組織的 SCIM 使用者管理

在您為組織驗證網域設定安全聲明標記語言 (SAML) 驗證後,即可產生一個跨網域身分管理系統 (SCIM) 的 API 憑證。為使用者產生 SCIM 憑證功能僅適用於採用 Shopify Plus 方案的組織。

功能

提供 SCIM API 憑證給您的身分識別提供者,讓您可以透過其採取以下動作:

  • 建立使用者
  • 指派或更新使用者角色
  • 停用使用者

需求

設定 SCIM 使用者管理之前,需要驗證您的網域建立 SAML 設定。您僅能管理與組織的已驗證網域相關聯的使用者。

設定 SCIM 使用者管理

  1. 在 Shopify 管理介面 中,前往「設定」。

  2. 在「組織」區段中,依序點擊「使用者」>「安全性」。

  3. 在「SCIM 整合」區段中,點擊「產生 API 憑證」。

  4. 點擊「複製」以將產生的憑證複製到剪貼簿中。

  5. 向身分識別服務供應商提供憑證。新增憑證的程序取決於您所使用的身分識別服務供應商。

Okta

在 Okta 完成 SCIM 設定

  1. 開啟 Shopify Plus 應用程式。
  2. 點擊「登入」索引標籤。

    1. 將「應用程式使用者名稱格式」設為「電子郵件」。
    2. 點擊「儲存」。
  3. 點擊「佈建」索引標籤。

    1. 點擊「設定 API 整合」。
    2. 選取「啟用 API 整合」,然後在系統提供的欄位貼上 API 憑證。
    3. 按一下「測試 API 憑證」。若發生錯誤,請確認您已正確複製 API 憑證。若錯誤持續發生,請聯絡 Shopify Plus 支援。
    4. 點擊「儲存」。
OneLogin

在 OneLogin 完成 SCIM 設定

  1. 開啟 Shopify Plus 應用程式。
  2. 點擊「設定」選單項目。

    1. 在「SCIM Bearer Token」欄位中,貼上 API 憑證。
    2. 點擊「儲存」。
  3. 點擊「參數」選單項目。

    1. SCIM 使用者名稱的預設值設為電子郵件
    2. 點擊「儲存」。
Entra

在 Entra 完成 SCIM 設定

  1. 開啟 Shopify Plus 應用程式。
  2. 點擊「佈建」選單項目。
  3. 點擊「開始使用」。
  4. 在「佈建模式」選單中選擇「自動」。
  5. 在「承租人網址」欄位中,輸入基本網址 https://shopifyscim.com/scim/v2/
  6. 在「密鑰」欄位中,輸入 API 憑證。
  7. 按一下「測試連線」按鈕。若發生錯誤,請確認您已正確複製 API 憑證。若錯誤持續發生,請聯絡 Shopify Plus 支援服務。
  8. 點擊「儲存」。
  9. 變更「佈建狀態」,改為「開啟」。
  10. 點擊「儲存」。

在將 API 憑證新增至您的身分識別提供者中後,您便可透過該服務新增或移除使用者。依據該使用者在 Shopify 和身分識別提供者中的狀態不同,其登入 Shopify 的方式也不盡相同。

在身分識別提供者中建立使用者的效果
使用者狀態在 Shopify 中的效果
使用者已在您的組織中如果您在身分識別提供者中新增使用者,該使用者若符合以下條件,則必須使用 SAML 驗證才能登入:

  • 該使用者已在 Shopify 中
  • 該使用者已在您的組織中
  • 您強制使用「特定的使用者
透過身分識別供應商移除使用者存取權限的效應依使用者狀態而定。如果您透過身分識別服務供應商移除某位「有效」使用者的 Shopify 存取權限,則對方將在組織中遭停用。如果您透過身分識別服務供應商永久刪除某位使用者,則取決於該身分識別供應商的設定,對方在組織中可能會遭刪除。
使用者已在 Shopify 中,但不屬於您的組織如果您在身分識別提供者中新增使用者,則系統會將該使用者加入您的組織,且其若符合以下條件,則必須使用 SAML 驗證才能登入:

  • 該使用者已在 Shopify 中
  • 使用者不在您的特定組織中
  • 您強制使用「必要」或「特定使用者
使用者不在 Shopify 中如果您在身分識別提供者中新增使用者,則系統會將該使用者加入您的組織,且其若符合以下條件,則必須使用 SAML 驗證才能登入:

