Xác thực SAML cho tổ chức

Trang này được in vào Apr 26, 2024. Để lấy phiên bản hiện tại, vui lòng truy cập https://help.shopify.com/vi/manual/organization-settings/security/saml.

Nếu tổ chức của bạn sử dụng Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) để xác thực người dùng, bạn có thể thêm Shopify làm ứng dụng với nhà cung cấp danh tính. Sau khi thiết lập ứng dụng, người dùng có quyền Người dùng ở cấp độ tổ chức có thể yêu cầu từng người dùng hoặc tất cả người dùng trong tổ chức xác thực danh tính bằng nhà cung cấp danh tính SAML của bạn.

Tìm hiểu thêm về Người dùng.

Trên trang này

Trước khi thiết lập xác thực SAML

Gửi miền để xác minh sẽ ảnh hưởng đến người dùng đăng nhập vào tổ chức của bạn trên Shopify. Trước khi bắt đầu, bạn cần lưu ý những điều sau:

  • Tạo tài khoản dự phòng. Trong trường hợp có bất kỳ vấn đề gì khi tích hợp xác thực SAML hoặc gặp gián đoạn với nhà cung cấp danh tính, bạn cần tạo tài khoản dự phòng không liên kết với miền bạn sử dụng để xác thực SAML. Đảm bảo tài khoản này là người dùng đang hoạt động trong tổ chức của bạn, đã kích hoạt tính năng xác thực hai bước và có quyền truy cập Người dùng để bạn có thể hủy kích hoạt SAML trong trường hợp khẩn cấp.
  • Thiết lập tài khoản Shopify. Do xác thực SAML dựa trên miền, hãy đảm bảo rằng tất cả người dùng trong tổ chức đã thiết lập tài khoản Shopify bằng địa chỉ email liên kết với miền của tổ chức.

Thiết lập xác thực SAML cho tổ chức

Để có thể thiết lập cấu hình SAML, bạn cần xác minh miền. Bạn không cần đợi đến khi hoàn tất xác minh miền để bắt đầu thiết lập cấu hình.

Tự động thiết lập cấu hình

Hiện có sẵn cấu hình cho Okta, OneLoginEntra.

Làm theo hướng dẫn được liên kết dựa trên nhà cung cấp dịch vụ danh tính:

Để hoàn tất cấu hình SSO bên phía Shopify, làm theo các bước sau khi được nhà cung cấp dịch vụ danh tính hướng dẫn:

Bước:

  1. Trong trang quản trị Shopify, nhấp vào Settings (Cài đặt).
  2. Trong mục Tổ chức, nhấp vào Người dùng > Bảo mật.
  3. Trong mục SAML configuration (Cấu hình SAML), nhấp vào Set up configuration (Thiết lập cấu hình).
  4. Trong nhà cung cấp danh tính, thêm ứng dụng Shopify Plus và định cấu hình ứng dụng bằng URL đăng nhập một lần duy nhất.
  5. Nhà cung cấp dịch vụ sẽ cung cấp cho bạn một URL siêu dữ liệu. Nhập URL này vào trường URL siêu dữ liệu của nhà cung cấp danh tính. Sau khi nhập URL, thông tin chi tiết cấu hình SAML được điền tự động và không thể chỉnh sửa thủ công.
  6. Nhấp vào Add (Thêm).

Thiết lập cấu hình theo cách thủ công

Nếu sử dụng nhà cung cấp danh tính khác ngoài Okta, OneLogin hoặc Entra, bạn cần nhập dữ liệu cấu hình theo cách thủ công.

Nhà cung cấp dịch vụ danh tính có thể sử dụng tên khác nhau cho một số giá trị. Ví dụ: Tích hợp SAML của Google sử dụng URL ACS để chỉ URL đăng nhập một lần. Nếu bạn gặp lỗi khi thiết lập cấu hình theo cách thủ công, hãy liên hệ với nhà cung cấp dịch vụ danh tính để được hỗ trợ.

Bước:

  1. Trong trang quản trị Shopify, nhấp vào Settings (Cài đặt).
  2. Trong mục Tổ chức, nhấp vào Người dùng > Bảo mật.
  3. Trong mục SAML configuration (Cấu hình SAML), nhấp vào Set up configuration (Thiết lập cấu hình).
  4. Nhấp vào Xem cài đặt cấu hình SAML.

  5. Sao chép các giá trị sau và cung cấp cho nhà cung cấp dịch vụ danh tính của bạn cùng với mọi thông tin bổ sung mà nhà cung cấp danh tính có thể yêu cầu:

    • URL đăng nhập một lần: https://accounts.shopify.com/saml/consume/organization/{organization ID}. Mỗi tổ chức có một ID duy nhất. Sao chép giá trị này từ mục nhập URL đăng nhập một lần trong chi tiết cấu hình SAML.
    • URI đối tượng (ID thực thể SP): https://accounts.shopify.com/saml_sp
    • Định dạng ID tên: Persistent
    • Câu lệnh thuộc tính: given_name, family_name, email

  6. Nhà cung cấp dịch vụ sẽ cung cấp cho bạn một URL siêu dữ liệu. Nhập URL này vào trường URL siêu dữ liệu của nhà cung cấp danh tính. Sau khi nhập URL, thông tin chi tiết cấu hình SAML được điền tự động và không thể chỉnh sửa thủ công.

