Authentification SAML pour votre organisation

Si votre organisation utilise le système SAML pour authentifier les utilisateurs, vous pouvez ajouter Shopify en tant qu’application à votre fournisseur d’identité. Une fois votre application configurée, les utilisateurs disposant de l'accès Gestion des utilisateurs peuvent exiger que certains utilisateurs particuliers ou l'ensemble des utilisateurs de votre organisation authentifient leur identité à l’aide de votre fournisseur d’identité SAML.

Avant de commencer

Soumettre un domaine à vérification a des implications pour les utilisateurs qui se connectent à votre organisation sur Shopify. Avant de commencer, prenez en compte les considérations suivantes.

  • Créez un compte de sauvegarde.

    Pour parer à d'éventuels problèmes avec l'intégration de votre authentification SAML ou à de possibles interruptions avec votre fournisseur d’identité, créez un compte de sauvegarde qui ne soit pas associé au domaine que vous utilisez pour l’authentification SAML. Assurez-vous que ce compte correspond à celui d'un utilisateur actif de votre organisation, que l’authentification en deux étapes y est activée et qu'il bénéficie de l'accès à la gestion des utilisateurs, afin de pouvoir désactiver l'authentification SAML en cas d’urgence.

  • Configurez les identifiants Shopify.

    Étant donné que l’authentification SAML est basée sur les domaines, veillez à ce que tous les utilisateurs de votre organisation aient configuré leur identifiant Shopify avec des adresses e-mail associées au domaine de votre organisation.

  • Configurez des mesures de sécurité provisoires.

    La vérification du domaine de votre organisation est un processus qui peut prendre plusieurs jours. Vous devez donc songer à installer d’autres moyens d’authentification en attendant, par exemple l'authentification à deux facteurs.

  • Vérifiez vos domaines.

    Les domaines ne sont associés qu’à une seule organisation. Utilisez des domaines propres à la vôtre pour l’authentification SAML. Si vous utilisez un domaine qui est également revendiqué par une autre organisation, celle-ci ne peut pas utiliser ce domaine pour sa propre authentification SAML.

    Par exemple, supposons que votre organisation est la filiale d’une entité plus grande. Il se peut que les identifiants de certains de vos utilisateurs soient basés sur des adresses e-mail issues à la fois de votre organisation et de la société mère. Si vous configurez l’authentification SAML de votre filiale en utilisant à la fois votre domaine et celui de la société mère, le domaine de la société mère ne pourra plus être utilisé par aucune autre organisation utilisant Shopify.

    Si certains de vos utilisateurs sont associés à un domaine dont une autre organisation a besoin dans Shopify, ne revendiquez pas ce domaine.

Configurer l'authentification SAML pour son organisation

Avant de pouvoir configurer votre authentification SAML, vous devez vérifier votre domaine.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section Vérification du domaine, cliquez sur Add domain (Ajouter un domaine).
  3. Saisissez le nom de votre domaine et cliquez sur Add (Ajouter).

Le statut du domaine est maintenant en attente. Le processus de vérification de votre domaine peut durer plusieurs jours. Une fois qu'il est terminé, le statut de votre domaine est mis à jour et indique Vérifié ou Rejeté. Un e-mail de notification vous est envoyé avec plus d’informations. Si vous pensez que votre domaine a été rejeté par erreur, contactez l’assistance Shopify Plus.

Vous n’avez pas besoin d’attendre que votre domaine soit vérifié pour commencer votre configuration. À l'heure actuelle, les configurations sont disponibles pour les fournisseurs de services d’identité Okta et Azur. Si vous utilisez un autre fournisseur d’identité, vous devez saisir manuellement vos données de configuration.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section Configuration SAML, cliquez sur Set up configuration (Définir la configuration).
  3. Ajoutez l'application Shopify Plus à votre fournisseur d'identité.
  4. Facultatif : vous pouvez configurer manuellement une application dans votre fournisseur d’identité.

    1. Cliquez sur Show SAML configuration settings (Afficher les paramètres de configuration SAML).
    2. Copiez les valeurs suivantes et transmettez-les à votre fournisseur de services d’identité, ainsi que toutes les informations supplémentaires que celui-ci peut demander : - URL d'authentification unique
    3. URI d'audience (ID d'entité du fournisseur de service)
    4. Format de l'ID de nom
    5. first_name (prénom)
    6. last_name (nom)
    7. e-mail
  5. Votre fournisseur de services vous donnera une URL de métadonnées. Saisissez-la dans le champ Identity provider metadata URL (URL de métadonnées du fournisseur d’identité). Une fois l’URL saisie, les détails de la configuration SAML sont remplis automatiquement et ne peuvent actuellement pas être modifiés manuellement.

