組織用のSAML認証

このページはFeb 08, 2023に印刷されています。最新のバージョンについては、https://help.shopify.com/ja/manual/shopify-plus/security/samlをご覧ください。

組織がSAMLを使用してユーザーを認証する場合は、IDプロバイダーでアプリとしてShopifyを追加できます。アプリを設定した後、ユーザー管理へのアクセス権を持つユーザーは、個々のユーザーまたは組織内のすべてのユーザーのいずれかに、SAML IDプロバイダーを使用してIDを認証するように要求することができます。

SAML認証を設定する前に

認証するドメインを提出すると、ユーザーがShopifyの組織にログインする際に影響があります。開始する前に、以下の事項を確認してください。

  • バックアップアカウントを作成する。

  • Shopify IDを設定する。

組織用のSAML認証を設定する

SAML設定を行う前に、ドメインを認証する必要があります。

ドメインの認証を待たずに設定を開始できます。

設定を自動的に行う

現在、IDサービスプロバイダーのOkta、OneLogin、およびAzureで設定できます。

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. [SAML設定] セクションで、[設定] をクリックします。
  3. IDプロバイダーにShopify Plusアプリを追加します。
  4. サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。現在、手動で編集することはできません。
  5. [追加] をクリックします。

設定を手動で行う

Okta、OneLogin、およびAzure以外のIDプロバイダーを使用している場合は、手動で設定データを入力する必要があります。

IDサービスプロバイダーは、一部の値に異なる名前を使用する場合があります。たとえば、GoogleのSAML統合では、シングルサインオンURLを参照するために、用語「ACS URL」を使用します。手動で設定中にエラーが発生した場合は、IDサービスプロバイダーにお問い合わせください。

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. [SAML設定] セクションで、[設定] をクリックします。
  3. [SAML設定を表示する] をクリックします。

  4. 以下の値をコピーしてIDサービスプロバイダーに提供します。IDプロバイダーが追加情報をリクエストしている場合は、その情報も提供します。

    • シングルサインオンURL: https://accounts.shopify.com/saml/consume/organization/{organization ID}。各組織には固有のIDがあります。SAML設定の詳細にあるシングルサインオンURL入力からこの値をコピーします。
    • オーディエンスURI (SPエンティティID): https://accounts.shopify.com/saml_sp
    • Name IDの形式: Persistent
    • 属性ステートメント: first_namelast_nameemail

  5. サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。手動で編集することはできません。

  6. [追加] をクリックします。

SAML認証を要求する

ドメインを追加して設定した後、認証が完了するまでお待ちください。ドメインのステータスが認証済みに変更されると、SAML認証の設定を変更できます。

SAML認証の留意事項

SAML認証には、[必須][特定のユーザー][オフ] の3つの設定があります。

[特定のユーザー] を選択した場合、Shopify IDと関連付けられた設定済みメールドメインを持つユーザーに対して、[ユーザー] ページから特定のログイン要件を設定できます。SAML認証の要求を設定されていないユーザーは、通常通りにログインできます。[必須] を選択した場合、設定済みのメールドメインを持つユーザーすべてがSAML認証を使用してログインする必要があります。

[必須] を設定することで、ユーザーに関する個々のセキュリティ要件がすべて置き換えられます。後日、設定を変更する場合は、ユーザーの設定を手動で変更する必要があります。

たとえば、ドメインを [特定のユーザー] に設定しており、3人のユーザーにSAML認証を要求するように設定しているとします。その時、[必須] の実行を設定すると、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべてにSAML認証を使用するように要求されます。その後、[特定のユーザー] への実行に再度設定すると、SAML認証を使用してログインすることを要求していた3人のユーザーは実行されなくなるため、ユーザーの詳細ページで再度設定する必要があります。

ユーザーに対してSAML認証を使用するように要求すると、既存の2要素認証要件は削除されます。

デスクトップデバイスのユーザーの場合、ユーザーのSAML認証セッションは14日間有効です。その後は、再ログインを要求されます。IDプロバイダーでShopifyのアプリケーションからユーザーを削除しても、削除されたユーザーは最大14日間、引き続きShopifyにアクセスできます。ユーザーが組織の管理画面にアクセスできないようにするには、組織の管理画面の [ユーザー] ページで、該当のユーザーが保有する組織へのアクセス権を削除してください。

モバイルデバイスまたはPOSのユーザーの場合、アカウントが非アクティブになると、ユーザーのSAML認証セッションは14日後に無効となります。アカウントがアクティブな場合は、14日以内にセッションが自動更新されます。IDプロバイダーでShopifyのアプリケーションからユーザーを削除しても、削除されたユーザーは最大14日間、引き続きShopifyにアクセスできます。ユーザーが組織の管理画面にアクセスできないようにするには、組織の管理画面の [ユーザー] ページで、該当のユーザーが保有する組織へのアクセス権を削除してください。

SAML認証を要求する

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. SAML認証セクションで、[設定の変更] をクリックします。
  3. 認証設定を選択します。
  4. [保存] をクリックします。

SAML認証を削除する

SAML認証が [オフ] に設定されている場合、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべては、自分のパスワードおよびメールアドレスを使用してログインできます。

手順:

  1. 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
  2. SAML認証セクションで、[設定の変更] をクリックします。
  3. [オフ] を選択します。
  4. [保存] をクリックします。

関連リンク

Shopifyで販売を開始する準備はできていますか?

無料体験を試す