  7. Nhấp vào Add (Thêm).

Yêu cầu xác thực SAML

Sau khi bạn thêm miền và thiết lập cấu hình, hãy chờ tới khi hoàn tất xác thực. Khi trạng thái của miền thay đổi thành Đã xác minh, bạn có thể thay đổi cài đặt Xác thực SAML.

Có ba cài đặt cho xác thực SAML: Required (Bắt buộc), Specific users (Người dùng cụ thể) và Off (Tắt).

Những điều cần cân nhắc đối với xác thực SAML

  • Nếu chọn Người dùng cụ thể, bạn có thể đặt yêu cầu đăng nhập cụ thể cho người dùng có tài khoản Shopify được liên kết với miền email đã thiết lập từ trang Người dùng. Người dùng không được yêu cầu xác thực SAML có thể đăng nhập bình thường. Nếu bạn chọn Bắt buộc, tất cả người dùng có miền email bạn đã thiết lập phải sử dụng xác thực SAML để đăng nhập, bao gồm cả chủ cửa hàng và người dùng bên ngoài tổ chức.
  • Cài đặt Bắt buộc thay thế tất cả các yêu cầu bảo mật riêng cho người dùng của bạn. Nếu thay đổi cài đặt trong tương lai, bạn cần thay đổi cài đặt cho người dùng theo cách thủ công. Ví dụ: Bạn cài đặt miền thành Người dùng cụ thể và cài đặt ba người dùng bắt buộc xác thực SAML. Sau đó, bạn cài đặt mức độ áp dụng thành Bắt buộc, yêu cầu mọi người dùng có tài khoản Shopify liên kết với miền email đã thiết lập phải sử dụng xác thực SAML. Sau đó, bạn cài đặt lại mức độ áp dụng thành Người dùng cụ thể. Ba người dùng bắt buộc đăng nhập bằng cách sử dụng xác thực SAML không còn hiệu lực và phải thiết lập lại trên trang chi tiết người dùng của họ.
  • Thao tác yêu cầu người dùng sử dụng xác thực SAML sẽ khiến các yêu cầu xác thực hai yếu tố hiện có trở thành thừa thãi. Nếu bạn thiết lập SAML và yêu cầu dùng loại xác thực này để đăng nhập, hãy cân nhắc hủy kích hoạt phương thức xác thực hai yếu tố để tránh yêu cầu người dùng xác thực hai lần.
  • Đối với người dùng trên máy tính để bàn, các phiên xác thực SAML kéo dài 14 ngày trước khi người dùng bắt buộc phải đăng nhập lại. Đối với người dùng trên thiết bị di động hoặc POS, phiên xác thực SAML sẽ hết hạn sau 14 ngày nếu tài khoản không hoạt động; nếu tài khoản đang hoạt động, phiên sẽ tự động gia hạn trong vòng 14 ngày. Nếu bạn xóa người dùng khỏi ứng dụng Shopify trong nhà cung cấp danh tính thì họ vẫn có thể truy cập Shopify trong tối đa 14 ngày nữa.
    • Để ngăn người dùng truy cập vào Cài đặt tổ chức, xóa quyền truy cập tổ chức của họ trên trang Người dùng trong Cài đặt tổ chức.

Yêu cầu xác thực SAML

Bước:

  1. Trong trang quản trị Shopify, nhấp vào Settings (Cài đặt).
  2. Trong mục Tổ chức, nhấp vào Người dùng > Bảo mật.
  3. Trong mục SAML authentication (Xác thực SAML), nhấp vào Change setting (Thay đổi cài đặt).
  4. Chọn cài đặt xác thực.
  5. Nhấp vào Save (Lưu).

Xóa xác thực SAML

Nếu xác thực SAML được đặt thành Tắt, tất cả người dùng trong tổ chức có tài khoản Shopify liên kết với miền email đã thiết lập có thể đăng nhập bằng mật khẩu và địa chỉ email của họ.

Bước:

  1. Trong trang quản trị Shopify, nhấp vào Settings (Cài đặt).
  2. Trong mục Tổ chức, nhấp vào Người dùng > Bảo mật.
  3. Trong mục SAML authentication (Xác thực SAML), nhấp vào Change setting (Thay đổi cài đặt).
  4. Chọn Off (Tắt).
  5. Nhấp vào Save (Lưu).

Bạn đã sẵn sàng bán hàng với Shopify?

Dùng thử miễn phí