組織用のSAML認証

このページはMay 13, 2021に印刷されています。最新のバージョンについては、https://help.shopify.com/ja/manual/shopify-plus/security/samlをご覧ください。

組織がSAMLを使用してユーザーを認証する場合は、IDプロバイダーでアプリとしてShopifyを追加できます。アプリを設定した後、ユーザー管理へのアクセス権を持つユーザーは、個々のユーザーまたは組織内のすべてのユーザーのいずれかに、SAML IDプロバイダーを使用してIDを認証するように要求することができます。

SAML認証を設定する前に

認証するドメインを提出すると、ユーザーがShopifyの組織にログインする際に影響があります。開始する前に、以下の事項を確認してください。

  • バックアップアカウントを作成する。

    SAML認証統合の問題またはIDプロバイダーによるサービスの中断に備えて、SAML認証に使用するドメインに関連付けられていないバックアップアカウントを作成してください。このアカウントが組織のアクティブユーザーであること、2段階認証を有効にしていること、緊急時にSAMLを無効にできるようにユーザー管理にアクセスできることを確認してください。

  • Shopify IDを設定する。

    SAML認証はドメインに基づいているため、組織内のすべてのユーザーが、組織のドメインに関連付けられたメールアドレスを使用してShopify IDを設定していることを確認してください。

組織用のSAML認証を設定する

SAML設定を行う前に、ドメインを認証する必要があります。

ドメインの認証を待たずに設定を開始できます。

設定を自動的に行う

現在、IDサービスプロバイダーのOkta、OneLogin、およびAzureで設定できます。

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. [SAML設定] セクションで、[設定] をクリックします。
  3. IDプロバイダーにShopify Plusアプリを追加します。
  4. サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。現在、手動で編集することはできません。
  5. [追加] をクリックします。

設定を手動で行う

Okta、OneLogin、およびAzure以外のIDプロバイダーを使用している場合は、手動で設定データを入力する必要があります。

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. [SAML設定] セクションで、[設定] をクリックします。
  3. [SAML設定を表示する] をクリックします。

  4. 以下の値をコピーしてIDサービスプロバイダーに提供します。IDプロバイダーが追加情報をリクエストしている場合は、その情報も提供します。 - シングルサインオンURL: https://accounts.shopify.com/saml/consume/organization/{organization ID}。各組織には固有のIDがあります。SAML設定の詳細にあるシングルサインオンURL入力からこの値をコピーします。

    • オーディエンスURI (SPエンティティID): https://accounts.shopify.com/saml_sp
    • Name IDの形式: Persistent
    • 属性ステートメント: first_namelast_nameemail

  5. サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。現在、手動で編集することはできません。

  6. [追加] をクリックします。

SAML認証を要求する

ドメインを追加して設定した後、認証が完了するまでお待ちください。ドメインのステータスが認証済みに変更されると、SAML認証の設定を変更できます。

SAML認証の留意事項

SAML認証には、[必須][特定のユーザー][オフ] の3つの設定があります。

[特定のユーザー] を選択した場合、Shopify IDと関連付けられた設定済みメールドメインを持つユーザーに対して、ユーザーページから特定のログイン要件を設定できます。SAML認証の要求を設定されていないユーザーは、通常通りにログインできます。[必須] を選択した場合、設定済みのメールドメインを持つ組織内のユーザーすべてがSAML認証を使用してログインする必要があります。

[必須] の設定により、組織内のユーザーに関する個々のセキュリティ要件がすべて置き換えられます。後日設定を変更する場合は、ユーザーの設定を手動で変更する必要があります。

たとえば、ドメインを [特定のユーザー] に設定しており、3人のユーザーにSAML認証を要求するように設定しているとします。その時、[必須] の実行を設定すると、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべてにSAML認証を使用するように要求されます。その後、[特定のユーザー] への実行に再度設定すると、SAML認証を使用してログインすることを要求していた3人のユーザーは実行されなくなるため、ユーザーの詳細ページで再度設定する必要があります。

ユーザーに対してSAML認証を使用するように要求すると、既存の2要素認証要件は削除されます。

SAML認証セッションは6日間有効で、その後ユーザーは再ログインを要求されます。IDプロバイダーのShopifyアプリケーションからユーザーを削除したとしても、削除されたユーザーは最大6日間Shopifyにアクセスできます。ユーザーが組織の管理画面にアクセスできないようにするためには、組織の管理画面のユーザーページで、そのユーザーの組織アクセス権を削除してください。

SAML認証を要求する

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. SAML認証セクションで、[設定の変更] をクリックします。
  3. 認証設定を選択します。
  4. [保存] をクリックします。

SAML認証を削除する

SAML認証が [オフ] に設定されている場合、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべては、自分のパスワードおよびメールアドレスを使用してログインできます。

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. SAML認証セクションで、[設定の変更] をクリックします。
  3. [オフ] を選択します。
  4. [保存] をクリックします。

関連リンク

Shopifyで販売を開始する準備はできていますか?

無料体験を試す