  6. Cliquez sur Ajouter.

Après avoir ajouté votre domaine et défini votre configuration, attendez que la vérification soit terminée. Lorsque le statut de votre domaine passe à Vérifié, vous pouvez modifier vos paramètres d'authentification SAML.

Une authentification SAML requise

Une fois la configuration terminée, vous pouvez exiger que les utilisateurs de votre organisation disposent d’ID Shopify associés au domaine de messagerie configuré pour se connecter avec l’authentification SAML.

Considérations relatives à l’authentification SAML

Il existe trois paramètres d’authentification SAML : Obligatoire, Utilisateurs spécifiques et Désactivé.

Si vous sélectionnez Specific users (Utilisateurs spécifiques), vous pouvez définir certains critères de connexion pour ceux dont les ID Shopify sont associés au domaine de messagerie configuré à partir de la page Utilisateurs. Ceux qui ne sont pas configurés pour s'authentifier avec SAML peuvent se connecter normalement. Si vous sélectionnez Required (Obligatoire), tous les utilisateurs de votre organisation associés au domaine de messagerie configuré doivent utiliser l’authentification SAML pour se connecter.

Le paramètre Obligatoire remplace tous les critères individuels de sécurité requis pour les utilisateurs de votre organisation. Si vous modifiez ce paramètre à une date ultérieure, vous devez modifier manuellement les paramètres des utilisateurs.

Par exemple, imaginons que votre domaine est défini sur Utilisateurs spécifiques et que l’authentification SAML est configurée comme obligatoire pour trois utilisateurs. Vous activez le niveau d'application Obligatoire, exigeant ainsi que tous les utilisateurs dont les identifiants Shopify sont associés au domaine de l'adresse e-mail configuré utilisent l’authentification SAML. Plus tard, vous modifiez à nouveau ce paramètre en re-sélectionnant Utilisateurs spécifiques. Les trois utilisateurs qui devaient initialement se connecter avec l’authentification SAML n'y sont alors plus obligés, et vous devez les reconfigurer sur la page de leurs détails.

Les paramètres d’authentification à deux facteurs ne sont pas affectés par l'authentification SAML Si l’authentification à deux facteurs est requise pour se connecter à votre fournisseur d'identité SAML et que vous l'exigez pour se connecter à Shopify, vos utilisateurs devront s’authentifier deux fois. Pensez donc à la désactiver dans Shopify une fois l'authentification SAML configurée et exigée.

Les sessions d’authentification SAML durent six jours avant que vos utilisateurs ne soient tenus de se reconnecter. Si vous retirez un utilisateur de l’application Shopify dans votre fournisseur d’identité, il conserve son accès à Shopify pendant six jours maximum. Pour empêcher les utilisateurs d’accéder à l'interface administrateur de votre organisation, supprimez leurs accès à l’organisation sur la page Utilisateurs de l’interface administrateur Shopify de l'organisation.

Exiger l'authentification SAML

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section SAML authentication (authentification SAML), cliquez sur Edit (Modifier).
  3. Choisissez un paramètre d’authentification.
  4. Cliquez sur Save (Enregistrer).

Retirer l'authentification SAML

Si l’authentification SAML est désactivée, tous les utilisateurs de votre organisation dont les identifiants Shopify sont associés à votre domaine de messagerie configuré peuvent se connecter avec leur mot de passe et leur adresse e-mail.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section SAML authentication (authentification SAML), cliquez sur Edit (Modifier).
  3. Sélectionnez Off (Désactivé).
  4. Cliquez sur Save (Enregistrer).

Supprimer les domaines

Si vous n’avez plus besoin d’un domaine, ou si vous en avez ajouté un par erreur, vous pouvez le supprimer. Pour cela, votre authentification SAML ne doit pas être configurée sur Required (Obligatoire). Par ailleurs, aucun ID d'utilisateur Shopify ne doit être associé au domaine de messagerie configuré avec l’authentification SAML.

Étapes :

  1. Dans l’interface administrateur Shopify, allez à Users (Utilisateurs) > Security (Sécurité).
  2. Dans la section Vérification du domaine, cliquez sur l’icône de suppression.

Liens connexes

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement