組織のSCIMユーザー管理
ドメインを認証し、組織のSAML認証を設定した後、SCIM APIトークンを生成できます。
機能
IDサービスプロバイダーにSCIM APIトークンを提供することにより、IDプロバイダーで以下の操作を実行できます。
- ユーザーを作成する
- ユーザーの役割を割り当てる、または更新する
- ユーザーを無効にする
必要事項
SCIMユーザー管理を設定する前に、ドメインを認証してSAML設定を作成する必要があります。認証済みのドメインに関連付けられているユーザーのみを管理できます。
SCIMユーザー管理を設定する
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- SCIM統合セクションで、[APIトークンを生成する] をクリックします。
- [コピー] をクリックして、生成されたトークンをクリップボードにコピーします。
- トークンをIDサービスプロバイダーに提供します。トークンを追加する手順は、使用するIDサービスプロバイダーによって異なります。
OktaでSCIMの設定を完了する
- Shopify Plusアプリを開きます。
-
[サインオン] タブをクリックします。
- アプリケーションユーザー名の形式をメールに設定します。
- [保存] をクリックします。
-
[プロビジョニング] タブをクリックします。
- [API統合を設定する] をクリックします。
- [API統合を有効にする] にチェックを入れ、APIトークンを指定されたフィールドに貼り付けます。
- [API資格情報をテストする] をクリックします。エラーが発生した場合は、Shopify Plus管理画面からAPIトークンを正しくコピーしたことを確認してください。エラーが発生し続けている場合は、Shopify Plusサポートにお問い合わせください。
- [保存] をクリックします。
OneLoginでSCIMの設定を完了する
- Shopify Plusアプリを開きます。
-
設定メニュー項目をクリックします。
- SCIMベアラートークンフィールドに、APIトークンを貼り付けます。
- [保存] をクリックします。
-
パラメーターメニュー項目をクリックします。
- SCIMユーザー名のデフォルト値をメールに設定します。
- [保存] をクリックします。
AzureでSCIMの設定を完了する
- Shopify Plusアプリを開きます。
- [プロビジョニング] メニュー項目をクリックします。
- [開始する] をクリックします。
- プロビジョニングモードメニューで、[自動] を選択します。
-
テナントURLフィールドに、ベースURL (
https://shopifyscim.com/scim/v2/
) を入力します。 - シークレットトークンフィールドに、APIトークンを入力します。
- [接続をテストする] ボタンをクリックします。エラーが発生した場合は、Shopify Plus管理画面からAPIトークンを正しくコピーしたことを確認してください。エラーが発生し続ける場合は、Shopify Plusサポートにお問い合わせください。
- [保存] をクリックします。
- プロビジョニングステータスのスイッチをオンに変更します。
- [保存] をクリックします。
IDサービスプロバイダーにAPIトークンを追加した後、そのサービスでユーザーを追加または削除できます。ShopifyおよびIDサービスプロバイダーを利用するそのユーザーのステータスに応じて、Shopifyへのログイン方法を変更できます。
ユーザーのステータス | Shopify内での効果 |
---|---|
ユーザーは組織にすでに存在しています | IDサービスプロバイダーにユーザーを追加しており、そのユーザーが以下の項目すべてに該当する場合は、ユーザーはSAML認証を使用してログインする必要があります。
|
ユーザーはShopifyに存在しますが、あなたの組織のユーザーではありません | IDサービスプロバイダーにユーザーを追加した場合、そのユーザーが以下のすべてに該当するのであれば、ユーザーは組織に追加され、さらに、SAML認証を使用してログインする必要があります。
|
Shopifyにはユーザーが存在していません | IDサービスプロバイダーにユーザーを追加した場合、そのユーザーが以下のすべてに該当するのであれば、ユーザーは組織に追加され、SAML認証を使用したログインが求められます。
|
APIトークンを追加した後、IDプロバイダーまたは組織管理画面からShopifyに存在しない新しいユーザーを追加すると、新しいユーザーは保留中のステータスに設定されます。ユーザーにSAMLを使用したログインが求められる場合、IDプロバイダーを使用してログインするまで、保留中のステータスのままとなります。
SCIMでの役割の割り当て
SCIMの設定を完了すると、IDサービスプロバイダー経由でSCIMユーザーに役割を任意で割り当てることができます。ユーザーに役割を割り当てる前に、その役割が組織内に存在するかを確認してください。組織の役割が作成されていない場合、既存のSCIMユーザーは更新されません。
サポートされているIDサービスプロバイダーを利用した役割の割り当て
OneLoginアプリとOktaアプリで役割の割り当てが可能になりました。Azureアプリは今後対応予定です。OneLoginやOktaでSCIMユーザーの役割を割り当てる場合や更新する場合は、IDサービスプロバイダーのプロビジョニングポータルで、既存のSCIMユーザーの役割名を変更します。
サポートされていないIDサービスプロバイダーを利用した役割の割り当て
利用しているIDサービスプロバイダーがShopify Plusアプリに対応していない場合、SCIMの設定を手動で編集する必要があります。開始する前に、そのIDサービスプロバイダーがSCIMフィールドとして役割を追加できるかを確認してください。
SCIMユーザーの役割を割り当てるか更新するには、POST、PUT、PATCHのリクエストのJSON本文に、以下のものが含まれている必要があります。
json
{
"name": {
"givenName": "given_name"
"familyName": "family_name"
},
"userName": "email",
"roles": [{"value": "role_name"}]
}
SCIM JSON本文にはroles
と呼ばれるキーが含まれている必要があります。roles
は役割名を格納するハッシュを含む配列でなければなりません。役割名のハッシュが複数提供されている場合、役割を割り当てるために役割名の最後のハッシュだけが使用されます。役割名が無効な場合や、SCIM JSON本文が上記のテンプレートと一致しない場合、役割が割り当てられることも、更新されることもありません。
役割の割り当てを解除する
ユーザーの役割の割り当てを解除するには、組織の管理画面を使用します。Shopifyでユーザーの役割の割り当てを解除する方法について詳しくは、こちらをご覧ください。
SCIM統合を削除する
SCIM統合が不要になった場合は削除できます。この操作は元に戻すことができません。統合を再有効化する必要がある場合は、APIトークンを新たに生成する必要があります。
手順:
- 組織の管理画面で、[ユーザー] > [セキュリティ] に移動します。
- SCIM統合セクションで、APIトークンの横にある [...] をクリックします。
- [トークンを削除する] をクリックします。
制限事項
IDサービスプロバイダーを通して、ストアオーナーと組織のオーナーを削除することはできません。両方のタイプの所有権を移行してから、そのユーザーを削除することができます。ストアオーナーを変更する必要がある場合は、管理画面から変更できます。組織のオーナーを変更する必要がある場合は、Shopify Plusサポートにお問い合わせください。