組織のSCIMユーザー管理

ドメインを認証し、組織のSecurity Assertion Markup Language (SAML) 認証を設定した後、System for Cross-domain Identity Management (SCIM) APIトークンを生成できます。ユーザー用SCIMトークンの生成は、Shopify Plusプランに加入している組織でのみ利用可能です。

機能

IDサービスプロバイダーにSCIM APIトークンを提供することにより、IDプロバイダーで以下の操作を実行できます。

  • ユーザーを作成する
  • ユーザーの役割を割り当てる、または更新する
  • ユーザーを無効にする

必要事項

SCIMユーザー管理を設定する前に、ドメインを認証してSAML設定を作成する必要があります。組織用に認証したドメインと関連付けられているユーザーのみを管理できます。

SCIMユーザー管理を設定する

  1. 管理画面で、[設定] > [ユーザー] の順に移動します。

  2. [セキュリティー] をクリックします。

  3. SCIM統合セクションで、[APIトークンを生成する] をクリックします。

  4. [コピー] をクリックして、生成されたトークンをクリップボードにコピーします。

  5. トークンをIDサービスプロバイダーに提供します。トークンを追加する手順は、使用するIDサービスプロバイダーによって異なります。

Okta

OktaでSCIMの設定を完了する

  1. Shopify Plusアプリを開きます。
  2. [サインオン] タブをクリックします。

    1. アプリケーションユーザー名の形式メールに設定します。
    2. [保存] をクリックします。
  3. [プロビジョニング] タブをクリックします。

    1. [API統合を設定する] をクリックします。
    2. [API統合を有効にする] を選択して、指定されたフィールドにAPIトークンを貼り付けます。
    3. [API資格情報をテストする] をクリックします。エラーが発生した場合は、APIトークンを正しくコピーしたことを確認してください。エラーが発生し続ける場合は、Shopify Plusサポートにお問い合わせください。
    4. [保存] をクリックします。
OneLogin

OneLoginでSCIMの設定を完了する

  1. Shopify Plusアプリを開きます。
  2. 設定メニュー項目をクリックします。

    1. SCIMベアラートークンフィールドに、APIトークンを貼り付けます。
    2. [保存] をクリックします。
  3. パラメーターメニュー項目をクリックします。

    1. SCIMユーザー名のデフォルト値をメールに設定します。
    2. [保存] をクリックします。
Entra

EntraでSCIMの設定をする

  1. Shopify Plusアプリを開きます。
  2. [プロビジョニング] メニュー項目をクリックします。
  3. [開始する] をクリックします。
  4. プロビジョニングモードメニューで、[自動] を選択します。
  5. テナントURLフィールドに、ベースURL (https://shopifyscim.com/scim/v2/) を入力します。
  6. シークレットトークンフィールドに、APIトークンを入力します。
  7. [接続をテストする] ボタンをクリックします。エラーが発生した場合は、APIトークンを正しくコピーしたことを確認してください。エラーが発生し続ける場合は、Shopify Plusサポートにお問い合わせください。
  8. [保存] をクリックします。
  9. プロビジョニングステータスのスイッチをオンに変更します。
  10. [保存] をクリックします。

IDサービスプロバイダーにAPIトークンを追加した後、そのサービスでユーザーを追加または削除できます。ShopifyおよびIDサービスプロバイダーを利用するそのユーザーのステータスに応じて、Shopifyへのログイン方法を変更できます。

IDプロバイダーでユーザーを作成することの効果
ユーザーのステータスShopify内での効果
ユーザーは組織にすでに存在していますIDサービスプロバイダーにユーザーを追加しており、そのユーザーが以下の項目すべてに該当する場合は、ユーザーはSAML認証を使用してログインする必要があります。

  • ユーザーがShopifyにすでに存在している
  • ユーザーが組織にすでに存在している
  • 特定のユーザーへの実行を選択する
IDプロバイダーを通じてユーザーのアクセス権を削除することによる影響は、ユーザーのステータスによって異なります。IDサービスプロバイダーを使用して、アクティブユーザーのShopifyへのアクセス権を削除すると、そのユーザーは組織で一時停止となります。IDサービスプロバイダーを使用してユーザーを完全に削除すると、そのユーザーはIDプロバイダーの設定によっては組織から削除される可能性があります。
ユーザーはShopifyに存在しますが、あなたの組織のユーザーではありませんIDサービスプロバイダーにユーザーを追加した場合、そのユーザーが以下のすべてに該当するのであれば、ユーザーは組織に追加され、さらに、SAML認証を使用してログインする必要があります。

  • ユーザーがShopifyにすでに存在している
  • ユーザーは特定の組織に存在していない
  • 必須または特定のユーザーへの実行を選択する
Shopifyにはユーザーが存在していませんIDサービスプロバイダーにユーザーを追加した場合、そのユーザーが以下のすべてに該当するのであれば、ユーザーは組織に追加され、SAML認証を使用したログインが求められます。

  • ユーザーがShopifyに存在していない
  • 必須または特定のユーザーへの実行を選択する
ユーザーが初めて管理画面にログインする場合、そのユーザーはShopifyのログインページからではなくIDプロバイダーからログインする必要があります。

APIトークンを追加した後、IDプロバイダーまたは組織の設定からShopifyに存在しない新しいユーザーを追加すると、新しいユーザーは保留中のステータスに設定されます。ユーザーにSAMLを使用したログインが求められる場合、IDプロバイダーを使用してログインするまで、保留中のステータスのままとなります。

SCIMでの役割の割り当て

SCIMの設定を完了すると、IDサービスプロバイダー経由でSCIMユーザーに役割を任意で割り当てることができます。ユーザーに役割を割り当てる前に、その役割が組織内に存在するかを確認してください。組織の役割が作成されていない場合、既存のSCIMユーザーは更新されません。

サポートされているIDサービスプロバイダーを利用した役割の割り当て

Entraアプリ、OneLoginアプリ、Oktaアプリでは、役割の割り当てに対応しています。役割名の作成と割り当ては、IDプロバイダーごとに異なります。

Okta

Oktaで役割を割り当てる

  1. OktaでShopify Plusアプリを開きます。
  2. [割り当て] タブをクリックします。
  3. [割り当てる] をクリックして、ユーザーを追加するか、既存のユーザーの属性を編集します。
  4. 開いたモーダルで、[役割名 (任意)] に、Shopifyの役割名を追加または更新します。
  5. [保存] をクリックします。
OneLogin

OneLoginで役割を割り当てる

  1. OneLoginでShopify Plusアプリを開きます。
  2. メニューバーで、[ユーザー] をクリックします。
  3. [新しいユーザー] をクリックしてユーザーを追加するか、ユーザーをクリックして編集したり役割名を追加したりします。
  4. サイドメニューバーの [ユーザー情報][カスタムフィールド] セクションを見つけます。
  5. [役割名 (任意)] フィールドに、役割名を追加します。
  6. [ユーザーを保存] をクリックします。
Entra

Entraで役割を割り当てる

  1. Entraポータルにログインします。
  2. Microsoftが提供するガイドに従って、Shopify Plusアプリの役割を作成します。役割名は、Shopify組織内の役割名と同じ名前である必要があります。
  3. Microsoftが提供するガイドに従って、Shopify Plusアプリでユーザーに役割を割り当てます。
  4. 役割の割り当てが正常に実行されたことを確認するには、オンデマンドのユーザーのプロビジョニングを行います

サポートされていないIDサービスプロバイダーを利用した役割の割り当て

利用しているIDサービスプロバイダーがShopify Plusアプリに対応していない場合、SCIMの設定を手動で編集する必要があります。開始する前に、そのIDサービスプロバイダーがSCIMフィールドとして役割を追加できるかを確認してください。

SCIMユーザーの役割を割り当てるか更新するには、POSTPUTPATCHのリクエストのJSON本文に、以下が含まれている必要があります。

{
  "name": {
    "givenName": "given_name"
    "familyName": "family_name"
  },
  "userName": "email",
  "roles": [{"value": "role_name"}]
}

SCIM JSON本文にはrolesと呼ばれるキーが含まれている必要があります。rolesキーは役割名を格納するハッシュを含む配列でなければなりません。役割名のハッシュが複数提供されている場合、役割を割り当てるために役割名の最後のハッシュだけが使用されます。役割名が無効な場合や、SCIM JSON本文が上記のテンプレートと一致しない場合、役割が割り当てられることも、更新されることもありません。

役割の割り当てを解除する

ユーザーの役割の割り当てを解除するには、組織の設定を使用します。Shopifyでユーザーの役割の割り当てを解除する方法について、詳しくはこちらをご覧ください。

SCIM統合を削除する

SCIM統合が不要になった場合は削除できます。この操作は元に戻すことができません。統合を再有効化する必要がある場合は、APIトークンを新たに生成する必要があります。

手順

  1. 管理画面で、[設定] > [ユーザー] の順に移動します。

  2. [セキュリティー] をクリックします。

  3. SCIM統合セクションで、APIトークンの横にある [...] をクリックします。

  4. [トークンを削除する] をクリックします。

制限事項

IDサービスプロバイダーを通して、ストアオーナーと組織のオーナーを削除することはできません。両方のタイプの所有権を移行してから、そのユーザーを削除することができます。ストアオーナーを変更する必要がある場合は、管理画面から変更できます。組織のオーナーを変更する必要がある場合は、Shopify Plusサポートにお問い合わせください。

お探しの情報が見つかりませんか?いつでもお気軽にお問い合わせください。