Xác thực SAML cho tổ chức
Nếu tổ chức của bạn sử dụng SAML để xác thực người dùng, bạn có thể thêm Shopify làm ứng dụng với nhà cung cấp danh tính. Sau khi thiết lập ứng dụng, người dùng có quyền truy cập Quản lý người dùng có thể yêu cầu từng người dùng hoặc tất cả người dùng trong tổ chức xác thực danh tính bằng nhà cung cấp danh tính SAML của bạn.
Trên trang này
Trước khi thiết lập xác thực SAML
Gửi miền để xác minh sẽ ảnh hưởng đến người dùng đăng nhập vào tổ chức của bạn trên Shopify. Trước khi bắt đầu, bạn cần cân nhắc những điều sau.
Tạo tài khoản dự phòng.
Thiết lập ID Shopify.
Thiết lập xác thực SAML cho tổ chức
Để có thể thiết lập cấu hình SAML, bạn cần xác minh miền.
Bạn không cần phải đợi đến khi miền được xác minh mới bắt đầu thiết lập cấu hình.
Tự động thiết lập cấu hình
Cấu hình hiện có sẵn cho nhà cung cấp dịch vụ danh tính Okta, OneLogin và Azure.
Các bước thực hiện:
- Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
- Trong mục SAML configuration (Cấu hình SAML), nhấp vào Set up configuration (Thiết lập cấu hình).
- Trong mục nhà cung cấp danh tính, thêm ứng dụng Shopify Plus.
- Nhà cung cấp dịch vụ sẽ cung cấp cho bạn một URL siêu dữ liệu. Nhập URL này vào trường Identity provider metadata URL (URL siêu dữ liệu của nhà cung cấp danh tính). Sau khi nhập URL, thông tin chi tiết cấu hình SAML được điền tự động và khi đó không thể chỉnh sửa thủ công.
- Nhấp vào Add (Thêm).
Thiết lập cấu hình theo cách thủ công
Nếu sử dụng nhà cung cấp danh tính khác ngoài Okta, OneLogin và Azure, bạn phải nhập dữ liệu cấu hình theo cách thủ công.
Nhà cung cấp dịch vụ danh tính có thể sử dụng tên khác nhau cho một số giá trị. Ví dụ: Tích hợp SAML của Google sử dụng URL ACS để chỉ URL đăng nhập một lần. Nếu bạn gặp lỗi khi thiết lập cấu hình theo cách thủ công, hãy liên hệ nhà cung cấp dịch vụ danh tính để được hỗ trợ.
Các bước thực hiện:
- Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
- Trong mục SAML configuration (Cấu hình SAML), nhấp vào Set up configuration (Thiết lập cấu hình).
- Nhấp vào Xem cài đặt cấu hình SAML.
-
Sao chép các giá trị sau và cung cấp cho nhà cung cấp dịch vụ danh tính của bạn cùng với mọi thông tin bổ sung mà nhà cung cấp danh tính có thể yêu cầu.
-
URL đăng nhập một lần:
https://accounts.shopify.com/saml/consume/organization/{organization ID}. Mỗi tổ chức có một ID duy nhất. Sao chép giá trị này từ mục nhập URL đăng nhập một lần trong chi tiết cấu hình SAML. -
URI đối tượng (ID thực thể SP):
https://accounts.shopify.com/saml_sp -
Định dạng ID tên:
Persistent -
Câu lệnh thuộc tính:
first_name,last_name,email
-
URL đăng nhập một lần:
Nhà cung cấp dịch vụ sẽ cung cấp cho bạn một URL siêu dữ liệu. Nhập URL này vào trường URL siêu dữ liệu của nhà cung cấp danh tính. Sau khi nhập URL, thông tin chi tiết cấu hình SAML được điền tự động và không thể chỉnh sửa thủ công.
Nhấp vào Add (Thêm).
