组织的 SCIM 用户管理

为组织验证域名设置安全断言标记语言 (SAML) 身份验证后,您可以生成跨域名身份管理系统 (SCIM) API 令牌。为用户生成 SCIM 令牌的功能仅适用于使用 Shopify Plus 套餐的组织。

功能

通过向您的身份信息服务提供商提供 SCIM API 令牌,您可以通过您的身份信息提供商执行以下操作:

  • 创建用户
  • 分配或更新用户角色
  • 停用用户

要求

设置 SCIM 用户管理之前,您需要验证您的域名创建 SAML 配置。您只能管理与您已为组织验证的域名相关联的用户。

配置 SCIM 用户管理

  1. 在 Shopify 后台中,转至设置

  2. 组织部分,点击用户 > 安全

  3. SCIM 集成部分中,点击生成 API 令牌

  4. 点击复制,将生成的令牌复制到剪贴板。

  5. 向您的身份信息服务提供商提供令牌。添加令牌的过程取决于您使用的身份信息服务提供商。

Okta

在 Okta 中完成 SCIM 配置

  1. 打开 Shopify Plus 应用。
  2. 点击登录选项卡。

    1. 应用程序用户名格式设置为电子邮件
    2. 点击保存
  3. 点击预配选项卡。

    1. 点击配置 API 集成
    2. 选择启用 API 集成,然后在提供的字段中粘贴 API 令牌。
    3. 点击测试 API 凭据。如果遇到错误,请验证您是否正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 支持。
    4. 点击保存
OneLogin

在 OneLogin 中完成 SCIM 配置

  1. 打开 Shopify Plus 应用。
  2. 点击配置菜单项。

    1. SCIM Bearer 令牌字段中,粘贴 API 令牌。
    2. 点击保存
  3. 点击参数菜单项。

    1. SCIM 用户名的默认值设置为电子邮件
    2. 点击保存
Entra

在 Entra 中完成 SCIM 配置

  1. 打开 Shopify Plus 应用。
  2. 点击预配菜单项。
  3. 点击开始
  4. 预配模式菜单中,选择自动
  5. 租户 URL 字段中,输入 https://shopifyscim.com/scim/v2/ 的基本 URL。
  6. 加密令牌字段中,输入 API 令牌。
  7. 点击测试连接按钮。如果遇到错误,请验证您是否正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 支持。
  8. 点击保存
  9. 预配状态开关更改为开启
  10. 点击保存

在向您的标识服务提供商添加 API 令牌后,您可以通过该服务添加或删除用户。根据用户在 Shopify 和您的标识服务提供商中的用户状态,这可能会更改他们登录 Shopify 的方式。

在身份信息提供商中创建用户产生的影响
用户状态在 Shopify 中产生的影响
您的组织中已存在的用户如果您在标识服务提供商中添加某位用户,则在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:

  • 用户已存在于 Shopify 中
  • 用户已存在于您的组织中
  • 您使用特定用户强制措施
通过身份信息提供商删除用户访问权限的效果取决于用户的用户状态。如果您使用身份信息服务提供商删除了某位活跃用户的 Shopify 访问权限,则该用户会在您的组织中被暂停。如果您使用身份信息服务提供商永久删除某位用户,则可能会从您的组织中删除该用户,具体取决于您的身份信息提供商设置。
用户存在于 Shopify 中,但不存在于您的组织中如果您在标识服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:

  • 用户已存在于 Shopify 中
  • 您的特定组织中不存在该用户
  • 您使用必需特定用户强制措施
Shopify 中不存在的用户如果您在身份信息服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:

  • Shopify 中不存在该用户
  • 您使用必需特定用户强制措施
当用户第一次登录 Shopify 后台时,该用户必须通过身份信息提供商完成登录,而不是通过 Shopify 登录页面。

添加 API 令牌后,当您通过身份信息提供商或“组织设置”添加之前不存在于 Shopify 中的新用户时,您的新用户将被设为待处理状态。如果您的用户需要使用 SAML 进行登录,那么在使用您的身份信息提供商登录前,他们将保持待处理状态。

SCIM 中的角色分配

完成 SCIM 配置后,您可以选择通过您的身份信息服务提供商向 SCIM 用户分配角色。在向用户分配角色之前,请验证您的组织中是否存在该角色。如果您的组织中尚未创建此角色,则现有 SCIM 用户将不会更新。

在受支持的身份信息服务提供商中分配角色

Entra、OneLogin 和 Okta 应用中支持角色分配。每个身份信息提供商的角色名称创建和分配方式有所不同。

Okta

在 Okta 中分配角色

  1. 在 Okta 中打开 Shopify Plus 应用。
  2. 点击分配选项卡。
  3. 点击分配以添加用户或编辑现有用户的属性
  4. 在打开的模态窗口内,在角色名称(可选)字段中添加或更新 Shopify 角色名称。
  5. 点击保存
OneLogin

在 OneLogin 中分配角色

  1. 在 OneLogin 中打开 Shopify Plus 应用。
  2. 在网站导航栏中,点击用户
  3. 点击新用户以添加用户,或点击用户以编辑或添加角色名称。
  4. 在侧导航栏中的用户信息下,找到自定义字段部分。
  5. 角色名称(可选)字段中添加角色名称。
  6. 点击保存用户
Entra

在 Entra 中分配角色

  1. 登录 Entra 门户。
  2. 按照 Microsoft 提供的此指南为 Shopify Plus 应用创建角色。角色名称必须与 Shopify 组织中的角色名称相同。
  3. 按照 Microsoft 提供的此指南在 Shopify Plus 应用中为用户分配角色。
  4. 若要测试角色分配是否成功,请按需预配用户

在不受支持的身份信息服务提供商中分配角色

如果您的身份信息服务提供商没有 Shopify Plus 应用,则您需要手动编辑 SCIM 配置。在开始之前,请确认您的身份信息服务提供商可以将角色添加为 SCIM 字段。

若要分配或更新 SCIM 用户角色,POSTPUTPATCH 请求中的 JSON 正文必须包含以下内容:

{
  "name": {
    "givenName": "given_name"
    "familyName": "family_name"
  },
  "userName": "email",
  "roles": [{"value": "role_name"}]
}

SCIM JSON 正文必须包含名为 roles 的键。roles 键必须是一个数组,其中包含用于存储角色名称的哈希。如果提供了多个角色名称哈希,则仅使用最后一个角色名称哈希来分配角色。如果角色名称无效,或者 SCIM JSON 正文与上述模板不匹配,则不会分配或更新角色。

取消分配角色

若要取消分配用户角色,请使用“组织设置”。详细了解如何在 Shopify 中取消分配用户角色

删除 SCIM 集成

如果您不再需要 SCIM 集成,则可以将其删除。此操作无法撤销。如果您需要重新激活集成,则需要生成新的 API 令牌。

步骤:

  1. 在 Shopify 后台中,转至设置

  2. 组织部分,前往用户 > 安全

  3. SCIM 集成部分中,点击 API 令牌旁边的 ...

  4. 点击删除令牌

限制

无法通过身份信息服务提供商删除店主和组织所有者。必须先转让这两种类型的所有权,然后才可删除此类用户。如果您需要更改店主,则可以从 Shopify 后台完成此操作。如果您需要更改组织所有者,请联系 Shopify Plus 支持。

没有找到您需要的答案?我们将为您提供帮助。