Authentification SAML pour votre organisation

Si votre organisation utilise le système SAML (Security Assertion Markup Language) pour authentifier ses utilisateurs et que vous bénéficiez du forfait Shopify Plus, vous pouvez ajouter Shopify en tant qu’application à votre fournisseur d’identité. Une fois votre application configurée, les utilisateurs disposant de l’autorisation Utilisateurs au niveau de l’organisation pourront exiger que des utilisateurs spécifiques ou l’ensemble des utilisateurs de votre organisation confirment leur identité par le biais de votre fournisseur d’identité SAML.

En savoir plus sur la gestion des utilisateurs avec les paramètres d’organisation.

Avant de configurer l'authentification SAML

Le fait de soumettre un domaine pour qu’il soit vérifié a des implications pour les utilisateurs qui se connectent à votre organisation sur Shopify. Avant de commencer, prenez en compte les considérations suivantes :

  • Créez un compte de sauvegarde. Pour parer à d’éventuels problèmes liés à l’intégration de votre authentification SAML ou à de possibles interruptions de service avec votre fournisseur d’identité, créez un compte de sauvegarde qui ne soit pas associé au domaine que vous utilisez pour l’authentification SAML. Assurez-vous que ce compte est celui d’un utilisateur actif de votre organisation, que l’authentification en deux étapes est activée et qu’il bénéficie de l’accès Utilisateurs, pour vous permettre de désactiver l’authentification SAML en cas d’urgence.
  • Configurez des comptes Shopify. Étant donné que l’authentification SAML est basée sur les domaines, veillez à ce que tous les utilisateurs de votre organisation aient configuré leur compte Shopify avec des adresses e-mail rattachées au domaine de votre organisation.

Configurer l’authentification SAML pour votre organisation

Avant de pouvoir installer votre configuration SAML, vous devez vérifier votre domaine. Vous n’avez pas besoin d’attendre que la vérification de votre domaine soit terminée pour commencer à installer votre configuration.

Installer automatiquement les configurations

Des configurations sont actuellement disponibles pour Okta, OneLogin et Entra.

Suivez les instructions de votre fournisseur de services d’identité fournies en lien ci-dessous :

Pour pouvoir terminer la configuration de l’authentification unique (SSO) au sein de votre organisation, suivez les étapes ci‑après lorsque le guide de votre fournisseur de services d’identité vous en donne l’instruction :

Étapes :

  1. Depuis votre interface administrateur Shopify, cliquez sur Paramètres.
  2. Dans la section Organisation, cliquez sur Utilisateurs > Sécurité.
  3. Dans la section Configuration SAML, cliquez sur Set up configuration (Définir la configuration).
  4. Dans votre fournisseur d’identité, ajoutez l’application Shopify Plus, puis configurez l’application avec votre URL d’identification unique.
  5. Votre fournisseur de services vous fournira une URL de métadonnées. Saisissez-la dans le champ URL de métadonnées du fournisseur d'identité. Une fois l'URL saisie, les détails de la configuration SAML sont remplis automatiquement et ne peuvent pas être modifiés manuellement.
  6. Cliquez sur Ajouter.

Installer manuellement les configurations

Si vous utilisez un fournisseur d’identité autre qu’Okta, OneLogin ou Entra, vous devez saisir manuellement les données de votre configuration.

Les fournisseurs de services d’identité peuvent utiliser des noms différents pour certaines valeurs. Par exemple, l’intégration SAML de Google utilise le terme URL ACS pour désigner l’URL d’authentification unique. Si des erreurs se produisent lors de l’installation manuelle de vos configurations, contactez le fournisseur de services d’identité pour obtenir de l’aide.

Étapes :

  1. Depuis votre interface administrateur Shopify, cliquez sur Paramètres.
  2. Dans la section Organisation, cliquez sur Utilisateurs > Sécurité.
  3. Dans la section Configuration SAML, cliquez sur Set up configuration (Définir la configuration).
  4. Cliquez sur Afficher les paramètres de configuration SAML.
  5. Copiez les valeurs suivantes et transmettez-les à votre fournisseur de services d’identité, ainsi que toutes les informations supplémentaires que celui-ci peut demander :

    • URL d’authentification unique : https://accounts.shopify.com/saml/consume/organization/{organization ID}. Chaque organisation possède un identifiant unique (ID). Copiez cette valeur à partir de l’entrée URL d’authentification unique dans les détails de la configuration SAML.
    • URI d’audience (ID d’entité du fournisseur de service) : https://accounts.shopify.com/saml_sp
    • Format de l’ID de nom : persistent. Nous nous attendons à ce que l’ID de nom soit une valeur e-mail unique, qui ne change pas pour l’utilisateur.
    • Déclarations d’attribut : first_name (prénom), last_name (nom), email (adresse e‑mail)
  6. Votre fournisseur de services vous fournira une URL de métadonnées. Saisissez-la dans le champ URL de métadonnées du fournisseur d'identité. Une fois l'URL saisie, les détails de la configuration SAML sont remplis automatiquement et ne peuvent pas être modifiés manuellement.