Yêu cầu xác thực SAML
Sau khi bạn thêm miền và thiết lập cấu hình, hãy chờ tới khi hoàn tất xác thực. Khi trạng thái của miền thay đổi thành Đã xác minh, bạn có thể thay đổi cài đặt Xác thực SAML.
Những điều cần cân nhắc đối với xác thực SAML
Có ba cài đặt cho xác thực SAML: Required (Bắt buộc), Specific users (Người dùng cụ thể) và Off (Tắt).
Nếu chọn Người dùng cụ thể, bạn có thể đặt yêu cầu đăng nhập cụ thể cho người dùng có ID Shopify được liên kết với miền email đã thiết lập từ trang Người dùng. Người dùng không được yêu cầu xác thực SAML có thể đăng nhập bình thường. Nếu bạn chọn Bắt buộc, tất cả người dùng có miền email bạn đã thiết lập phải sử dụng xác thực SAML để đăng nhập.
Cài đặt Bắt buộc thay thế tất cả các yêu cầu bảo mật riêng cho người dùng của bạn. Nếu thay đổi cài đặt trong tương lai, bạn cần thay đổi cài đặt cho người dùng theo cách thủ công.
Ví dụ: Bạn cài đặt miền thành Specific users (Người dùng cụ thể) và cài đặt ba người dùng bắt buộc xác thực SAML. Sau đó, bạn thiết lập thực thi thành Required (Bắt buộc), yêu cầu tất cả người dùng đã liên kết ID Shopify với miền email đã thiết lập sử dụng xác thực SAML. Sau đó, bạn thiết lập lại thực thi thành Specific users (Người dùng cụ thể). Ba người dùng bắt buộc đăng nhập bằng cách sử dụng xác thực SAML không còn hiệu lực nữa và phải thiết lập lại trong trang chi tiết người dùng của họ.
Thao tác yêu cầu người dùng sử dụng xác thực SAML sẽ xóa các yêu cầu xác thực hai yếu tố hiện có.
Đối với người dùng trên máy tính để bàn, các phiên xác thực SAML kéo dài 14 ngày trước khi người dùng bắt buộc phải đăng nhập lại. Nếu bạn xóa người dùng khỏi ứng dụng Shopify trong nhà cung cấp danh tính thì họ vẫn có thể truy cập Shopify trong tối đa 14 ngày nữa. Để ngăn người dùng truy cập vào trang quản trị tổ chức của bạn, hãy xóa quyền truy cập tổ chức của người dùng trên trang Người dùng trong trang quản trị tổ chức trên Shopify.
Đối với người dùng trên thiết bị di động hoặc POS, các phiên xác thực SAML sẽ hết hạn sau 14 ngày nếu tài khoản không hoạt động. Nếu tài khoản có hoạt động thì phiên sẽ tự động gia hạn trong vòng 14 ngày. Nếu bạn xóa người dùng khỏi ứng dụng Shopify trong nhà cung cấp danh tính thì họ vẫn có thể truy cập Shopify trong tối đa 14 ngày nữa. Để ngăn người dùng truy cập vào trang quản trị tổ chức của bạn, hãy xóa quyền truy cập tổ chức của người dùng trên trang Người dùng trong trang quản trị tổ chức trên Shopify.
Yêu cầu xác thực SAML
Các bước thực hiện:
- Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
- Trong mục SAML authentication (Xác thực SAML), nhấp vào Change setting (Thay đổi cài đặt).
- Chọn cài đặt xác thực.
- Nhấp vào Save (Lưu).
Xóa xác thực SAML
Nếu xác thực SAML được đặt thành Tắt, tất cả người dùng trong tổ chức có ID Shopify liên kết với miền email đã thiết lập có thể đăng nhập bằng mật khẩu và địa chỉ email của họ.
Các bước thực hiện:
- Trong trang quản trị tổ chức Shopify, truy cập Users (Người dùng) > Security (Bảo mật).
- Trong mục SAML authentication (Xác thực SAML), nhấp vào Change setting (Thay đổi cài đặt).
- Chọn Off (Tắt).
- Nhấp vào Save (Lưu).