können sich alle Benutzer in deiner Organisation, die mit deiner festgelegten E-Mail-Domain verbundene Shopify-IDs haben, über ihr Passwort und ihre E-Mail-Adresse einloggen.

Schritte:

  1. Geh im Shopify-Adminbereich deiner Organisation zu Benutzer > Sicherheit.
  2. Klicke im Abschnitt SAML-Authentifizierung auf Einstellung ändern.
  3. Wähle Aus.
  4. Klicke auf Speichern.

Domains entfernen

Wenn du eine Domain nicht mehr benötigst oder eine irrtümlich hinzugefügt hast, kannst du sie entfernen. Um eine Domain zu entfernen, darf deine SAML-Authentifizierung nicht auf Erforderlich eingestellt sein, und es dürfen keine Nutzer vorhanden sein, die mit der festgelegten E-Mail-Domain verbundene Shopify-IDs haben und SAML-Authentifizierung benutzen.

Schritte:

  1. Geh im Shopify-Adminbereich deiner Organisation zu Benutzer > Sicherheit.
  2. Klicke im Abschnitt Domain-Verifizierung auf das Symbol zum Löschen.

Bereit, mit Shopify zu verkaufen?

Kostenlos ausprobieren