Gerenciar usuários do SCIM

Depois de verificar seu domínio e configurar a autenticação Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês) para a organização, gere um token da API System for Cross-Domain Identity Management (SCIM). Vale lembrar que esse recurso está disponível apenas para organizações no plano Shopify Plus.

Nesta página

Recursos

Informar o token da API SCIM ao provedor de serviços de identidade permite fazer o seguinte por meio do provedor:

Criar usuários
Atribuir ou atualizar funções de usuário
Desativar usuários

Requisitos para gerenciamento do SCIM

Antes de configurar o gerenciamento de usuários do SCIM, é preciso verificar o domínio e criar uma configuração de SAML. Só é possível gerenciar usuários associados com um domínio verificado da organização.

Considerações para gerenciamento do SCIM

Analise as seguintes considerações para usar o gerenciamento do SCIM para seus usuários:

O primeiro login do usuário no admin da Shopify precisa ser realizado pelo provedor de identidade, e não na página de login da Shopify.
Após a inclusão do token da API, sempre que um usuário novo for adicionado na Shopify por meio do provedor de identidade ou das configurações de Usuários, essa pessoa terá o status definido como Pendente. Caso o login com SAML seja obrigatório, o status permanecerá como Pendente até que esse usuário use o provedor de identidade para fazer login.

Configurar o gerenciamento de usuários do SCIM

Para configurar o gerenciamento do SCIM, você precisa gerar um token da API no admin da Shopify e, em seguida, concluir a configuração no provedor de serviços de identidade escolhido.

No admin da Shopify, acesse Configurações > Usuários.
Clique em Segurança.
Na seção Integração com SCIM, clique em Gerar token da API.
Clique em Copiar para copiar o token gerado para a área de transferência.
Forneça o token ao provedor de serviços de identidade. O procedimento para adicionar o token depende do provedor utilizado.

Okta

Concluir a configuração do SCIM no Okta

Abra o app Shopify Plus.
Clique na aba Entrar.
1. Defina o Formato de nome de usuário da solicitação para E-mail.
2. Clique em Salvar.
Clique na aba Provisão.
1. Clique em Configurar integração da API.
2. Selecione Habilitar integração da API e cole o token da API no campo indicado.
3. Clique em Testar credenciais da API. Caso ocorra um erro, verifique se você copiou corretamente o token da API. Se o problema persistir, entre em contato com o Atendimento ao cliente do Plus.
4. Clique em Salvar.

OneLogin

Concluir a configuração do SCIM no OneLogin

Abra o app Shopify Plus.
Clique no item de menu Configuração.
1. No campo Token de portador do SCIM, cole o token da API.
2. Clique em Salvar.
Clique no item de menu Parâmetros.
1. Defina o valor padrão de Nome de usuário do SCIM como E-mail.
2. Clique em Salvar.

Entra

Concluir a configuração do SCIM no Entra

Abra o app Shopify Plus.
Clique no item de menu Provisionamento.
Clique em Iniciar.
No menu Modo de provisionamento, selecione Automático.
No campo URL do locatário, insira o URL base https://shopifyscim.com/scim/v2/.
No campo Token secreto, insira o token da API.
Clique no botão Testar conexão. Caso ocorra um erro, verifique se você copiou corretamente o token da API. Se o problema persistir, entre em contato com o Atendimento ao cliente do Plus.
Clique em Salvar.
Altere a opção de Provisionamento de status para Ativado.
Clique em Salvar.

Gerenciar usuários com o SCIM

Depois de adicionar o token da API ao provedor de serviços de identidade, é possível acrescentar ou remover usuários por meio desse serviço. A forma de fazer login pode variar de acordo com o status do usuário na Shopify e com o provedor.

Efeitos da criação de um usuário em um provedor de identidade
Status do usuário	Efeito dentro da Shopify
O usuário já existe em sua organização	Se você adicionar um usuário ao provedor de serviços de identidade, ele precisará fazer login usando a autenticação SAML caso todas as condições a seguir forem verdadeiras: O usuário já existe na Shopify. O usuário já existe na organização. Você usa a implementação de usuários específicos. O efeito de remover o acesso de um usuário pelo provedor de identidade depende do status de usuário dele. Se você remover o acesso à Shopify de um usuário ativo com o provedor de serviço de identidade, a pessoa será suspensa da organização. Caso um usuário seja permanentemente excluído pelo provedor, dependendo da configuração, ele poderá ser excluído da organização.
O usuário existe na Shopify, mas não na organização	Se você acrescentar um usuário ao provedor de serviços de identidade, ele será adicionado à sua organização e será necessário fazer login usando a autenticação SAML se todas as condições a seguir forem verdadeiras: O usuário já existe na Shopify. O usuário não existe em sua organização específica. Você usa a implementação Obrigatório ou Usuários específicos.
O usuário não existe na Shopify	Caso você acrescente um usuário ao provedor de serviços de identidade, ele será adicionado à sua organização e precisará fazer login com autenticação SAML se todas as condições abaixo forem verdadeiras: O usuário não existe na Shopify. Você usa a implementação Obrigatório ou Usuários específicos. O primeiro login do usuário no admin da Shopify precisa ser realizado pelo provedor de identidade, e não na página de login da Shopify.

