組織用のSAML認証
組織がSAMLを使用してユーザーを認証する場合は、IDプロバイダーでアプリとしてShopifyを追加できます。アプリを設定した後、ユーザー管理へのアクセス権を持つユーザーは、個々のユーザーまたは組織内のすべてのユーザーのいずれかに、SAML IDプロバイダーを使用してIDを認証するように要求することができます。
SAML認証を設定する前に
認証するドメインを提出すると、ユーザーがShopifyの組織にログインする際に影響があります。開始する前に、以下の事項を確認してください。
バックアップアカウントを作成する。
Shopify IDを設定する。
組織用のSAML認証を設定する
SAML設定を行う前に、ドメインを認証する必要があります。
ドメインの認証を待たずに設定を開始できます。
設定を自動的に行う
現在、IDサービスプロバイダーのOkta、OneLogin、およびAzureで設定できます。
手順:
- 組織のShopify Adminで、[ユーザー] > [セキュリティ] に移動します。
- [SAML設定] セクションで、[設定] をクリックします。
- IDプロバイダーにShopify Plusアプリを追加します。
- サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。現在、手動で編集することはできません。
- [追加] をクリックします。
設定を手動で行う
Okta、OneLogin、およびAzure以外のIDプロバイダーを使用している場合は、手動で設定データを入力する必要があります。
IDサービスプロバイダーは、一部の値に異なる名前を使用する場合があります。たとえば、GoogleのSAML統合では、シングルサインオンURLを参照するために、用語「ACS URL」を使用します。手動で設定中にエラーが発生した場合は、IDサービスプロバイダーにお問い合わせください。
手順:
- 組織のShopify Adminで、[ユーザー] > [セキュリティ] に移動します。
- [SAML設定] セクションで、[設定] をクリックします。
- [SAML設定を表示する] をクリックします。
-
以下の値をコピーしてIDサービスプロバイダーに提供します。IDプロバイダーが追加情報をリクエストしている場合は、その情報も提供します。
-
シングルサインオンURL:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
。各組織には固有のIDがあります。SAML設定の詳細にあるシングルサインオンURL入力からこの値をコピーします。 -
オーディエンスURI (SPエンティティID):
https://accounts.shopify.com/saml_sp
-
Name IDの形式:
Persistent
-
属性ステートメント:
first_name
、last_name
、email
-
シングルサインオンURL:
サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。手動で編集することはできません。
[追加] をクリックします。
SAML認証を要求する
ドメインを追加して設定した後、認証が完了するまでお待ちください。ドメインのステータスが認証済みに変更されると、SAML認証の設定を変更できます。
SAML認証の留意事項
SAML認証には、[必須]、[特定のユーザー]、[オフ] の3つの設定があります。
[特定のユーザー] を選択した場合、Shopify IDと関連付けられた設定済みメールドメインを持つユーザーに対して、[ユーザー] ページから特定のログイン要件を設定できます。SAML認証の要求を設定されていないユーザーは、通常通りにログインできます。[必須] を選択した場合、設定済みのメールドメインを持つユーザーすべてがSAML認証を使用してログインする必要があります。
[必須] を設定することで、ユーザーに関する個々のセキュリティ要件がすべて置き換えられます。後日、設定を変更する場合は、ユーザーの設定を手動で変更する必要があります。
たとえば、ドメインを [特定のユーザー] に設定しており、3人のユーザーにSAML認証を要求するように設定しているとします。その時、[必須] の実行を設定すると、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべてにSAML認証を使用するように要求されます。その後、[特定のユーザー] への実行に再度設定すると、SAML認証を使用してログインすることを要求していた3人のユーザーは実行されなくなるため、ユーザーの詳細ページで再度設定する必要があります。
ユーザーに対してSAML認証を使用するように要求すると、既存の2要素認証要件は削除されます。
デスクトップデバイスのユーザーの場合、ユーザーのSAML認証セッションは14日間有効です。その後は、再ログインを要求されます。IDプロバイダーでShopifyのアプリケーションからユーザーを削除しても、削除されたユーザーは最大14日間、引き続きShopifyにアクセスできます。ユーザーが組織のShopify Adminにアクセスできないようにするには、組織のShopify Adminの [ユーザー] ページで、該当のユーザーが保有する組織へのアクセス権を削除してください。
モバイルデバイスまたはPOSのユーザーの場合、アカウントが非アクティブになると、ユーザーのSAML認証セッションは14日後に無効となります。アカウントがアクティブな場合は、14日以内にセッションが自動更新されます。IDプロバイダーでShopifyのアプリケーションからユーザーを削除しても、削除されたユーザーは最大14日間、引き続きShopifyにアクセスできます。ユーザーが組織の管理画面にアクセスできないようにするには、組織のShopify Adminの [ユーザー] ページで、該当のユーザーが保有する組織へのアクセス権を削除してください。
SAML認証を要求する
手順:
- 組織のShopify Adminで、[ユーザー] > [セキュリティ] に移動します。
- SAML認証セクションで、[設定の変更] をクリックします。
- 認証設定を選択します。
- [保存] をクリックします。
SAML認証を削除する
SAML認証が [オフ] に設定されている場合、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべては、自分のパスワードおよびメールアドレスを使用してログインできます。
手順:
- 組織のShopify Adminで、[ユーザー] > [セキュリティ] に移動します。
- SAML認証セクションで、[設定の変更] をクリックします。
- [オフ] を選択します。
- [保存] をクリックします。