针对您的组织的 SAML 身份验证

如果您的组织使用 SAML 对用户进行身份验证,则可以将 Shopify 作为应用添加到您的身份信息提供商。设置应用后,具有用户管理访问权限的用户可以要求您组织中的单个用户或所有用户使用您的 SAML 身份信息提供商进行身份验证。

准备工作

提交要验证的域名会影响在 Shopify 中登录您组织的用户。在开始之前,请查看以下注意事项。

  • 创建备份账户。

    如果您的 SAML 身份验证集成出现任何问题或您的身份信息提供商中断,请创建与您用于 SAML 身份验证的域名没有关联的备份账户。确保此账户是您组织中的活跃用户、已启用两步验证,并且具有用户管理权限,以便您在紧急情况下禁用 SAML。

  • 设置 Shopify ID。

    由于 SAML 身份验证基于域名,因此请确保组织中所有用户都使用与您组织的域名关联的邮箱设置了他们的 Shopify ID

  • 设置临时安全措施。

    验证组织域名的过程可能需要几天时间,因此您应该考虑在此期间设置替代的身份验证方式,例如要求双重验证

  • 查看您的域名。

    域名仅与一个组织关联。请使用您组织的专用域名进行 SAML 身份验证。如果其他组织也声明了您使用的域名,则该组织无法将该域名用于其自己的 SAML 身份验证。

    例如,假设您的组织是较大实体的子公司。您可以让用户基于您的组织和母公司的邮箱进行登录。如果您使用您的域名和母公司的域名设置子公司组织的 SAML 身份验证,则母公司的域名将无法供使用 Shopify 的任何其他组织使用。

    如果您的用户与 Shopify 中其他组织所需的域名关联,请不要声明该域名。

为组织设置 SAML 验证

您需要先验证您的域名,然后才能设置 SAML 配置。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. 域名验证部分中,单击添加域名
  3. 输入域名的名称,然后点击添加

域名目前处于待处理状态。验证域名的过程可能需要几天时间。完成这一过程后,您的域名状态将更新为已验证已拒绝,并且您将收到一封通知电子邮件,其中包含详细信息。如果您认为自己的域名错误地遭到拒绝,请联系 Shopify Plus 客服。

您不必等到您的域名通过验证即可开始设置配置。

自动设置配置

目前,标识服务提供商 Okta 和 Azure 提供这些配置。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 配置部分中,单击设置配置
  3. 在您的身份信息提供商中,添加 Shopify Plus 应用。
  4. 您的服务提供商将为您提供元数据 URL。在身份信息提供商元数据 URL 字段中输入此信息。输入 URL 后,SAML 配置详细信息会自动填充,目前无法手动编辑。
  5. 单击添加

手动设置配置

如果您使用的是除 Okta 或 Azure 以外的身份信息提供商,则必须手动输入配置数据。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 配置部分中,单击设置配置
  3. 单击显示 SAML 配置设置
  4. 复制以下值,并将其提供给您的身份信息服务提供商,同时提供身份信息提供商可能请求的任何其他信息。 - 单点登录 URLhttps://accounts.shopify.com/saml/consume/organization/{organization ID}。您的组织 ID 是一个数字,可在您的组织后台的 URL 中找到。例如,如果您的 Shopify 组织后台 URL是 https://shopify.plus/12312312,则您的组织 ID 为 12312312。

    • 受众 URI(SP 实体 ID)https://accounts.shopify.com/saml_sp
    • 姓名 ID 格式Persistent
    • 属性声明first_namelast_nameemail
  5. 您的服务提供商将为您提供元数据 URL。在身份信息提供商元数据 URL 字段中输入此信息。输入 URL 后,SAML 配置详细信息会自动填充,目前无法手动编辑。

  6. 单击添加

要求 SAML 验证

添加域名并设置配置后,请等待验证完成。当您的域名状态更改为已验证后,您便可以更改 SAML 身份验证设置。

SAML 身份验证的注意事项

SAML 身份验证有三个设置:必需特定用户关闭

如果您选择特定用户,则可以为 Shopify ID 与用户页面中已设定电子邮件域名关联的用户设置特定的登录要求。任何未设为要求 SAML 身份验证的用户都可以正常登录。如果选择必需,则组织中使用已设定电子邮件域名的所有用户都必须使用 SAML 身份验证进行登录。

主要:必需设置会影响您组织中 Shopify ID 与已设定电子邮件域名关联的所有用户,包括店主。在要求所有用户都通过 SAML 身份验证进行登录之前,请先与特定用户测试您的设置。

必需设置会替换您组织中用户的所有个人安全要求。如果您稍后更改设置,则需要手动更改用户的设置。

例如,您已将域名设置为特定用户,并且将三位用户设置为需要 SAML 身份验证。然后,您将强制措施设置为必需,要求 Shopify ID 与已设定电子邮件域名关联的所有用户使用 SAML 身份验证。稍后,您将强制措施重新设置为特定用户。系统不再强制要求之前的三位用户使用 SAML 身份验证登录,您需要在其用户详细信息页面中再次设置。

SAML 身份验证不会影响两步验证设置。如果您的用户需要双重验证才能登录您的 SAML 身份信息提供商,并且您要求用户进行双重验证才能登录 Shopify,则您的用户将需要进行两次验证。在设置并要求进行 SAML 身份验证后,请考虑在 Shopify 中停用双重验证。

SAML 身份验证会话持续 6 天,然后您的用户就需要再次登录。如果您从身份信息提供商的 Shopify 应用程序中删除用户,他们仍可在最多 6 天时间内访问 Shopify。若要阻止用户访问组织后台,请在 Shopify 组织后台的用户页面上删除其组织访问权限。

要求 SAML 验证

备注:用户无法使用 SAML 验证登录 Shopify POS 或 Shopify 应用。如果您要求用户使用 SAML 验证,他们将无法登录。如果您组织中的用户需要登录移动应用程序,则不应对他们设置为要求 SAML 验证。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 验证部分,点击编辑
  3. 选择验证设置。
  4. 单击保存

删除 SAML 验证

如果 SAML 身份验证设置为关闭,您组织中 Shopify ID 与设定电子邮件域名关联的所有用户都可以使用他们的密码和电子邮件地址登录。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SAML 验证部分,点击编辑
  3. 选择关闭
  4. 单击保存

删除域名

如果您不再需要域名,或者错误地添加了一个域名,则可以将其删除。若要删除域名,您不能将 SAML 身份验证设置为必需,并且不能有任何 Shopify ID 与已设定电子邮件域名关联的用户使用 SAML 身份验证。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. 域名验证部分中,单击删除图标。

相关链接

准备好开始使用 Shopify 进行销售了吗?

免费试用