Gestion des utilisateurs de votre organisation avec SCIM
Une fois que vous avez vérifié votre domaine et configuré l’authentification SAML (Security Assertion Markup Language) pour votre organisation, vous pouvez générer une clé API SCIM (de l’anglais System for Cross‑domain Identity Management, ou Système de gestion des identités interdomaines en français). La génération de jetons SCIM pour les utilisateurs n’est disponible que pour les organisations bénéficiant du forfait Shopify Plus.
Sur cette page
Fonctionnalités
Si vous fournissez le jeton de l’API SCIM à votre fournisseur de services d’identité, vous pouvez effectuer les actions suivantes par son intermédiaire :
- créer des utilisateurs
- attribuer ou mettre à jour les rôles des utilisateurs
- désactiver des utilisateurs
Exigences
Avant de configurer la gestion des utilisateurs avec SCIM, vous devez vérifier votre domaine et créer une configuration SAML. Vous ne pouvez gérer que les utilisateurs associés à un domaine que vous avez vérifié pour votre organisation.
Configurer la gestion des utilisateurs avec SCIM
- Depuis votre interface administrateur Shopify, cliquez sur Paramètres.
- Dans la section Organisation, cliquez sur Utilisateurs > Sécurité.
- Dans la section Intégration SCIM, cliquez sur Générer le jeton d’API.
- Cliquez sur Copier pour copier le jeton généré dans votre presse-papiers.
- Indiquez le jeton à votre fournisseur de services d’identité. La procédure d'ajout du jeton dépend du fournisseur que vous utilisez.
Okta
Terminer la configuration SCIM dans Okta
- Ouvrez l’application Shopify Plus.
-
Cliquez sur l’onglet Sign On (Se connecter).
- Définissez le format d’utilisateur de l’application sur e-mail.
- Cliquez sur Enregistrer.
-
Cliquez sur l’onglet Provisionnement.
- Cliquez sur Configurer l’intégration de l’API.
- Cochez l’option Activer l’intégration de l’API, puis collez le jeton de l’API dans le champ fourni.
- Cliquez sur Tester les informations d’identification de l’API. Si une erreur se produit, vérifiez que vous avez correctement copié le jeton de l’API à partir de votre interface administrateur Shopify Plus. Si les erreurs persistent, contactez l’assistance Shopify Plus.
- Cliquez sur Enregistrer.
OneLogin
Terminer la configuration SCIM dans OneLogin
- Ouvrez l’application Shopify Plus.
-
Cliquez sur l’élément de menu Configuration.
- Dans le champ SCIM Bearer Token (Jeton du porteur SCIM), collez le jeton de l’API.
- Cliquez sur Enregistrer.
-
Cliquez sur l’élément de menu Parameters (Paramètres).
- Paramétrez la valeur par défaut de SCIM Username (Nom d’utilisateur SCIM) sur Email (E-mail).
- Cliquez sur Enregistrer.
Entra
Terminer la configuration SCIM dans Entra
- Ouvrez l’application Shopify Plus.
- Cliquez sur l’élément de menu Provisionnement.
- Cliquez sur Démarrer.
- Dans le menu Mode de provisionnement, sélectionnez Automatique.
- Dans le champ URL du client, saisissez l’URL de base
https://shopifyscim.com/scim/v2/
. - Dans le champ Jeton secret, saisissez le jeton de l’API.
- Cliquez sur le bouton Tester la connexion. Si une erreur se produit, vérifiez que vous avez correctement copié le jeton de l’API. Si les erreurs persistent, contactez l’assistance Shopify Plus.
- Cliquez sur Enregistrer.
- Faites passer le commutateur Statut de provisionnement à Activé.
- Cliquez sur Enregistrer.
Une fois que votre jeton API a été ajouté à votre fournisseur de services d’identité, vous pouvez ajouter ou supprimer des utilisateurs par le biais de ce service. En fonction de leur statut dans Shopify et de votre fournisseur de services d’identité, cela peut avoir pour effet de modifier leur mode de connexion à Shopify.
Statut utilisateur | Effet dans Shopify |
---|---|
L’utilisateur existe déjà dans votre organisation | Si vous ajoutez un utilisateur dans votre fournisseur de services d’identité, cet utilisateur est tenu de se connecter avec l’authentification SAML si toutes les situations suivantes sont vraies :
|
L’utilisateur existe dans Shopify, mais pas dans votre organisation | Si vous ajoutez un utilisateur via votre fournisseur de services d’identité, cet utilisateur est alors ajouté à votre organisation et doit se connecter par le biais de l’authentification SAML si toutes les situations suivantes sont vraies :
|
L’utilisateur n’existe pas dans Shopify | Si vous ajoutez un utilisateur via votre fournisseur de services d’identité, cet utilisateur est ajouté à votre organisation et doit se connecter par le biais de l’authentification SAML si toutes les conditions suivantes sont vraies :
|
Après avoir ajouté le jeton d’API, lorsque vous ajoutez un nouvel utilisateur ou une nouvelle utilisatrice qui n’existait pas précédemment dans Shopify, soit par le biais de votre fournisseur d’identité, soit à travers les paramètres de l’organisation, le statut de votre nouvel utilisateur ou de votre nouvelle utilisatrice est configuré sur en attente. Si votre utilisateur ou utilisatrice est tenu(e) de se connecter avec SAML, son statut restera en attente jusqu’à ce qu’il/elle se connecte en passant par votre fournisseur d’identité.