  • Shopify 中沒有該使用者
  • 您強制使用「必要」或「特定使用者
使用者首次登入 Shopify 管理介面時,該使用者必須透過身分識別提供者登入,而不可透過 Shopify 登入頁面操作。

在新增 API 憑證後,若您透過身分識別提供者或組織設定新增之前未存在於 Shopify 中的使用者,系統即會將該名新使用者設為待確認狀態。如果您的使用者必須使用 SAML 才能登入,則他們會在使用身分識別提供者登入前,都維持待確認狀態。

SCIM 中的角色指派

完成 SCIM 設定後,您可以選擇透過您的身分識別服務提供者,指派角色給 SCIM 使用者。指派角色給使用者之前,請先驗證該角色是否存在於您的組織中。如果您的組織沒有建立該角色,系統便不會更新現有的 SCIM 使用者。

在支援的身分識別服務提供者中指派角色

Entra、OneLogin 和 Okta 應用程式支援角色指派功能。每個身分識別服務供應商的角色名稱建立和指派作業都有所不同。

Okta

在 Okta 中指派角色

  1. 在 Okta 中開啟 Shopify Plus 應用程式。
  2. 點擊「指派」分頁。
  3. 點擊「指派」即可新增使用者或編輯現有使用者的屬性
  4. 在已開啟的互動視窗內,請在「角色名稱 (選填)」欄位新增或更新 Shopify 角色名稱。
  5. 點擊「儲存」。
OneLogin

在 OneLogin 中指派角色

  1. 在OneLogin 中開啟 Shopify Plus 應用程式。
  2. 在導覽列中,點擊「使用者」。
  3. 點擊「新使用者」可新增使用者,或點擊使用者可編輯或新增角色名稱。
  4. 在側邊導覽列的「使用者資訊」底下,找到「自訂欄位」區段。
  5. 在「角色名稱 (選填)」欄位中,新增角色名稱。
  6. 點擊「儲存使用者」。
Entra

在 Entra 中指派角色

  1. 登入 Entra 入口網站。
  2. 按照Microsoft 提供的本指南,為 Shopify Plus 應用程式建立角色。角色名稱必須與 Shopify 組織中的角色名稱相同。
  3. 按照 Microsoft 提供的本指南,在 Shopify Plus 應用程式中向將角色分配給使用者。
  4. 若要測試您的角色指派工作,請視需求佈建使用者

在不受支援的身分識別服務提供者中指派角色

如果您的身分識別服務提供者沒有 Shopify Plus 應用程式,您便需要手動編輯 SCIM 設定。在開始之前,請先確認您的身分識別服務提供者是否可以將角色新增為 SCIM 欄位。

若要指派或更新 SCIM 使用者角色,JSON 主體中的 POSTPUTPATCH 要求必須包括以下內容:

{
  "name": {
    "givenName": "given_name"
    "familyName": "family_name"
  },
  "userName": "email",
  "roles": [{"value": "role_name"}]
}

SCIM JSON 主體必須包含名為 roles 的鍵值。roles 鍵值必須是一個陣列,其中包含用於儲存角色名稱的雜湊。如果提供多個角色名稱雜湊,系統只會使用最後一個角色名稱雜湊來指派角色。如果角色名稱無效,或者 SCIM JSON 主體與上述範本不符,系統便不會指派或更新角色。

取消指派角色

若要取消指派使用者角色,請使用組織設定。深入瞭解如何在 Shopify 中取消指派使用者角色

移除 SCIM 整合

如果您不再需要 SCIM 整合,則可以將其移除。此動作無法復原。若要重新啟用整合功能,您必須產生新的 API 憑證。

步驟如下:

  1. 在 Shopify 管理介面 中,前往「設定」。

  2. 在「組織」區段中,依序前往「使用者」>「安全性」。

  3. 在「SCIM 整合」區段中,點擊 API 憑證旁的「...」。

  4. 點擊「刪除憑證」。

限制

無法透過身分識別服務供應商移除商店擁有人和組織擁有人。必須先為使用者轉移這兩種類型的擁有權,才可以將他們移除。若要變更商店擁有人,您可在 Shopify 管理介面中進行操作。若要變更組織擁有人,請聯絡 Shopify Plus 支援服務。

沒有找到您需要的答案嗎?我們很樂意為您提供協助。