組織用のSAML認証
組織が、ユーザー認証にSecurity Assertion Markup Language (SAML) を使用しており、Shopify Plusプランに加入している場合、IDプロバイダーを使用してShopifyをアプリとして追加できます。アプリを設定した後、組織レベルのユーザー権限を持つユーザーは、個々のユーザーまたは組織内のすべてのユーザーのいずれかに、SAML IDプロバイダーを使用してIDを認証するよう要求することができます。
組織の設定でユーザーを管理する方法について、詳しくはこちらをご覧ください。
SAML認証を設定する前に
認証するためにドメインを送信すると、ユーザーがShopifyの組織にログインする際に影響が発生します。開始する前に、以下の点を確認してください。
- バックアップアカウントを作成する。 SAML認証統合の問題またはIDプロバイダーによるサービスの中断に備えて、SAML認証に使用するドメインに関連付けられていないバックアップアカウントを作成してください。このアカウントが組織のアクティブユーザーであること、2段階認証を有効にしていること、緊急時にSAMLを無効にできるようにユーザーにアクセスできることを確認してください。
- Shopifyアカウントを設定します。 SAML認証はドメインに基づいているため、組織内のすべてのユーザーが、組織のドメインに関連付けられたメールアドレスを使用してShopifyアカウントを設定していることを確認してください。
組織用のSAML認証を設定する
SAML設定を行う前に、ドメインを認証する必要があります。ドメインの認証が完了するまで待たなくても、設定は開始できます。
設定を自動で行う
現在、Okta、OneLogin、Entraで設定できます。
IDサービスプロバイダーのリンク先の手順に従ってください。
- Okta:Shopify PlusでSAML 2.0を設定する方法
- OneLogin:SAML対応アプリ向けにSSOを設定する
- Entra:チュートリアル:Shopify PlusとMicrosoft Entraシングルサインオン (SSO) の統合
組織内でSSO設定を行う場合、IDサービスプロバイダーのガイドに従って、以下の手順を実行してください。
手順:
- 管理画面で、[設定] をクリックします。
- [組織] セクションで、[ユーザー] > [セキュリティ] をクリックします。
- [SAML設定] セクションで、[設定] をクリックします。
- IDプロバイダーでShopify Plusアプリを追加し、固有のシングルサインオンURLを使用してアプリを設定します。
- サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。手動で編集することはできません。
- [追加] をクリックします。
設定を手動で行う
Okta、OneLogin、Entra以外のIDプロバイダーを使用している場合は、設定データを手動で入力する必要があります。
IDサービスプロバイダーでは、一部の値に異なる名称を使用している場合があります。たとえばGoogleのSAML統合では、シングルサインオンURLを意味する用語として「ACS URL」を使用しています。手動での設定中にエラーが発生した場合は、IDサービスプロバイダーにお問い合わせください。
手順:
- 管理画面で、[設定] をクリックします。
- [組織] セクションで、[ユーザー] > [セキュリティ] をクリックします。
- [SAML設定] セクションで、[設定] をクリックします。
- [SAML設定を表示する] をクリックします。
-
以下の値をコピーしてIDサービスプロバイダーに提供します。IDプロバイダーが追加情報をリクエストしている場合は、その情報も提供します。
-
シングルサインオンURL:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
。各組織には固有のIDがあります。SAML設定の詳細にあるシングルサインオンURL入力からこの値をコピーします。 -
オーディエンスURI (SPエンティティID):
https://accounts.shopify.com/saml_sp
-
Name IDの形式:
永続的
。Name IDは、ユーザーに対して変更されない固有のメール値である必要があります。 -
属性ステートメント:
first_name
、last_name
、email
-
シングルサインオンURL:
サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。手動で編集することはできません。
[追加] をクリックします。
SAML認証を要求する
ドメインを追加して設定が完了したら、認証が完了するまでお待ちください。ドメインのステータスが [認証済み] に変わると、[SAML認証] の設定を変更できるようになります。
SAML認証には、[必須]、[特定のユーザー]、[オフ] の3つの設定があります。
SAML認証の留意事項
- [特定のユーザー] を選択した場合は、設定済みメールドメインに関連付けられているShopifyアカウントを持つユーザーに対して、[ユーザー] ページから特定のログイン要件を設定できます。SAML認証が要件として設定されていないユーザーは、通常通りにログインできます。[必須] を選択した場合は、ストアオーナーや組織外ユーザーなど、設定済みメールドメインを持つ全ユーザーがSAML認証を使用してログインする必要があります。
- [必須] を設定することで、ユーザーに関する個々のセキュリティ要件がすべて置き換えられます。後日、設定を変更する場合は、ユーザーの設定を手動で変更する必要があります。 たとえば、ドメインを [特定のユーザー] に設定しており、3人のユーザーにSAML認証を要求するように設定しているとします。その時、[必須] の実行を設定すると、設定済みメールドメインに関連付けられたShopifyアカウントを持つ組織内の全ユーザーはSAML認証を使用するように要求されます。その後、[特定のユーザー] への実行に再度設定すると、ログインの際にSAML認証を必要としていた3人のユーザーは要求されなくなるため、ユーザーの詳細ページで再度設定する必要があります。
- ユーザーに対してSAML認証の使用を要件とした場合は、既存の2要素認証の要件が不要になります。SAMLを設定し、それをログイン要件とする場合は、ユーザーが2回認証する必要が生じないように、2要素認証を無効にしてください。
- デスクトップデバイスを使用するユーザーの場合、SAML認証セッションは14日間有効です。その後は、再ログインを要求されます。モバイルデバイスまたはPOSを使用するユーザーの場合は、アカウントが非アクティブになると、SAML認証セッションは14日後に無効になります。アカウントがアクティブになっている場合、セッションは14日以内に自動更新されます。IDプロバイダーでShopifyのアプリからユーザーを削除しても、そのユーザーは最大14日間、引き続きShopifyにアクセスできます。
- ユーザーが組織の設定にアクセスできないようにするには、組織の設定の [ユーザー] ページで、該当のユーザーが保有する組織へのアクセス権を削除してください。
SAML認証を要求する
手順:
- 管理画面で、[設定] をクリックします。
- [組織] セクションで、[ユーザー] > [セキュリティ] をクリックします。
- SAML認証セクションで、[設定の変更] をクリックします。
- 認証設定を選択します。
- [保存] をクリックします。
SAML認証を削除する
SAML認証が [オフ] に設定されている場合、設定済みメールドメインに関連付けられたShopifyアカウントを持つ組織内の全ユーザーは、自分のパスワードとメールアドレスを使用してログインできます。
手順:
- 管理画面で、[設定] をクリックします。
- [組織] セクションで、[ユーザー] > [セキュリティ] をクリックします。
- SAML認証セクションで、[設定の変更] をクリックします。
- [オフ] を選択します。
- [保存] をクリックします。