针对您的组织的 SAML 身份验证

如果您的组织使用 SAML 对用户进行验证,则可以将 Shopify 作为应用添加到您的标识提供程序。设置应用后,您可以按用户或在整个组织中要求用户使用 SAML 标识提供程序进行验证。

准备工作

提交要验证的域名可能会影响在 Shopify 中登录您组织的用户。在开始之前,您应查看以下注意事项。

创建备份账户

如果您的 SAML 验证集成出现任何问题或您的标识提供程序中断,则应创建不与您用于 SAML 验证的域名相关联的备份账户。确保此账户是您组织中的活跃用户、已启用两步验证,并且具有用户管理权限,以便您可以在紧急情况下禁用 SAML。

设置 Shopify ID

SAML 验证基于域名,因此您应确保组织中所有用户都使用与您组织的域名相关联的邮箱来设置他们的 Shopify ID

查看域名

域名只能与一个组织关联。您应使用您组织中的专用域名进行 SAML 验证,因为已声明的任何域名都无法在其他组织中用于 SAML 验证。

例如,假设您的组织是较大实体的子公司。您可以让用户基于您的组织和母公司的邮箱进行登录。如果您使用这两个域名设置 SAML 验证,则母公司的域名将无法供使用 Shopify 的任何其他组织使用。

如果您的用户与 Shopify 中其他组织所需的域名相关联,请不要声明该域名。

设置临时安全措施

验证组织域名的过程可能需要几天时间,因此您可能需要在此期间设置替代的验证方式,例如要求双重验证

为组织设置 SAML 验证

相关配置目前可用于标识服务提供商 Okta 和 Azure。如果您使用其他标识提供商,则可以手动输入配置数据。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. 域名验证部分中,单击添加域名
  3. 输入域名的名称,然后点击添加

域名目前处于待处理状态。验证域名的过程可能需要几天时间。完成这一过程后,您的域名状态将更新为已验证已拒绝,并且您将收到一封通知电子邮件,其中包含详细信息。如果您认为自己的域名错误地遭到拒绝,请联系 Shopify Plus 客服。

您不必等到您的域名通过验证即可开始设置配置。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 配置部分中,单击设置配置
  3. 在您的标识提供程序中添加 Shopify Plus 应用。
  4. 可选:您可以手动在您的标识提供商中设置应用。

    1. 单击显示 SAML 配置设置
    2. 复制以下值,并将其提供给您的标识服务提供商,同时提供标识提供商可能请求的任何其他信息: - 单点登录 URL
    3. 受众 URI(SP 实体 ID)
    4. 姓名 ID 格式
    5. first_name
    6. last_name
    7. 电子邮件
  5. 您的服务提供商将为您提供元数据 URL。在标识提供商元数据 URL 字段中输入此信息。输入 URL 后,SAML 配置详细信息会自动填充,目前无法手动编辑。

  6. 单击添加

添加域名并设置配置后,请等待验证完成。当您的域名状态更改为已验证后,您便可以更改 SAML 身份验证设置。

要求 SAML 验证

设置完成后,您可以要求组织中 Shopify ID 与已设定电子邮件域名关联的用户使用 SAML 身份验证进行登录。

备注:用户无法使用 SAML 验证登录 Shopify POS 或 Shopify 应用。如果您要求用户使用 SAML 验证,他们将无法登录。如果您组织中的用户需要登录移动应用程序,则不应对他们设置为要求 SAML 验证。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 验证部分,点击编辑
  3. 选择验证设置。
  4. 单击保存

如果您选择特定用户,则可以为 Shopify ID 与用户页面中已设定电子邮件域名关联的用户设置特定的登录要求。任何未设为要求 SAML 身份验证的用户都可以正常登录。如果选择必需,则组织中使用已设定电子邮件域名的所有用户都必须使用 SAML 身份验证进行登录。

备注:必需设置会影响您组织中 Shopify ID 与已设定电子邮件域名关联的所有用户,包括商店所有者。在将所有用户都设为需要 SAML 身份验证才能登录之前,最好先与特定用户进行测试。

所需设置会替换您组织中用户的所有个人安全要求。如果您稍后更改设置,则需要手动更改用户的设置。例如,假设您将域名设置为特定用户,并且将三位用户设置为需要 SAML 身份验证。然后,您将强制措施设置为必需,要求 Shopify ID 与已设定电子邮件域名关联的所有用户使用 SAML 身份验证。稍后,您将强制措施重新设置为特定用户。需要使用 SAML 身份验证登录的三位用户不再需要强制执行,必须在其用户页面中再次设置。

SAML 不会影响双重验证设置。如果您的用户需要双重验证才能登录您的 SAML 标识提供程序,并且您要求用户进行双重验证才能登录 Shopify,则您的用户将需要进行两次验证。在设置并要求进行 SAML 验证后,请考虑在 Shopify 中停用双重验证。

SAML 身份验证会话持续 6 天,然后您的用户就需要再次登录。如果您从标识提供商的 Shopify Plus 应用中删除用户,他们仍可在长达六天的时间内访问 Shopify。若要完全删除用户的访问权限,请在 Shopify 组织后台的用户页面上将其删除。

删除 SAML 验证

如果 SAML 身份验证设置为关闭,您组织中 Shopify ID 与您已设定电子邮件域名关联的所有用户都可以使用他们的密码和电子邮件地址登录。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 验证部分,点击编辑
  3. 选择关闭
  4. 单击保存

删除域名

如果您不再需要域名,或者错误地添加了一个域名,则可以将其删除。若要删除域名,您不能将 SAML 身份验证设置为必需,并且不能有任何 Shopify ID 与已设定电子邮件域名关联的用户使用 SAML 身份验证。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. 域名验证部分中,单击删除图标。

相关链接

准备好开始使用 Shopify 进行销售了吗?

免费试用