Após a inclusão do token da API, quando um usuário novo for adicionado na Shopify por meio do provedor de identidade ou das Configurações da organização, essa pessoa terá o status definido como Pendente. Caso o login com SAML seja obrigatório, o status permanecerá como Pendente até que esse usuário use o provedor de identidade para fazer login.

Atribuição de função no SCIM

Após concluir a configuração do SCIM, é possível atribuir funções aos usuários do SCIM por meio do provedor de serviços de identidade. Antes da atribuição, verifique se a função existe na organização, pois os usuários de SCIM existentes não são atualizados se a função não tiver sido criada para a organização.

Atribuição de funções em provedores de serviço de identidade aceitos

É possível atribuir funções nos apps Entra, OneLogin e Okta. Vale lembrar que a criação e a atribuição de nomes de função são diferentes para cada provedor de identidade.

Okta

Atribuir funções no Okta

Abra o app Shopify Plus no Okta.
Clique na aba Atribuições.
Clique em Atribuir para adicionar um usuário ou editar os atributos de um usuário atual.
Na janela modal que será aberta, adicione ou atualize o nome da função da Shopify no campo Nome da função (opcional).
Clique em Salvar.

OneLogin

Atribuir funções no OneLogin

Abra o app Shopify Plus no OneLogin.
Na barra de navegação, clique em Usuários.
Clique em Novo usuário para adicionar um usuário ou clique em um usuário para editar ou adicionar o nome da função.
Em Informações do usuário, na barra de navegação lateral, encontre a seção Campos personalizados.
Adicione o nome da função no campo Nome da função (opcional).
Clique em Salvar usuário.

Entra

Atribuir funções no Entra

Entre no portal do Entra.
Siga este guia fornecido pela Microsoft para criar uma função para o app Shopify Plus. O nome da função precisa ser igual ao da organização da Shopify.
Siga este guia fornecido pela Microsoft para atribuir a função a usuários no app Shopify Plus.
Para testar se a atribuição de função funciona, provisione o usuário sob demanda.

Atribuir funções em provedores de serviço de identidade não aceitos

Se o provedor de serviços de identidade não tiver um app Shopify Plus, edite manualmente a configuração do SCIM. Antes de começar, verifique se o provedor permite a inclusão de funções como um campo SCIM.

Para atribuir ou atualizar uma função de usuário do SCIM, o corpo JSON nas solicitações POST, PUT e PATCH precisa incluir este código:

{
  "name": {
    "givenName": "given_name"
    "familyName": "family_name"
  },
  "userName": "email",
  "roles": [{"value": "role_name"}]
}

O corpo JSON do SCIM precisa incluir uma chave chamada roles. A chave roles precisa ser uma matriz com um hash que armazene o nome da função. Se houver vários hashes com nomes de função, só o da última função será usado para a atribuição. Caso o nome da função seja inválido ou o corpo JSON do SCIM não corresponda ao modelo acima, as funções não serão atribuídas ou atualizadas.

Desatribuir funções

Você pode cancelar a atribuição de uma função na página Configurações > Usuários do admin da Shopify. Saiba mais como gerenciar funções na Shopify.

Remover a integração com SCIM

Remova a integração com SCIM se ela não for mais obrigatória. Não foi possível desfazer essa ação. Para reativar a integração, é preciso gerar um novo token da API.

Etapas:

No admin da Shopify, acesse Configurações > Usuários.
Clique em Segurança.
Na seção Integração com SCIM, clique em ... ao lado do token da API.
Clique em Excluir token.

Restrições

Não é possível remover titulares de loja e organização por meio de um provedor de serviços de identidade, pois é preciso transferir os dois tipos de titularidade antes de excluir o usuário. Portanto, para alterar o titular da loja, acesse o admin da Shopify. Já para mudar o titular da organização, entre em contato com o Atendimento ao cliente do Plus.