Xác thực SAML cho tổ chức

Nếu tổ chức của bạn sử dụng SAML để xác thực người dùng, bạn có thể thêm Shopify làm ứng dụng với nhà cung cấp danh tính. Sau khi thiết lập ứng dụng, bạn có thể yêu cầu người dùng xác thực bằng cách sử dụng nhà cung cấp danh tính SAML riêng lẻ hoặc trong toàn bộ tổ chức.

Trước khi bắt đầu

Gửi miền để xác minh có thể ảnh hưởng tới việc người dùng đăng nhập vào tổ chức của bạn trên Shopify. Trước khi bắt đầu, bạn cần cân nhắc những điều sau.

Tạo tài khoản dự phòng

Trong trường hợp có bất kỳ vấn đề gì khi tích hợp xác thực SAML hoặc gặp gián đoạn với nhà cung cấp danh tính, bạn cần tạo tài khoản dự phòng không liên kết với miền bạn sử dụng để xác thực SAML. Đảm bảo tài khoản này là người dùng đang hoạt động trong tổ chức của bạn, đã bật tính năng xác thực hai bước và có quyền truy cập vào phần User managment (Quản lý người dùng) để bạn có thể tắt SAML trong trường hợp khẩn cấp.

Thiết lập ID Shopify

Xác thực SAML dựa trên miền nên bạn cần đảm bảo tất cả người dùng trong tổ chức đã thiết lập Shopify ID (ID Shopify) của họ bằng cách sử dụng địa chỉ email liên kết với miền của tổ chức.

Đánh giá miền

Chỉ có thể liên kết miền với một tổ chức. Bạn nên sử dụng miền độc quyền cho tổ chức để xác thực SAML, vì miền nào đã lấy sẽ không thể dùng cho xác thực SAML tại tổ chức khác.

Ví dụ: Giả định tổ chức của bạn là một chi nhánh của một pháp nhân lớn hơn. Bạn có thể có người dùng với thông tin đăng nhập dựa trên địa chỉ email trong tổ chức của bạn và công ty mẹ. Nếu bạn thiết lập xác thực SAML bằng cả hai miền, những tổ chức khác sử dụng Shopify sẽ không thể sử dụng miền của công ty mẹ.

Nếu đã liên kết người dùng với một miền cần thiết cho tổ chức khác trong Shopify, bạn không được yêu cầu miền đó.

Thiết lập các biện pháp bảo mật tạm thời

Quá trình xác minh miền của tổ chức có thể mất vài ngày, vì vậy bạn có thể cần thiết lập phương thức xác thực thay thế trong lúc chờ đợi, ví dụ như yêu cầu xác thực hai bước.

Thiết lập xác thực SAML cho tổ chức

Cấu hình hiện có sẵn cho nhà cung cấp dịch vụ danh tính Okta và Azure. Nếu sử dụng nhà cung cấp danh tính khác thì bạn có thể nhập dữ liệu cấu hình theo cách thủ công.

Các bước thực hiện:

  1. Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
  2. Trong mục Domain verification (Xác minh miền), nhấp vào Add domain (Thêm miền).
  3. Nhập tên miền và nhấp vào Add (Thêm).

Miền hiện đang ở trạng thái Đang chờ xử lý. Quá trình xác minh miền của bạn có thể mất vài ngày. Khi quá trình hoàn tất, trạng thái của miền được cập nhật thành Đã xác minh hoặc Từ chối và bạn nhận được email thông báo chi tiết. Nếu bạn cho rằng miền của bạn bị từ chối do nhầm lẫn, hãy liên hệ với Bộ phận hỗ trợ Shopify Plus.

Bạn không cần phải đợi đến khi miền được xác minh mới bắt đầu thiết lập cấu hình.

Các bước thực hiện:

  1. Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
  2. Trong mục SAML configuration (Cấu hình SAML), nhấp vào Set up configuration (Thiết lập cấu hình).
  3. Thêm ứng dụng Shopify Plus vào nhà cung cấp danh tính.
  4. Không bắt buộc: Bạn có thể thiết lập ứng dụng trong nhà cung cấp danh tính theo cách thủ công.

    1. Nhấp vào Show SAML configuration settings (Hiển thị cài đặt cấu hình SAML).
    2. Sao chép các giá trị sau và cung cấp cho nhà cung cấp dịch vụ danh tính của bạn cùng với mọi thông tin bổ sung mà nhà cung cấp danh tính có thể yêu cầu: - URL đăng nhập một lần
    3. URI đối tượng (ID thực thể SP)
    4. Định dạng ID tên
    5. first_name
    6. last_name
    7. gửi email
  5. Nhà cung cấp dịch vụ sẽ cung cấp cho bạn một URL siêu dữ liệu. Nhập URL này vào trường Identity provider metadata URL (URL siêu dữ liệu của nhà cung cấp danh tính). Sau khi nhập URL, thông tin chi tiết cấu hình SAML được điền tự động và khi đó không thể chỉnh sửa thủ công.

