SAML 验证

如果您的组织使用安全断言标记语言 (SAML) 对用户进行身份验证并且您使用 Shopify Plus 套餐，则可以将 Shopify 作为应用添加到您的身份信息提供商中。在设置好您的应用后，拥有所需权限的用户可以要求您组织中的个别用户或所有用户使用您的 SAML 身份信息提供商进行身份验证。

设置 SAML 身份验证之前

提交要验证的域名会影响在 Shopify 中登录您组织的用户。在开始之前，请查看以下注意事项：

• 创建备份账户。 如果您的 SAML 身份验证集成出现任何问题或您的身份信息提供商中断，请创建与您用于 SAML 身份验证的域名没有关联的备份账户。确保此账户是您组织中的活跃用户、已激活两步验证，并且具有用户访问权限，以便您在紧急情况下停用 SAML。
• 设置 Shopify 账户。 由于 SAML 身份验证基于域名，因此请确保组织中所有用户都使用与您组织的域名相关联的邮箱设置了他们的 Shopify 账户。

为组织设置 SAML 身份验证

您需要先验证您的域名，然后才能设置 SAML 配置。您不必等到域名验证完成即可开始设置配置。

自动设置配置

目前，Okta、OneLogin 和 Entra 提供这些配置。

基于您的身份服务提供商，请按照链接的说明执行操作：

• Okta：如何为 Shopify Plus 配置 SAML 2.0
• OneLogin：为启用 SAML 的应用配置 SSO
• Entra：教程：Microsoft Entra 单点登录 (SSO) 与 Shopify Plus 集成

若要在组织内完成 SSO 配置，请按照身份信息服务提供商指南的指示来完成下列步骤：

步骤：

1. 在 Shopify 后台中，转至设置 > 用户。

2. 点击安全性。

3. 在 SAML 配置部分中，点击设置配置。

4. 在身份服务提供商中，添加 Shopify Plus 应用，然后使用您的唯一单点登录 URL 配置该应用。

5. 您的服务提供商将为您提供元数据 URL。在身份信息提供商元数据 URL 字段中输入此信息。输入 URL 后，SAML 配置详细信息会自动填充，并且无法手动编辑。

6. 如果您的身份提供商为您提供 XML 文件而不是元数据 URL，则您可以将 XML 文件上传到 Shopify 后台的文件部分。这将为文件生成一个可公开访问 URL，您可以将其用作元数据 URL。

7. 点击设置。

手动设置配置

如果您使用的是 Okta、OneLogin 或 Entra 之外的身份信息提供商，则需要手动输入配置数据。

身份服务提供商可能会为某些值使用不同的名称。例如，Google 的 SAML 集成使用 ACS URL 一词来表示单点登录 URL。如果您在手动设置配置时遇到错误，请联系身份服务提供商获取帮助。

步骤：

1. 在 Shopify 后台中，转至设置 > 用户。

2. 点击安全性。

3. 在 SAML 配置部分中，点击设置配置。

4. 点击显示 SAML 配置设置。

5. 复制以下值，并将其提供给您的身份信息服务提供商，同时提供身份信息提供商可能请求的任何其他信息：

   • 单点登录 URL：https://accounts.shopify.com/saml/consume/organization/{organization ID}。每个组织都有唯一的 ID。请从 SAML 配置详细信息的单点登录 URL 条目中复制此值。
   • 受众 URI（SP 实体 ID）：https://accounts.shopify.com/saml_sp
   • 名称 ID 格式：Persistent。我们预计名称 ID 是用户不会更改的唯一电子邮箱值。
   • 属性声明：first_name、last_name、email

6. 您的服务提供商将为您提供元数据 URL。在身份信息提供商元数据 URL 字段中输入此信息。输入 URL 后，SAML 配置详细信息会自动填充，并且无法手动编辑。

7. 如果您的身份提供商为您提供 XML 文件而不是元数据 URL，则您可以将 XML 文件上传到 Shopify 后台的文件部分。这将为文件生成一个可公开访问 URL，您可以将其用作元数据 URL。

8. 点击添加。

要求 SAML 验证

添加域名并设置配置后，请等待验证完成。当您的域名状态更改为已验证后，您便可以更改 SAML 身份验证设置。

SAML 身份验证有三个设置：必需、特定用户和关闭。

了解 SAML 身份验证设置

• 必须：所有电子邮件地址与您的域名匹配的用户都必须使用 SAML 登录。这包括店主和电子邮件地址使用您的域名的组织外部用户。
• 特定用户：您可以在用户页面中根据具体情况选择哪些用户必须使用 SAML 身份验证。未设置为需要使用 SAML 的用户可以继续使用常规凭据登录。
• 关闭：所有用户都使用邮箱和密码登录。

SAML 身份验证的注意事项

• 如果您选择特定用户，则可为已将 Shopify 账户与用户页面中设置的邮箱域名进行关联的用户设置特定的登录要求。任何未被设置为要求 SAML 身份验证的用户都可以正常登录。如果您选择必需，则使用您设置的邮箱域名的所有用户都必须使用 SAML 身份验证进行登录，包括店主和组织外部的用户。
• 必需设置会替换适用于您用户的所有单独的安全要求。如果您稍后更改设置，则需要手动更改用户的设置。 例如，您已将域名设置为特定用户，并且将三位用户设置为需要 SAML 身份验证。然后，您将强制措施设置为必需，要求 Shopify 账户与已设定的邮箱域名相关联的所有用户使用 SAML 身份验证。稍后，您将强制措施重新设置为特定用户。系统不再强制要求之前的三位用户使用 SAML 身份验证登录，您需要在其用户详细信息页面中再次设置。
• 要求用户使用 SAML 验证会使现有双重验证变得多余。如果您设置 SAML 并要求使用该方式登录，则请考虑停用双重验证，以避免用户需要进行两次验证。
• 对于使用台式设备的用户，SAML 身份验证访问可持续 14 天，然后用户将需要再次登录。对于使用移动设备或 POS 的用户，如果账户处于非活跃状态，则 SAML 身份验证访问将在 14 天后过期；如果账户处于活跃状态，则该访问将在 14 天内自动延期。如果您从身份服务提供商中的 Shopify 应用内删除用户，他们仍可在最多 14 天时间内访问 Shopify。 - 若要阻止用户访问“组织设置”，请在“组织设置”的用户页面上删除其组织访问权限。

要求 SAML 验证

步骤：

1. 在 Shopify 后台中，转至设置 > 用户。

2. 点击安全性。

3. 在 SAML 验证部分，点击更改设置。

4. 选择验证设置。

5. 点击保存。

删除 SAML 验证

如果将 SAML 身份验证设置为关闭，则您组织中将 Shopify 账户与设定邮箱域名相关联的所有用户都可以使用他们的密码和邮箱进行登录。

步骤：

1. 在 Shopify 后台中，转至设置 > 用户。

2. 点击安全性。

3. 在 SAML 验证部分，点击更改设置。

4. 选择关闭。

5. 点击保存。