  7. Cliquez sur Ajouter.

Une authentification SAML requise

Après avoir ajouté votre domaine et installé votre configuration, attendez que la vérification soit terminée. Lorsque le statut de votre domaine passe à Vérifié, vous pouvez modifier les paramètres de votre authentification SAML.

Il existe trois paramètres d’authentification SAML : Obligatoire, Utilisateurs spécifiques et Désactivé.

Considérations relatives à l’authentification SAML

  • Si vous sélectionnez Utilisateurs spécifiques, vous pouvez définir des exigences de connexion spécifiques pour vos utilisateurs dont les comptes Shopify sont associés au domaine de messagerie configuré à la page Utilisateurs. Tout utilisateur non configuré pour utiliser l’authentification SAML peut se connecter normalement. Si vous sélectionnez Obligatoire, tous les utilisateurs associés au domaine de messagerie que vous avez configuré doivent utiliser l’authentification SAML pour se connecter, y compris le propriétaire de la boutique et les utilisateurs externes à l’organisation.
  • Le paramètre Obligatoire remplace toutes les exigences individuelles de sécurité requises pour vos utilisateurs. Si vous modifiez ce paramètre à une date ultérieure, vous devez modifier manuellement les paramètres de vos utilisateurs. Par exemple, imaginons que votre domaine est défini sur Utilisateurs spécifiques et que l’authentification SAML est configurée comme obligatoire pour trois utilisateurs. Vous paramétrez ensuite le niveau d’exigence sur Obligatoire, imposant ainsi à tous les utilisateurs titulaires de comptes Shopify associés au domaine de messagerie configuré d’utiliser l’authentification SAML. Plus tard, vous modifiez à nouveau ce paramètre en revenant à Utilisateurs spécifiques. Les trois utilisateurs qui devaient initialement se connecter avec l’authentification SAML n’y sont alors plus obligés, et vous devez les reconfigurer sur la page de leurs détails.
  • Le fait d’exiger qu’un utilisateur passe par l’authentification SAML rend les exigences d’authentification à deux facteurs redondantes. Si vous configurez la méthode SAML et que vous exigez que les utilisateurs l’emploient pour se connecter, envisagez de désactiver l’authentification à deux facteurs, afin de leur éviter de devoir s’authentifier deux fois.
  • Pour les personnes qui se connectent à partir d’un ordinateur de bureau, les sessions d’authentification SAML durent 14 jours. Ensuite, les utilisateurs doivent se reconnecter. Pour les personnes qui se connectent à partir d’un appareil mobile ou d’un terminal PDV, les sessions d’authentification SAML expirent au bout de 14 jours si le compte est inactif ; si le compte est actif, elles se renouvellent automatiquement sous 14 jours. Si vous retirez un utilisateur de l’application Shopify dans votre fournisseur d’identité, ce premier conserve son accès à Shopify pendant 14 jours au maximum.
    • Pour empêcher les utilisateurs d’accéder aux paramètres de votre organisation, retirez-leur leurs accès à l’organisation à la page Utilisateurs dans les paramètres de l’organisation.

Exiger l'authentification SAML

Étapes :

  1. Depuis votre interface administrateur Shopify, cliquez sur Paramètres.
  2. Dans la section Organisation, cliquez sur Utilisateurs > Sécurité.
  3. Dans la section Authentification SAML, cliquez sur Changer le paramètre.
  4. Choisissez un paramètre d’authentification.
  5. Cliquez sur Enregistrer.

Retirer l'authentification SAML

Si l’authentification SAML est désactivée, tous les utilisateurs de votre organisation dont les comptes Shopify sont rattachés au domaine de messagerie que vous avez configuré peuvent se connecter avec leur mot de passe et leur adresse e-mail.

Étapes :

  1. Depuis votre interface administrateur Shopify, cliquez sur Paramètres.
  2. Dans la section Organisation, cliquez sur Utilisateurs > Sécurité.
  3. Dans la section Authentification SAML, cliquez sur Changer le paramètre.
  4. Sélectionnez Off (Désactivé).
  5. Cliquez sur Enregistrer.
Vous ne trouvez pas les réponses que vous recherchez ? Nous sommes là pour vous aider.