  6. Nhấp vào Add (Thêm).

Sau khi bạn thêm miền và thiết lập cấu hình, hãy chờ tới khi hoàn tất xác thực. Khi trạng thái của miền thay đổi thành Đã xác minh, bạn có thể thay đổi cài đặt Xác thực SAML.

Yêu cầu xác thực SAML

Sau khi hoàn tất thiết lập, bạn có thể yêu cầu người dùng trong tổ chức có ID Shopify được liên kết với miền email đã thiết lập đăng nhập bằng xác thực SAML.

Lưu ý: Người dùng không thể đăng nhập vào Shopify POS hoặc ứng dụng Shopify bằng cách sử dụng xác thực SAML. Nếu bạn yêu cầu người dùng sử dụng xác thực SAML, họ sẽ không thể đăng nhập. Nếu người dùng trong tổ chức cần đăng nhập vào ứng dụng cho thiết bị di động, bạn không nên thiết lập yêu cầu xác thực SAML đối với họ.

Các bước thực hiện:

  1. Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
  2. Trong mục SAML authentication (Xác thực SAML), nhấp vào Edit (Chỉnh sửa).
  3. Chọn cài đặt xác thực.
  4. Nhấp vào Save (Lưu).

Nếu chọn Specific users (Người dùng cụ thể), bạn có thể đặt yêu cầu đăng nhập cụ thể cho người dùng có ID Shopify được liên kết với miền email đã thiết lập từ trang Users (Người dùng). Người dùng không được yêu cầu xác thực SAML có thể đăng nhập bình thường. Nếu bạn chọn Bắt buộc, tất cả người dùng trong tổ chức với miền email đã thiết lập phải sử dụng xác thực SAML để đăng nhập.

Chú ý: Cài đặt Bắt buộc ảnh hưởng đến tất cả người dùng trong tổ chức liên kết Shopify ID đến miền email đã thiết lập, bao gồm chủ cửa hàng. Trước khi thiết lập tất cả người dùng bắt buộc phải xác thực SAML để đăng nhập, bạn nên thử nghiệm với Người dùng cụ thể trước.

Cài đặt Bắt buộc thay thế tất cả các yêu cầu bảo mật riêng đối với người dùng trong tổ chức. Nếu về sau có thay đổi cài đặt, bạn cần thay đổi cài đặt cho người dùng theo cách thủ công. Ví dụ: Giả sử bạn cài đặt miền thành Người dùng cụ thể và cài đặt ba người dùng bắt buộc phải xác thực SAML. Sau đó, bạn thiết lập thực thi thành Bắt buộc, yêu cầu tất cả người dùng đã liên kết ID Shopify với miền email đã thiết lập sử dụng xác thực SAML. Sau đó, bạn thiết lập thực thi lại thành Người dùng cụ thể. Ba người dùng bắt buộc đăng nhập bằng cách sử dụng xác thực SAML không còn hiệu lực nữa và phải thiết lập lại trong trang người dùng của họ.

Xác thực SAML không ảnh hưởng đến cài đặt xác thực hai yếu tố. Nếu người dùng bắt buộc phải xác thực hai yếu tố để đăng nhập vào nhà cung cấp danh tính SAML và bạn yêu cầu người dùng xác thực hai yếu tố để đăng nhập vào Shopify, người dùng sẽ cần xác thực hai lần. Cân nhắc hủy kích hoạt xác thực hai yếu tố trong Shopify sau khi thiết lập và yêu cầu xác thực SAML.

Các phiên xác thực SAML kéo dài 6 ngày trước khi người dùng bắt buộc phải đăng nhập lại. Nếu bạn xóa người dùng khỏi ứng dụng Shopify Plus trong nhà cung cấp danh tính, họ sẽ vẫn có thể truy cập Shopify trong tối đa sáu ngày. Để xóa hoàn toàn quyền truy cập của người dùng, hãy xóa trên trang Users (Người dùng) trong trang quản trị Shopify của tổ chức.

Xóa xác thực SAML

Nếu xác thực SAML được đặt thành Tắt, tất cả người dùng trong tổ chức có ID Shopify được liên kết với miền email đã thiết lập có thể đăng nhập bằng mật khẩu và địa chỉ email của họ.

Các bước thực hiện:

  1. Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
  2. Trong mục SAML authentication (Xác thực SAML), nhấp vào Edit (Chỉnh sửa).
  3. Chọn Off (Tắt).
  4. Nhấp vào Save (Lưu).

Xóa miền

Nếu bạn không yêu cầu miền hoặc đã thêm một miền do nhầm lẫn, bạn có thể xóa miền đó. Để xóa miền, bạn không thể đặt xác thực SAML thành Bắt buộc và không thể có bất kỳ người dùng nào đã liên kết ID Shopify với miền email đã thiết lập sử dụng xác thực SAML.

Các bước thực hiện:

  1. Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
  2. Trong mục Domain verification (Xác minh miền), nhấp vào biểu tượng xóa.

Liên kết có liên quan

Bạn đã sẵn sàng bán hàng với Shopify?

Dùng thử miễn phí