您組織的 SAML 驗證
若您的組織使用 SAML 來進行使用者驗證,可以利用身分識別提供者將 Shopify 新增為應用程式。在應用程式設定完成後,擁有使用者管理權限的使用者便可要求個別或整個組織中的使用者,利用您的 SAML 身分識別提供者進行驗證。
開始之前
提交待驗證網域會影響使用者透過 Shopify 登入您的組織。因此您應在開始前先檢視以下考量事項。
-
建立備份帳號
如果您有任何關於 SAML 驗證整合或身分識別提供者中斷的問題,請建立備份帳號,且該帳號不得與您用於 SAML 驗證的網域相關聯。請確認此帳號是組織內的有效使用者,並已啟用兩步驟驗證,且擁有使用者管理存取權限,以便您可以在緊急情況下停用 SAML。
-
設定 Shopify ID
由於 SAML 驗證以網域為依據,因此應確保組織中所有使用者都已使用與組織關聯的網域電子郵件地址,完成 Shopify ID 的設定。
-
設定臨時安全性措施
驗證組織網域的過程可能需要數天的時間,因此您應考慮在此期間設定其他替代方式,例如要求雙因素驗證。
-
檢視您的網域。
網域僅可與一個組織相關聯。請使用組織專屬網域進行 SAML 驗證。若您使用其他組織已宣告的網域,則對方便無法使用該網域進行自身的 SAML 驗證。
舉例來說,假設您的組織為某較大實體企業的子公司,可能分別會有透過組織本身和母公司電子郵件地址來登入的使用者。如果您同時利用您和母公司的網域來為子公司設定 SAML 驗證,則其他使用 Shopify 的組織便無法使用母公司的網域。
如果您有使用者與 Shopify 中其他組織需要的網域相關聯,請不要認領該網域。
為您的組織設定 SAML 驗證
您必須先驗證您的網域,才能進行 SAML 設定。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「網域驗證」區段中,點擊「新增網域」。
- 輸入您的網域名稱,然後點擊「新增」。
網域目前處於「待處理」狀態。您的網域驗證程序可能需要數天的時間。程序完成後,您的網域狀態會更新為「已驗證」或「已拒絕」,且您會收到一封內含詳細資訊的電子郵件通知。如果您認為網域誤遭拒絕,請聯絡 Shopify Plus 支援。
您不需等網域完成驗證再開始設定配置。
自動進行設定
此設定目前適用於身分服務供應商 Okta、OneLogin 和 Azure。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 配置」區段中,點擊「設定配置」。
- 在您的身分識別服務供應商中,新增 Shopify Plus 應用程式。
- 您的服務提供者會給您一個中繼資料網址。請在「身分識別提供者中繼資料網址」欄位輸入此網址。輸入網址後,SAML 配置詳細資訊會自動填入,且目前無法手動編輯。
- 按一下「新增」。
手動進行設定
如果您使用 Okta、OneLogin 和 Azure 之外的身分識別服務供應商,則必須以手動方式輸入設定資料。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 配置」區段中,點擊「設定配置」。
- 點擊「顯示 SAML 配置設定」。
-
請複製並提供下列資訊給您的身分識別服務供應商,並一併提供身分識別服務供應商可能要求的其他資訊。 - 單一登入網址:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
。您的組織 ID 為數字,可在組織管理員介面的網址中找到。舉例而言,如果您的 Shopify 組織管理員介面網址為https://shopify.plus/12312312
,您的組織 ID 就是 12312312。-
受眾 URI (SP 實體 ID):
https://accounts.shopify.com/saml_sp
-
名稱 ID 格式:
Persistent
-
屬性陳述:
first_name
,last_name
,email
-
受眾 URI (SP 實體 ID):
您的服務提供者會給您一個中繼資料網址。請在「身分識別提供者中繼資料網址」欄位輸入此網址。輸入網址後,SAML 配置詳細資訊會自動填入,且目前無法手動編輯。
按一下「新增」。
需要 SAML 驗證
您新增網域、設定配置後,請等待驗證程序完成。當您的網域狀態變更為「已驗證」,您即可變更「SAML 驗證」設定。
SAML 驗證的考量事項
SAML 驗證的設定有三種:「必要」、「特定使用者」和「關閉」。
如果您選取「特定使用者」,則可以在「使用者」頁面,為 Shopify ID 與設定電子郵件網域相關聯的使用者,設定特定登入要求。您沒有設定要求 SAML 驗證的任何使用者都能以正常程序登入。如果您選擇「必要」,則您組織中的使用者若擁有設定電子郵件網域,就必須使用 SAML 驗證登入。
設定為「必要」會取代所有對組織中使用者的個別安全性要求。如果您在日後變更設定,則必須手動為您的使用者變更設定。
舉例來說,假設您將網域設定為「特定使用者」,並有三位使用者設定為需要 SAML 驗證。接著您將設定變更為要求強制執行的「必要」,要求所有 Shopify ID 與設定電子郵件網域相關聯的使用者必須使用 SAML 驗證登入。之後,您將強制執行的設定改回「特定使用者」。您原本要求使用 SAML 驗證登入的三個使用者即不再需要強制執行,您必須在他們的使用者詳細資料頁面重新設定一次。
要求使用者使用 SAML 驗證將移除現有的雙重驗證要求。
SAML 驗證工作階段為期六天,使用者在工作階段結束後才會收到再度登入的要求。如果您從身分識別提供者的 Shopify 應用程式移除使用者,則使用者最多還有六天的時間仍可存取 Shopify。若要避免使用者存取組織管理員介面,請從 Shopify 組織管理員介面的「使用者頁面」中將其移除。
要求 SAML 驗證
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 驗證」區段,點擊「變更設定」。
- 選擇一項驗證設定。
- 點擊「儲存」。
移除 SAML 驗證
若 SAML 驗證設定為「關閉」,則貴組織使用者的 Shopify ID 若與您設定電子郵件網域相關聯,就可以使用密碼和電子郵件地址登入。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 驗證」區段,點擊「變更設定」。
- 選取「關閉」。
- 點擊「儲存」。
移除網域
如果您不再需要網域或網域新增錯誤,可以將其移除。若要移除網域,則您的 SAML 驗證不可設為「必要」,且使用 SAML 驗證的使用者不可擁有與設定電子郵件網域相關聯的 Shopify ID。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「網域驗證」區段中,點擊「刪除」圖示。