组织的 SCIM 用户管理
为组织验证域名并设置 SAML 身份验证后,您可以生成 SCIM API 令牌。
本页相关主题
功能
通过向您的身份信息服务提供商提供 SCIM API 令牌,您可以通过您的身份信息提供商执行以下操作:
- 创建用户
- 分配或更新用户角色
- 停用用户
要求
在设置 SCIM 用户管理之前,您需要验证您的域名并创建 SAML 配置。您只能管理与已验证的域名关联的用户。
配置 SCIM 用户管理
- 在您的 Shopify 组织后台中,前往用户 > 安全。
- 在 SCIM 集成部分中,点击生成 API 令牌。
- 点击复制,将生成的令牌复制到剪贴板。
- 向您的身份信息服务提供商提供令牌。添加令牌的过程取决于您使用的身份信息服务提供商。
在 Okta 中完成 SCIM 配置
- 打开 Shopify Plus 应用。
-
点击登录选项卡。
- 将应用程序用户名格式设置为电子邮件。
- 单击保存。
-
点击预配选项卡。
- 点击配置 API 集成。
- 选中启用 API 集成,然后在提供的字段中粘贴 API 令牌。
- 点击测试 API 凭据。如果遇到错误,请验证您是否从 Shopify Plus 后台正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 客服。
- 单击保存。
在 OneLogin 中完成 SCIM 配置
- 打开 Shopify Plus 应用。
-
点击配置菜单项。
- 在 SCIM Bearer 令牌字段中,粘贴 API 令牌。
- 单击保存。
-
点击参数菜单项。
- 将 SCIM 用户名的默认值设置为电子邮件。
- 单击保存。
在 Azure 中完成 SCIM 配置
- 打开 Shopify Plus 应用。
- 点击预配菜单项。
- 点击开始。
- 在预配模式菜单中,选择自动。
- 在租户 URL 字段中,输入
https://shopifyscim.com/scim/v2/
的基本 URL。 - 在加密令牌字段中,输入 API 令牌。
- 点击测试连接按钮。如果遇到错误,请验证您是否从 Shopify Plus 后台正确复制了 API 令牌。如果继续遇到错误,请联系 Shopify Plus 客服。如果继续遇到错误,请联系 Shopify Plus 客服。
- 单击保存。
- 将预配状态开关更改为开启。
- 单击保存。
在向您的身份服务提供商添加 API 令牌后,您可以通过该服务添加或删除用户。根据用户在 Shopify 和您的身份服务提供商中的用户状态,这可能会更改他们登录 Shopify 的方式。
用户状态 | 在 Shopify 中产生的影响 |
---|---|
您的组织中已存在的用户 | 如果您在标识服务提供商中添加某位用户,则在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:
|
用户存在于 Shopify 中,但不存在于您的组织中 | 如果您在标识服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:
|
Shopify 中不存在的用户 | 如果您在身份信息服务提供商中添加某位用户,则还会将该用户添加到您的组织中,并且在满足以下所有条件时,该用户需要使用 SAML 身份验证登录:
|
添加 API 令牌后,当您通过身份信息提供商或组织后台添加之前不存在于 Shopify 中的新用户时,您的新用户将被设为待处理状态。如果您的用户需要使用 SAML 进行登录,那么在使用您的身份信息提供商登录前,他们将保持待处理状态。
SCIM 中的角色分配
完成 SCIM 配置后,您可以选择通过您的身份信息服务提供商向 SCIM 用户分配角色。在向用户分配角色之前,请验证您的组织中是否存在该角色。如果您的组织中尚未创建此角色,则现有 SCIM 用户将不会更新。
在受支持的身份信息服务提供商中分配角色
OneLogin 和 Okta 应用中已添加角色分配支持。对 Azure 应用的支持将在后期添加。若要在 OneLogin 或 Okta 中分配或更新 SCIM 用户角色,请在身份信息服务提供商的预配门户中,更改现有 SCIM 用户的角色名称。
在不受支持的身份信息服务提供商中分配角色
如果您的身份信息服务提供商没有 Shopify Plus 应用,则您需要手动编辑 SCIM 配置。在开始之前,请确认您的身份信息服务提供商可以将角色添加为 SCIM 字段。
若要分配或更新 SCIM 用户角色,POST、PUT 和 PATCH 请求中的 JSON 正文必须包含以下内容:
json
{
"name": {
"givenName": "given_name"
"familyName": "family_name"
},
"userName": "email",
"roles": [{"value": "role_name"}]
}
SCIM JSON 正文必须包含名为 roles
的键。roles
必须是一个数组,其中包含用于存储角色名称的哈希。如果提供了多个角色名称哈希,则仅使用最后一个角色名称哈希来分配角色。如果角色名称无效,或者 SCIM JSON 正文与上述模板不匹配,则不会分配或更新角色。
取消分配角色
若要取消分配用户角色,请使用 Shopify 组织后台。详细了解如何在 Shopify 中取消分配用户角色。
删除 SCIM 集成
如果您不再需要 SCIM 集成,则可以将其删除。此操作无法撤销。如果您需要重新激活集成,则需要生成新的 API 令牌。
步骤:
- 在您的 Shopify 组织后台中,前往用户 > 安全。
- 在 SCIM 集成部分中,点击 API 令牌旁边的 ...
- 点击删除令牌。
限制
无法通过标识服务提供商删除店主和组织所有者。必须先转让这两种类型的所有权,然后才可删除此类用户。如果您需要更改店主,则可以从 Shopify 后台完成此操作。如果您需要更改组织所有者,请联系 Shopify Plus 支持。