Authentification SAML pour votre organisation

Si votre organisation utilise SAML pour authentifier les utilisateurs, vous pouvez ajouter Shopify comme application auprès de votre fournisseur d’identité. Une fois votre application configurée, vous pouvez exiger que les utilisateurs s’authentifient en utilisant votre fournisseur d'identité SAML, soit individuellement, soit dans l’ensemble de votre entreprise.

Avant de commencer

Soumettre un domaine à vérifier peut avoir des implications pour les utilisateurs qui se connectent à votre organisation sur Shopify. Avant de commencer, examinez les considérations suivantes.

Créer un compte de secours

En cas de problème avec votre intégration d’authentification SAML ou d'interruptions avec votre fournisseur d’identité, vous devez créer un compte de sauvegarde qui n’est pas associé au domaine que vous utilisez pour l’authentification SAML. Assurez-vous qu’il s’agit d’un utilisateur actif de votre organisation, que l’authentification en deux étapes est activée et que vous avez accès à la gestion des utilisateurs afin de pouvoir désactiver l'authentification SAML en cas d’urgence.

Configurer un identifiant Shopify

L’authentification SAML est basée sur les domaines. Vous devez donc vérifier que tous les utilisateurs de votre organisation ont configuré leur identifiant Shopify en utilisant les adresses e-mail associées au domaine de votre entreprise.

Vérifier les domaines

Les domaines ne peuvent être associés qu’à une seule organisation. Vous devez utiliser des domaines exclusifs à votre organisation pour l’authentification SAML, car tout domaine revendiqué ne peut pas être utilisé pour l'authentification SAML dans une autre organisation.

Par exemple, supposons que votre organisation soit une filiale d’une entité plus grande. Les identifiants de certains de vos utilisateurs sont basés sur les adresses e-mail de votre organisation et de la société mère. Si vous configurez l’authentification SAML en utilisant les deux domaines, celui de la société mère ne pourra plus être utilisé par aucune autre organisation de Shopify.

Si certains de vos utilisateurs sont associés à un domaine dont une autre organisation a besoin dans Shopify, ne revendiquez pas ce domaine.

Configurer des mesures de sécurité provisoires

Vérifier le domaine de votre organisation est un processus qui peut prendre plusieurs jours. Vous pouvez donc définir d’autres moyens d’authentification en attendant, par exemple en exigeant une authentification en deux facteurs.

Configurer l'authentification SAML pour son organisation

Les configurations sont actuellement disponibles pour les fournisseurs de services d’identité Okta et d’Azur. Si vous utilisez un autre fournisseur, vous pouvez saisir manuellement les données de configuration.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section Vérification du domaine, cliquez sur Add domain (Ajouter un domaine).
  3. Saisissez le nom de votre domaine et cliquez sur Add (Ajouter).

Le statut du domaine est maintenant en attente. Le processus de vérification de votre domaine peut durer plusieurs jours. Une fois qu'il est terminé, le statut de votre domaine est mis à jour et indique Vérifié ou Rejeté. Un e-mail de notification vous est envoyé avec plus d’informations. Si vous pensez que votre domaine a été rejeté par erreur, contactez l’assistance Shopify Plus.

Vous n’avez pas besoin d’attendre que votre domaine soit vérifié pour définir votre configuration.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section Configuration SAML, cliquez sur Set up configuration (Définir la configuration).
  3. Ajoutez l'application Shopify Plus à votre fournisseur d'identité.
  4. Facultatif : vous pouvez configurer manuellement une application dans votre fournisseur d’identité.

    1. Cliquez sur Show SAML configuration settings (Afficher les paramètres de configuration SAML).
    2. Copiez les valeurs suivantes et transmettez-les à votre fournisseur de services d’identité, ainsi que toutes les informations supplémentaires que celui-ci peut demander : - URL d'authentification unique
    3. URI d'audience (ID d'entité du fournisseur de service)
    4. Format de l'ID de nom
    5. first_name (prénom)
    6. last_name (nom)
    7. e-mail
  5. Votre fournisseur de services vous donnera une URL de métadonnées. Saisissez-la dans le champ Identity provider metadata URL (URL de métadonnées du fournisseur d’identité). Une fois l’URL saisie, les détails de la configuration SAML sont remplis automatiquement et ne peuvent actuellement pas être modifiés manuellement.