Attribution de rôles dans SCIM
Une fois votre configuration de SCIM terminée, vous avez l’option d’attribuer des rôles aux utilisateurs de SCIM par le biais de votre fournisseur de services d’identité. Avant d’attribuer un rôle à un utilisateur, vérifiez que ce rôle existe bien dans votre organisation. En effet, les utilisateurs existants de SCIM ne seront pas mis à jour si le rôle n’a pas été créé pour votre organisation.
Attribuer des rôles dans des fournisseurs de services d’identité pris en charge
L’attribution de rôles est prise en charge par les applications Entra, OneLogin et Okta. La création de noms de rôles et l’attribution de rôles diffèrent selon le fournisseur d’identité.
Okta
Attribuer des rôles dans Okta
- Ouvrez l’application Shopify Plus dans Okta.
- Cliquez sur l’onglet Attributions.
- Cliquez sur Attribuer pour ajouter un(e) utilisateur(-trice) ou modifier les attributs d’un(e) utilisateur(-trice) existant(e).
- Dans la fenêtre modale qui s’ouvre, ajoutez ou mettez à jour le nom du rôle Shopify dans le champ Nom de rôle (facultatif).
- Cliquez sur Enregistrer.
OneLogin
Attribuer des rôles dans OneLogin
- Ouvrez l’application Shopify Plus dans OneLogin.
- Dans la barre de navigation, cliquez sur Utilisateurs.
- Cliquez sur Nouvel(le) utilisateur(-trice) pour ajouter un(e) utilisateur(-trice), ou sur un(e) utilisateur(-trice) pour modifier ou ajouter le nom du rôle.
- Sous Informations sur l’utilisateur(-trice) dans la barre de navigation latérale, recherchez la section Champs personnalisés.
- Ajoutez le nom du rôle dans le champ Nom de rôle (facultatif).
- Cliquez sur Enregistrer l’utilisateur(-trice).
Entra
Attribuer des rôles dans Entra
- Connectez-vous au portail d’Entra.
- Créez un rôle pour votre application Shopify Plus en suivant ce guide fourni par Microsoft. Le nom du rôle doit être le même que celui de votre organisation Shopify.
- Attribuez le rôle aux utilisateurs de votre application Shopify Plus en suivant ce guide fourni par Microsoft.
- Pour vérifier que votre attribution de rôle fonctionne, provisionnez l’utilisateur à la demande.
Attribuer des rôles dans des fournisseurs de services d’identité non pris en charge
Si votre fournisseur de services d’identité n’a pas d’application Shopify Plus, vous devez modifier votre configuration SCIM manuellement. Avant de commencer, vérifiez que votre fournisseur de services d’identité peut ajouter des rôles en tant que champ SCIM.
Pour attribuer ou mettre à jour un rôle d’utilisateur SCIM, le corps JSON des requêtes POST
, PUT
et PATCH
doit inclure le code suivant :
Le corps JSON de SCIM doit inclure une clé appelée roles
. La clé roles
doit être un tableau contenant un hachage stockant le nom du rôle. Si plusieurs hachages de noms de rôles sont fournis, seul le dernier est utilisé pour attribuer un rôle. Si le nom de rôle n’est pas valide ou que le corps JSON de SCIM ne correspond pas au modèle ci-dessus, les rôles ne sont ni attribués ni mis à jour.
Annuler l’attribution de rôles
Pour annuler l’attribution d’un rôle d’utilisateur, utilisez les paramètres d’organisation. En savoir plus sur l’annulation de l’attribution des rôles d’utilisateurs dans Shopify.
Supprimer l’intégration SCIM
Si vous n'avez plus besoin d'une intégration SCIM, vous pouvez la supprimer, mais sachez que action est irréversible. Pour la réactiver, vous devez générer un nouveau jeton d’API.
Étapes :
- Depuis votre interface administrateur Shopify, cliquez sur Paramètres.
- Dans la section Organisation, accédez à Utilisateurs > Sécurité.
- Dans la section Intégration SCIM, cliquez sur ... à côté du jeton de l’API.
- Cliquez sur Supprimer le jeton.
Restrictions
Il n’est pas possible de supprimer les propriétaires de boutique et les propriétaires d’organisation par le biais d’un fournisseur de services d’identité. Ces deux types de propriétés doivent être transférés avant que l’utilisateur ne puisse être supprimé. Si vous devez changer le propriétaire d’une boutique, vous pouvez le faire depuis votre interface administrateur Shopify. Si vous devez changer le propriétaire d’une organisation, contactez l’assistance Shopify Plus.