组织的 SCIM 用户管理
为组织验证域名并设置安全断言标记语言 (SAML) 身份验证后,您可以生成跨域名身份管理系统 (SCIM) API 令牌。为用户生成 SCIM 令牌的功能仅适用于使用 Shopify Plus 套餐的组织。
本页相关主题
功能
通过向您的身份信息服务提供商提供 SCIM API 令牌,您可以通过您的身份信息提供商执行以下操作:
- 创建用户
- 分配或更新用户角色
- 停用用户
要求
设置 SCIM 用户管理之前,您需要验证您的域名并创建 SAML 配置。您只能管理与您已为组织验证的域名相关联的用户。
配置 SCIM 用户管理
在 Shopify 后台中,转至设置。
在组织部分,点击用户 > 安全。
在 SCIM 集成部分中,点击生成 API 令牌。
点击复制,将生成的令牌复制到剪贴板。
向您的身份信息服务提供商提供令牌。添加令牌的过程取决于您使用的身份信息服务提供商。
Okta
在 Okta 中完成 SCIM 配置
- 打开 Shopify Plus 应用。
-
点击登录选项卡。
- 将应用程序用户名格式设置为电子邮件。
- 点击保存。
-
点击预配选项卡。
- 点击配置 API 集成。
- 选择启用 API 集成,然后在提供的字段中粘贴 API 令牌。
- 点击测试 API 凭据。如果遇到错误,请验证您是否正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 支持。
- 点击保存。
OneLogin
在 OneLogin 中完成 SCIM 配置
- 打开 Shopify Plus 应用。
-
点击配置菜单项。
- 在 SCIM Bearer 令牌字段中,粘贴 API 令牌。
- 点击保存。
-
点击参数菜单项。
- 将 SCIM 用户名的默认值设置为电子邮件。
- 点击保存。
Entra
在 Entra 中完成 SCIM 配置
- 打开 Shopify Plus 应用。
- 点击预配菜单项。
- 点击开始。
- 在预配模式菜单中,选择自动。
- 在租户 URL 字段中,输入
https://shopifyscim.com/scim/v2/
的基本 URL。 - 在加密令牌字段中,输入 API 令牌。
- 点击测试连接按钮。如果遇到错误,请验证您是否正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 支持。
- 点击保存。
- 将预配状态开关更改为开启。
- 点击保存。
在向您的标识服务提供商添加 API 令牌后,您可以通过该服务添加或删除用户。根据用户在 Shopify 和您的标识服务提供商中的用户状态,这可能会更改他们登录 Shopify 的方式。
用户状态 | 在 Shopify 中产生的影响 |
---|---|
您的组织中已存在的用户 | 如果您在标识服务提供商中添加某位用户,则在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:
|
用户存在于 Shopify 中,但不存在于您的组织中 | 如果您在标识服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:
|
Shopify 中不存在的用户 | 如果您在身份信息服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:
|
添加 API 令牌后,当您通过身份信息提供商或“组织设置”添加之前不存在于 Shopify 中的新用户时,您的新用户将被设为待处理状态。如果您的用户需要使用 SAML 进行登录,那么在使用您的身份信息提供商登录前,他们将保持待处理状态。
SCIM 中的角色分配
完成 SCIM 配置后,您可以选择通过您的身份信息服务提供商向 SCIM 用户分配角色。在向用户分配角色之前,请验证您的组织中是否存在该角色。如果您的组 织中尚未创建此角色,则现有 SCIM 用户将不会更新。
在受支持的身份信息服务提供商中分配角色
Entra、OneLogin 和 Okta 应用中支持角色分配。每个身份信息提供商的角色名称创建和分配方式有所不同。
Okta
在 Okta 中分配角色
- 在 Okta 中打开 Shopify Plus 应用。
- 点击分配选项卡。
- 点击分配以添加用户或编辑现有用户的属性。
- 在打开的模态窗口内,在角色名称(可选)字段中添加或更新 Shopify 角色名称。
- 点击保存。
OneLogin
在 OneLogin 中分配角色
- 在 OneLogin 中打开 Shopify Plus 应用。
- 在网站导航栏中,点击用户。
- 点击新用户以添加用户,或点击用户以编辑或添加角色名称。
- 在侧导航栏中的用户信息下,找到自定义字段部分。
- 在角色名称(可选)字段中添加角色名称。
- 点击保存用户。
Entra
在 Entra 中分配角色
- 登录 Entra 门户。
- 按照 Microsoft 提供的此指南为 Shopify Plus 应用创建角色。角色名称必须与 Shopify 组织中的角色名称相同。
- 按照 Microsoft 提供的此指南在 Shopify Plus 应用中为用户分配角色。
- 若要测试角色分配是否成功,请按需预配用户。
在 不受支持的身份信息服务提供商中分配角色
如果您的身份信息服务提供商没有 Shopify Plus 应用,则您需要手动编辑 SCIM 配置。在开始之前,请确认您的身份信息服务提供商可以将角色添加为 SCIM 字段。
若要分配或更新 SCIM 用户角色,POST
、PUT
和 PATCH
请求中的 JSON 正文必须包含以下内容:
SCIM JSON 正文必须包含名为 roles
的键。roles
键必须是一个数组,其中包含用于存储角色名称的哈希。如果提供了多个角色名称哈希,则仅使用最后一个角色名称哈希来分配角色。如果角色名称无效,或者 SCIM JSON 正文与上述模板不匹配,则不会分配或更新角色。
取消分配角色
若要取消分配用户角色,请使用“组织设置”。详细了解如何在 Shopify 中取消分配用户角色。
删除 SCIM 集成
如果您不再需要 SCIM 集成,则可以将其删除。此操作无法撤销。如果您需要重新激活集成,则需要生成新的 API 令牌。
步骤:
在 Shopify 后台中,转至设置。
在组织部分,前往用户 > 安全。
在 SCIM 集成部分中,点击 API 令牌旁边的 ...
点击删除令牌。
限制
无法通过身份信息服务提供商删除店主和组织所有者。必须先转让这两种类型的所有权,然后才可删除此类用户。如果您需要更改店主,则可以从 Shopify 后台完成此操作。如果您需要更改组织所有者,请联系 Shopify Plus 支持。