  6. Cliquez sur Ajouter.

Après avoir ajouté votre domaine et défini votre configuration, attendez que la vérification soit terminée. Lorsque le statut de votre domaine passe à Vérifié, vous pouvez modifier vos paramètres d'authentification SAML.

Exiger l'authentification SAML

Une fois la configuration terminée, vous pouvez exiger que les utilisateurs de votre organisation disposent d’ID Shopify associés au domaine de messagerie configuré pour se connecter avec l’authentification SAML.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section SAML authentication (authentification SAML), cliquez sur Edit (Modifier).
  3. Choisissez un paramètre d’authentification.
  4. Cliquez sur Save.

Si vous sélectionnez Specific users (Utilisateurs spécifiques), vous pouvez définir certains critères de connexion pour ceux dont les ID Shopify sont associés au domaine de messagerie configuré à partir de la page Utilisateurs. Ceux qui ne sont pas configurés pour s'authentifier avec SAML peuvent se connecter normalement. Si vous sélectionnez Required (Obligatoire), tous les utilisateurs de votre organisation associés au domaine de messagerie configuré doivent utiliser l’authentification SAML pour se connecter.

ATTENTION Le paramètre Required (Obligatoire) affecte tous les utilisateurs de votre organisation dont les ID Shopify sont associés au domaine de messagerie configuré, y compris le propriétaire de la boutique. Avant de configurer tous les utilisateurs pour qu’ils se connectent avec l'authentification SAML, il est conseillé de faire un premier test avec certains utilisateurs.

Le paramètre Required (Obligatoire) remplace tous les critères de sécurité individuels pour les utilisateurs de votre entreprise. Si vous modifiez votre configuration à une date ultérieure, vous devrez modifier manuellement les paramètres de vos utilisateurs. Par exemple, supposons que vous ayez configuré votre domaine sur Specific users (Utilisateurs spécifiques) et que trois utilisateurs soient configurés pour se connecter avec l’authentification SAML. Vous avez donc choisi le paramètre Required (Obligatoire), ce qui implique que tous les utilisateurs dont l'ID Shopify est associé au domaine de messagerie configuré s'authentifient avec SAML. Ultérieurement, vous pourrez reconfigurer votre application sur Specific users (Utilisateurs spécifiques). Les trois utilisateurs qui devaient se connecter avec l’authentification SAML n'y sont plus tenus et doivent être reconfigurés sur leur page d’utilisateur.

Les paramètres d’authentification en deux facteurs ne sont pas affectés par l'authentification SAML. Si l’authentification en deux facteurs est requise pour que vos utilisateurs se connectent à votre fournisseur d'identité SAML et que vous exigez ce type d'authentification pour que vos utilisateurs se connectent à Shopify, ceux-ci devront s’authentifier deux fois. Pensez à désactiver l’authentification en deux facteurs dans Shopify après que l'authentification SAML est configurée et requise.

Les sessions d’authentification SAML durent 6 jours avant que vos utilisateurs soient tenus de se reconnecter. Si vous supprimez un utilisateur de l’application Shopify Plus dans votre fournisseur d’identité, celui-ci pourra néanmoins continuer à accéder à Shopify pendant six jours au plus. Pour supprimer complètement l’accès d’un utilisateur, supprimez-le sur la page Utilisateurs de l’interface administrateur Shopify.

Retirer l'authentification SAML

Si l’authentification SAML est configurée sur Off (Désactivée), tous les utilisateurs de votre organisation dont les ID Shopify sont associés à votre domaine de messagerie configuré peuvent se connecter avec leur mot de passe et leur adresse e-mail.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section SAML authentication (authentification SAML), cliquez sur Edit (Modifier).
  3. Sélectionnez Off (Désactivé).
  4. Cliquez sur Save.

Supprimer les domaines

Si vous n’avez plus besoin d’un domaine, ou si vous en avez ajouté un par erreur, vous pouvez le supprimer. Pour cela, votre authentification SAML ne doit pas être configurée sur Required (Obligatoire). Par ailleurs, aucun ID d'utilisateur Shopify ne doit être associé au domaine de messagerie configuré avec l’authentification SAML.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section Vérification du domaine, cliquez sur l’icône de suppression.

Liens connexes

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement