SAML-verificatie voor je organisatie
Als je organisatie SAML (Security Assertion Markup Language) gebruikt voor de verificatie van gebruikers en je een Shopify Plus-abonnement hebt, kun je Shopify toevoegen als app bij je identiteitsprovider. Nadat je app is ingesteld, kunnen gebruikers met de Gebruikers-machtiging op organisatieniveau ofwel van individuele gebruikers ofwel van alle gebruikers in je organisatie eisen dat zij hun identiteit verifiëren met behulp van je SAML-identiteitsprovider.
Hier vind je meer informatie over het beheren van gebruikers met Organisatie-instellingen.
Op deze pagina
Voordat je SAML-verificatie in stelt
Het indienen van een domein ter verificatie heeft gevolgen voor de gebruikers die bij je organisatie inloggen in Shopify. Voordat je begint, neem je de volgende aandachtspunten door.
- Een back-upaccount maken. Als er problemen zijn met de integratie van je SAML-verificatie of met onderbrekingen met je identiteitsprovider, maak je een back-upaccount aan dat niet is gekoppeld aan het domein dat je gebruikt voor SAML-verificatie. Zorg ervoor dat dit account een actieve gebruiker is in je organisatie en tweestapsverificatie en Gebruikers-toegang heeft, zodat je in noodgevallen SAML kunt deactiveren.
- Shopify-accounts instellen. Omdat SAML-verificatie is gebaseerd op domeinen, moet je ervoor zorgen dat alle gebruikers in jouw organisatie hun Shopify-account hebben ingesteld met e-mailadressen die zijn gekoppeld aan het domein van jouw organisatie.
SAML-verificatie voor je organisatie instellen
Voordat je de SAML-configuratie kunt instellen, verifieer je eerst je domein. Je kunt al vóór de definitieve verificatie van je domein beginnen met de configuratie.
Configuraties automatisch instellen
Er zijn momenteel configuraties beschikbaar voor Okta, OneLogin en Entra.
Volg de link voor instructies van je identiteitsserviceprovider:
- Okta: SAML 2.0 configureren voor Shopify Plus
- OneLogin: SSO configureren voor apps met SAML
- Entra: Tutorial: Microsoft Entra SSO-integratie (single sign-on) met Shopify Plus
Volg deze stappen op aanwijzing van je identiteitsserviceprovider om de SSO-configuratie binnen je organisatie te voltooien:
Stappen:
Ga in het Shopify-beheercentrum naar Instellingen.
Klik in de sectie Organisatie op Gebruikers > Beveiliging.
Klik in het gedeelte SAML Configuration op configuratie instellen.
Voeg in je identiteitsprovider de Shopify Plus-app toe en configureer de app met je unieke SSO-URL.
Je serviceprovider verstrekt je een metadata-url. Voer deze in het veld Identificatie provider-metadata-url. Nadat de url is ingevoerd, worden de SAML-configuratiedetails automatisch ingevuld en deze kunnen niet handmatig worden bewerkt.
Klik op Toevoegen.
Configuraties handmatig instellen
Als je een andere identiteitsprovider dan Okta, OneLogin of Entra gebruikt, voer je configuratiegegevens handmatig in.
Identiteitsserviceproviders kunnen verschillende namen gebruiken voor bepaalde waarden. De SAML-integratie van Google gebruikt bijvoorbeeld de term ACS URL voor de SSO-URL (Single Sign-On). Als je fouten tegenkomt wanneer je handmatig configuraties instelt, vraag dan de identiteitsserviceprovider om hulp.
Stappen:
Ga in het Shopify-beheercentrum naar Instellingen.
Klik in de sectie Organisatie op Gebruikers > Beveiliging.
Klik in het gedeelte SAML Configuration op configuratie instellen.
Klik op Bekijk SAML-configuratie-instellingen.
