您組織的 SAML 驗證
若您的組織使用安全聲明標記語言 (SAML) 進行使用者驗證,且您採用的是 Shopify Plus 方案,則可利用 身分識別提供者將 Shopify 新增為應用程式。在應用程式設定完成後,擁有使用者組織層級權限的使用者可要求個別或整個組織中的使用者,利用您的 SAML 身分識別提供者進行驗證。
深入瞭解如何透過組織設定管理使用者。
在您設定 SAML 驗證之前
提交待驗證網域會影響使用者透過 Shopify 登入您的組織,因此您應在開始前先檢視以下考量事項:
- 建立備份帳號 如果您有任何關於 SAML 驗證整合或身分識別提供者中斷的問題,請建立備份帳號,且該帳號不得與您用於 SAML 驗證的網域相關聯。請確認此帳號是組織內的有效使用者,並已啟用兩步驟驗證,且擁有使用者存取權限,以便您可以在緊急情況下停用 SAML。
- 設定 Shopify 帳號。 由於 SAML 驗證以網域為依據,因此應確保組織中所有使用者都已使用與組織關聯的網域 電子郵件地址,完成 Shopify 帳號的設定。
為您的組織設定 SAML 驗證
您必須先驗證您的網域,才能進行 SAML 設定。您不需等網域完成驗證,即可開始設定配置。
自動設定配置
這些設定目前適用於 Okta、OneLogin 和 Entra。
請根據您的身分識別服務供應商,按照連結的指示說明操作:
- Okta:如何為 Shopify Plus 配置 SAML 2.0
- OneLogin:為啟用 SAML 的應用程式設定單一登入 (SSO)
- Entra:教學課程:Microsoft Entra 與 Shopify Plus 的單一登入 (SSO) 整合功能
若要在組織內完成單一登入 (SSO) 設定,請按照身分識別服務供應商的指南執行下列步驟:
步驟如下:
在 Shopify 管理介面 中,前往「設定」。
在「組織」區段中,依序點擊「使用者」>「安全性」。
在「SAML 配置」區段中,點擊「設定配置」。
在身份識別服務提供者中,新增 Shopify Plus 應用程式,然後使用唯一的單一登入網址設定該應用程式。
服務供應商將會提供中繼資料網址給您,請在「身分識別提供者中繼資料網址」欄位中將其輸入。輸入網址後,系統會自動填入 SAML 設定詳細資訊,此資料無法手動編輯。
按一下「新增」。
手動設定配置
如果您使用 Okta、OneLogin 和 Entra 之外的身分識別服務供應商,則必須手動輸入設定資料。
身分識別服務提供者可能會針對某些值使用不同的名稱。舉例來說,Google 的 SAML 整合使用「ACS 網址」這個術語來指單一登入網址。如果您進行手動設定時發生錯誤,請聯絡身分識別服務提供者以尋求協助。
步驟如下:
在 Shopify 管理介面 中,前往「設定」。
在「組織」區段中,依序點擊「使用者」>「安全性」。
在「SAML 配置」區段中,點擊「設定配置」。
點擊「顯示 SAML 配置設定」。
-
複製下列資訊交予您的身分識別服務提供者,並一併提供身分識別提供者可能要求的其他資訊:
-
單一登入網址:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
。每個組織都有專屬 ID。請從 SAML 設定詳細資訊中的「單一登入網址」項目複製此值。 -
受眾 URI (SP 實體 ID):
https://accounts.shopify.com/saml_sp
-
名稱 ID 格式:
Persistent
。我們預期名稱 ID 是不會改變的使用者唯一電子郵件值。 -
屬性陳述:
first_name
、last_name
、email
-
單一登入網址:
服務供應商將會提供中繼資料網址給您,請在「身分識別提供者中繼資料網址」欄位中將其輸入。輸入網址後,系統會自動填入 SAML 設定詳細資訊,此資料無法手動編輯。
按一下「新增」。
需要 SAML 驗證
您新增網域、設定配置後,請等待驗證程序完成。當您的網域狀態變更為「已驗證」,您即可變更「SAML 驗證」設定。
SAML 驗證的設定有三種:「必要」、「特定使用者」和「關閉」。
SAML 驗證的考量事項
- 如果您選取「特定使用者」,則可以在「使用者」頁面,為 Shopify 帳號與設定電子郵件網域相關聯的使用者,設定特定登入要求。您沒有設定要求 SAML 驗證的任何使用者都能以正常程序登入。如果您選取「必要」,則使用者若擁有您設定的電子郵件網域,就必須使用 SAML 驗證登入,包括商店擁有人和組織外的使用者。
- 「必要」設定會取代使用者的所有個別安全性要求。如果您在日後變更設定,則必須手動為您的使用者變更設定。 舉例來說,假設您將網域設定為「特定使用者」,並有三位使用者設定為需要 SAML 驗證。接著您將設定變更為要求強制執行的「必要」,要求所有 Shopify 帳號與設定電子郵件網域相關聯的使用者必須使用 SAML 驗證登入。之後,您將強制執行的設定改回「特定使用者」。您原本要求使用 SAML 驗證登入的三個使用者即不再需要強制執行,您必須在他們的使用者詳細資料頁面重新設定一次。
- 要求使用者使用 SAML 驗證將使現有的雙因素驗證要求變得重複。如果您設定 SAML 並要求其登入,請考慮停用雙因素驗證,以避免使用者需要進行兩次身份驗證。
- 若使用者使用桌上型裝置,則 SAML 驗證工作階段為期 14 天,使用者在工作階段結束後才會收到再度登入的要求。若使用者使用行動裝置或 POS,SAML 驗證工作階段將於帳號停用後 14 天失效;若帳號為啟用狀態,工作階段會在 14 天內自動更新。如果您從身份識別服務提供者的 Shopify 應用程式移除使用者,則使用者最多還有 14 天的時間仍可存取 Shopify。
- 若要避免使用者存取組織設定,請透過組織設定的 「使用者」頁面移除其組織存取權。
要求 SAML 驗證
步驟如下:
在 Shopify 管理介面 中,前往「設定」。
在「組織」區段中,依序點擊「使用者」>「安全性」。
在「SAML 驗證」區段,點擊「變更設定」。
選擇一項驗證設定。
點擊「儲存」。
移除 SAML 驗證
當 SAML 驗證設定為「關閉」時,貴組織使用者的 Shopify 帳號若與您設定電子郵件網域相關聯,就可以使用密碼和電子郵件地址登入。
步驟如下:
在 Shopify 管理介面 中,前往「設定」。
在「組織」區段中,依序點擊「使用者」>「安全性」。
在「SAML 驗證」區段,點擊「變更設定」。
選取「關閉」。
點擊「儲存」。