组织的 SCIM 用户管理

已于 May 28, 2023 打印了此页面。若要查看当前版本,请访问 https://help.shopify.com/zh-CN/manual/shopify-plus/security/scim。

为组织验证域名设置 SAML 身份验证后,您可以生成 SCIM API 令牌。

本页相关主题

功能

通过向您的身份信息服务提供商提供 SCIM API 令牌,您可以通过您的身份信息提供商执行以下操作:

  • 创建用户
  • 分配或更新用户角色
  • 停用用户

要求

在设置 SCIM 用户管理之前,您需要验证您的域名创建 SAML 配置。您只能管理与已验证的域名关联的用户。

配置 SCIM 用户管理

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SCIM 集成部分中,点击生成 API 令牌
  3. 点击复制,将生成的令牌复制到剪贴板。
  4. 向您的身份信息服务提供商提供令牌。添加令牌的过程取决于您使用的身份信息服务提供商。

在 Okta 中完成 SCIM 配置

  1. 打开 Shopify Plus 应用。

  2. 点击登录选项卡。

    1. 应用程序用户名格式设置为电子邮件
    2. 单击保存

  3. 点击预配选项卡。

    1. 点击配置 API 集成
    2. 选中启用 API 集成,然后在提供的字段中粘贴 API 令牌。
    3. 点击测试 API 凭据。如果遇到错误,请验证您是否从 Shopify Plus 后台正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 客服。
    4. 单击保存

在 OneLogin 中完成 SCIM 配置

  1. 打开 Shopify Plus 应用。

  2. 点击配置菜单项。

    1. SCIM Bearer 令牌字段中,粘贴 API 令牌。
    2. 单击保存

  3. 点击参数菜单项。

    1. SCIM 用户名的默认值设置为电子邮件
    2. 单击保存

在 Azure 中完成 SCIM 配置

  1. 打开 Shopify Plus 应用。
  2. 点击预配菜单项。
  3. 点击开始
  4. 预配模式菜单中,选择自动
  5. 租户 URL 字段中,输入 https://shopifyscim.com/scim/v2/ 的基本 URL。
  6. 加密令牌字段中,输入 API 令牌。
  7. 点击测试连接按钮。如果遇到错误,请验证您是否从 Shopify Plus 后台正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 客服。如果继续遇到错误,请联系 Shopify Plus 客服。
  8. 单击保存
  9. 预配状态开关更改为开启
  10. 单击保存

在向您的身份服务提供商添加 API 令牌后,您可以通过该服务添加或删除用户。根据用户在 Shopify 和您的身份服务提供商中的用户状态,这可能会更改他们登录 Shopify 的方式。

在身份信息提供商中创建用户产生的影响
用户状态 在 Shopify 中产生的影响
您的组织中已存在的用户 如果您在标识服务提供商中添加某位用户,则在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:

  • 用户已存在于 Shopify 中
  • 用户已存在于您的组织中
  • 您使用特定用户强制措施
通过身份信息提供商删除用户访问权限的效果取决于用户的用户状态。如果您使用身份信息服务提供商删除了某位活跃用户的 Shopify 访问权限,则该用户会在您的组织中被暂停。如果您使用身份信息服务提供商永久删除某位用户,则可能会从您的组织中删除该用户,具体取决于您的身份信息提供商设置。
用户存在于 Shopify 中,但不存在于您的组织中 如果您在标识服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:

  • 用户已存在于 Shopify 中
  • 您的特定组织中不存在该用户
  • 您使用必需特定用户强制措施
Shopify 中不存在的用户 如果您在身份信息服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:

  • Shopify 中不存在该用户
  • 您使用必需特定用户强制措施
当用户第一次登录 Shopify 组织后台时,该用户必须通过身份信息提供商完成登录,而不是通过 Shopify 登录页面。

添加 API 令牌后,当您通过身份信息提供商或组织后台添加之前不存在于 Shopify 中的新用户时,您的新用户将被设为待处理状态。如果您的用户需要使用 SAML 进行登录,那么在使用您的身份信息提供商登录前,他们将保持待处理状态。

SCIM 中的角色分配

完成 SCIM 配置后,您可以选择通过您的身份信息服务提供商向 SCIM 用户分配角色。在向用户分配角色之前,请验证您的组织中是否存在该角色。如果您的组织中尚未创建此角色,则现有 SCIM 用户将不会更新。

在受支持的身份信息服务提供商中分配角色

OneLogin 和 Okta 应用中已添加角色分配支持。对 Azure 应用的支持将在后期添加。若要在 OneLogin 或 Okta 中分配或更新 SCIM 用户角色,请在身份信息服务提供商的预配门户中,更改现有 SCIM 用户的角色名称。

在不受支持的身份信息服务提供商中分配角色

如果您的身份信息服务提供商没有 Shopify Plus 应用,则您需要手动编辑 SCIM 配置。在开始之前,请确认您的身份信息服务提供商可以将角色添加为 SCIM 字段。

若要分配或更新 SCIM 用户角色,POST、PUT 和 PATCH 请求中的 JSON 正文必须包含以下内容:

json { "name": { "givenName": "given_name" "familyName": "family_name" }, "userName": "email", "roles": [{"value": "role_name"}] }

SCIM JSON 正文必须包含名为 roles 的键。roles 必须是一个数组,其中包含用于存储角色名称的哈希。如果提供了多个角色名称哈希,则仅使用最后一个角色名称哈希来分配角色。如果角色名称无效,或者 SCIM JSON 正文与上述模板不匹配,则不会分配或更新角色。

取消分配角色

若要取消分配用户角色,请使用 Shopify 组织后台。详细了解如何在 Shopify 中取消分配用户角色

删除 SCIM 集成

如果您不再需要 SCIM 集成,则可以将其删除。此操作无法撤销。如果您需要重新激活集成,则需要生成新的 API 令牌。

步骤:

  1. 在您的 Shopify 组织后台中,前往用户 > 安全
  2. SCIM 集成部分中,点击 API 令牌旁边的 ...
  3. 点击删除令牌

限制

无法通过标识服务提供商删除店主和组织所有者。必须先转让这两种类型的所有权,然后才可删除此类用户。如果您需要更改店主,则可以从 Shopify 后台完成此操作。如果您需要更改组织所有者,请联系 Shopify Plus 支持。

准备好开始使用 Shopify 进行销售了吗?

免费试用