組織用のSAML認証
組織がSAMLを使用してユーザーを認証する場合は、IDプロバイダーでアプリとしてShopifyを追加できます。アプリを設定した後、ユーザー管理へのアクセス権を持つユーザーは、個々のユーザーまたは組織内のすべてのユーザーのいずれかに、SAML IDプロバイダーを使用してIDを認証するように要求することができます。
始める前に
認証するドメインを提出すると、ユーザーがShopifyの組織にログインする際に影響があります。開始する前に、以下の事項を確認してください。
-
バックアップアカウントを作成する。
SAML認証統合の問題またはIDプロバイダーによるサービスの中断に備えて、SAML認証に使用するドメインに関連付けられていないバックアップアカウントを作成してください。このアカウントが組織のアクティブユーザーであること、2段階認証を有効にしていること、緊急時にSAMLを無効にできるようにユーザー管理にアクセスできることを確認してください。
-
Shopify IDを設定する。
SAML認証はドメインに基づいているため、組織内のすべてのユーザーが、組織のドメインに関連付けられたメールアドレスを使用してShopify IDを設定していることを確認してください。
-
暫定的にセキュリティ対策を設定する。
組織のドメインを認証するプロセスに数日かかる場合があるため、一時的に2要素認証を要求するなど、代替の認証方法を設定することを考慮してください。
-
ドメインを確認する。
ドメインは1つの組織にのみ関連付けられています。SAML認証には、組織専用のドメインを使用してください。別の組織も要求しているドメインを使用する場合、別の組織はそのドメインをSAML認証に使用することはできません。
たとえば、組織が大企業の子会社であるとします。その場合、あなたの組織と親会社の両方のメールアドレスでログインできるユーザーがいることになります。あなたの組織と親会社の両方のドメインを使用して、子会社組織のSAML認証を設定した場合、Shopifyを使用している他の組織では、親会社のドメインが使用できなくなります。
Shopifyの別の組織で必要とされるドメインと関連付けられているユーザーがいる場合は、別組織のドメインを要求しないでください。
組織用のSAML認証を設定する
SAML設定を設定する前に、ドメインを認証する必要があります。
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- [ドメイン認証] セクションで、[ドメインを追加する] をクリックします。
- ドメイン名を入力し、[追加] をクリックします。
ドメインは現在、保留中になっています。ドメインを認証する処理には数日かかることがあります。ドメインの認証処理が完了すると、ドメインのステータスが認証済み、または拒否に更新され、さらに詳しい情報を含む通知メールが届きます。ドメインがエラーで拒否されたと思われる場合は、Shopify Plusサポートにお問い合わせください。
ドメインの認証を待たずに設定を開始できます。
設定を自動的に行う
現在、IDサービスプロバイダーのOktaとAzureで設定できます。
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- [SAML設定] セクションで、[設定] をクリックします。
- IDプロバイダーにShopify Plusアプリを追加します。
- サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。現在、手動で編集することはできません。
- [追加] をクリックします。
設定を手動で行う
OktaまたはAzure以外のIDプロバイダーを使用している場合は、手動で設定データを入力する必要があります。
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- [SAML設定] セクションで、[設定] をクリックします。
- [SAML設定を表示する] をクリックします。
-
以下の値をコピーしてIDサービスプロバイダーに提供します。それに加えてIDプロバイダーが追加情報の提供をリクエストする可能性もあります。 - シングルサインオンURL:
https://accounts.shopify.com/saml/consume/organization/{organization ID}。組織IDは、組織の管理画面のURLに記載されている番号です。たとえば、Shopifyの組織の管理画面のURLがhttps://shopify.plus/12312312である場合、組織IDは12312312です。-
オーディエンスURI (SPエンティティID):
https://accounts.shopify.com/saml_sp -
Name IDの形式:
Persistent -
属性ステートメント:
first_name、last_name、email
-
オーディエンスURI (SPエンティティID):
サービスプロバイダーにより、メタデータURLが提供されます。[IDプロバイダーのメタデータURL] フィールドにそのメタデータURLを入力します。URLを入力するとSAML設定の詳細が自動的に設定されます。現在、手動で編集することはできません。
[追加] をクリックします。
SAML認証を要求する
ドメインを追加して設定した後、認証が完了するまでお待ちください。ドメインのステータスが認証済みに変更されると、SAML認証の設定を変更できます。
SAML認証の留意事項
SAML認証には、[必須]、[特定のユーザー]、[オフ] の3つの設定があります。
[特定のユーザー] を選択した場合、Shopify IDと関連付けられた設定済みメールドメインを持つユーザーに対して、ユーザーページから特定のログイン要件を設定できます。SAML認証の要求を設定されていないユーザーは、通常通りにログインできます。[必須] を選択した場合、設定済みのメールドメインを持つ組織内のユーザーすべてがSAML認証を使用してログインする必要があります。
[必須] の設定により、組織内のユーザーに関する個々のセキュリティ要件がすべて置き換えられます。後日設定を変更する場合は、ユーザーの設定を手動で変更する必要があります。
たとえば、ドメインを [特定のユーザー] に設定しており、3人のユーザーにSAML認証を要求するように設定しているとします。その時、[必須] の実行を設定すると、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべてにSAML認証を使用するように要求されます。その後、[特定のユーザー] への実行に再度設定すると、SAML認証を使用してログインすることを要求していた3人のユーザーは実行されなくなるため、ユーザーの詳細ページで再度設定する必要があります。
SAML認証によって2段階認証の設定が影響を受けることはありません。ユーザーがSAML IDプロバイダーにログインするために2要素認証が必要で、Shopifyにログインするためにユーザーに対して2要素認証を要求する場合、ユーザーは2回認証する必要があります。SAML認証を設定および要求した後に、Shopify内での2要素認証の無効化を検討してください。
SAML認証セッションは6日間有効で、その後ユーザーは再ログインを要求されます。IDプロバイダーのShopifyアプリケーションからユーザーを削除したとしても、削除されたユーザーは最大6日間Shopifyにアクセスできます。ユーザーが組織の管理画面にアクセスできないようにするためには、組織の管理画面のユーザーページで、そのユーザーの組織アクセス権を削除してください。
SAML認証を要求する
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- SAML認証セクションで、[編集] をクリックします。
- 認証設定を選択します。
- [保存] をクリックします。
SAML認証を削除する
SAML認証が [オフ] に設定されている場合、設定済みメールドメインに関連付けられたShopify IDを持つ組織内のユーザーすべては、自分のパスワードおよびメールアドレスを使用してログインできます。
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- SAML認証セクションで、[編集] をクリックします。
- [オフ] を選択します。
- [保存] をクリックします。
ドメインを削除する
ドメインが不要になった場合、または誤って追加した場合は削除できます。ドメインを削除するには、SAML認証を [必須] の状態から解除し、設定済みメールドメインと関連付けられたShopify IDを持つ、SAML認証を使用するユーザーを含めないようにしてください。
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- [ドメイン認証] セクションで、削除アイコンをクリックします。