-
Kopieer de volgende waarden en geef ze door aan je identiteitsserviceprovider, samen met eventuele aanvullende gegevens die de identiteitsprovider kan opvragen:
-
Single sign-on URL:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
. Elke organisatie heeft een unieke ID. Kopieer deze waarde van de Single sign-on URL in de SAML-configuratiegegevens. -
Doelgroep URI (SP-entiteit-ID):
https://accounts.shopify.com/saml_sp
-
Indeling naam-ID:
Permanent
. We verwachten dat Naam-ID een unieke e-mailwaarde is die ongewijzigd blijft voor de gebruiker. -
Kenmerkinstructies:
first_name
,last_name
,email
-
Single sign-on URL:
Je serviceprovider verstrekt je een metadata-url. Voer deze in het veld Identificatie provider-metadata-url. Nadat de url is ingevoerd, worden de SAML-configuratiedetails automatisch ingevuld en deze kunnen niet handmatig worden bewerkt.
Klik op Toevoegen.
SAML-verificatie vereisen
Nadat je je domein hebt toegeveogd en de configuratie hebt ingesteld, wacht je totdat de verificatie voltooid is. Wanneer de status van je domein in Geverifieerd verandert, kun je de instellingen voor SAML-verificatie wijzigen.
Er zijn drie instellingen voor SAML-verificatie: Verplicht, Specifieke gebruikersen Uit.
Overwegingen bij SAML-verificatie
- Als je Bepaalde gebruikers selecteert, kun je op de pagina Gebruikers specifieke inlogvereisten instellen voor de gebruikers met een Shopify-account dat is gekoppeld aan het ingestelde e-maildomein. Elke gebruiker voor wie geen SAML-verificatie verplicht is, kan zoals gebruikelijk inloggen. Als je Verplicht selecteert, moeten alle gebruikers binnen het e-maildomein dat je hebt ingesteld, SAML-verificatie gebruiken om in te loggen. Dit geldt ook voor de winkeleigenaar en gebruikers buiten de organisatie.
- De instelling Verplicht vervangt alle individuele beveiligingsvereisten voor je gebruikers. Als je de instelling op een later tijdstip wijzigt, moet je de instellingen voor je gebruikers handmatig wijzigen. Je hebt bijvoorbeeld je domein ingesteld op Bepaalde gebruikers en voor drie gebruikers SAML-verificatie verplicht gesteld. Vervolgens stel je Verplicht in, zodat alle gebruikers met een Shopify-account dat aan het e-maildomein is gekoppeld, SAML-verificatie moeten gebruiken. Daarna zet je deze instelling weer terug op Bepaalde gebruikers. Nu zijn de drie gebruikers niet meer verplicht SAML-verificatie te gebruiken om in te loggen. Voor hen moet je dit opnieuw instellen op hun detailpagina.
- Als je gebruikers verplicht SAML-verificatie te gebruiken, zijn de bestaande vereisten voor tweeledige verificatie overbodig. Als je SAML instelt en dit voor het inloggen verplicht stelt, overweeg dan om tweeledige verificatie te deactiveren om te voorkomen dat gebruikers tweemaal hun identiteit moeten verifiëren.
- Gebruikers op een desktopapparaat kunnen 14 dagen ingelogd blijven met SAML-verificatiesessies. Voor gebruikers op een mobiel apparaat of POS vervallen SAML-verificatiesessies na 14 dagen als het account inactief is. Als het account actief is, worden de sessies binnen 14 dagen automatisch verlengd. Als je een gebruiker uit de Shopify-app in je identiteitsprovider verwijdert, kan hij of zij nog maximaal 14 dagen toegang krijgen tot Shopify.
- Voorkom dat gebruikers de Organisatie-instellingen binnen kunnen komen en verwijder hun organisatietoegang op de pagina Gebruikers in de Organisatie-instellingen.
SAML-verificatie vereisen
Stappen:
Ga in het Shopify-beheercentrum naar Instellingen.
Klik in de sectie Organisatie op Gebruikers > Beveiliging.
Klik in het gedeelte SAML-verificatie op Instelling wijzigen.
Kies een verificatie-instelling.
Klik op Opslaan.
SAML-verificatie verwijderen
Als SAML-verificatie is ingesteld op Uit, kunnen alle gebruikers in jouw organisatie met een Shopify-account dat is gekoppeld aan het e-maildomein dat je hebt ingesteld, inloggen met hun wachtwoord en e-mailadres.
Stappen:
Ga in het Shopify-beheercentrum naar Instellingen.
Klik in de sectie Organisatie op Gebruikers > Beveiliging.
Klik in het gedeelte SAML-verificatie op Instelling wijzigen.
Selecteer Uitgeschakeld.
Klik op Opslaan.