您組織的 SAML 驗證
若您的組織使用 SAML 來進行使用者驗證,可以利用身分識別提供者將 Shopify 新增為應用程式。在應用程式設定完成後,擁有使用者管理權限的使用者便可要求個別或整個組織中的使用者,利用您的 SAML 身分識別提供者進行驗證。
在您設定 SAML 驗證之前
提交待驗證網域會影響使用者透過 Shopify 登入您的組織。因此您應在開始前先檢視以下考量事項。
建立備份帳號
設定 Shopify ID
為您的組織設定 SAML 驗證
您必須先驗證您的網域,才能進行 SAML 設定。
您不需等網域完成驗證再開始設定配置。
自動進行設定
此設定目前適用於身分服務供應商 Okta、OneLogin 和 Azure。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 配置」區段中,點擊「設定配置」。
- 在您的身分識別服務供應商中,新增 Shopify Plus 應用程式。
- 您的服務提供者會給您一個中繼資料網址。請在「身分識別提供者中繼資料網址」欄位輸入此網址。輸入網址後,SAML 配置詳細資訊會自動填入,且目前無法手動編輯。
- 按一下「新增」。
手動進行設定
如果您使用 Okta、OneLogin 和 Azure 之外的身分識別服務供應商,則必須以手動方式輸入設定資料。
身分識別服務供應商可能會針對某些值使用不同的名稱。舉例來說,Google 的 SAML 整合使用「ACS URL」這個術語來指單一登入網址。如果您在手動配置設定時發生錯誤,請聯絡身分識別服務供應商以尋求協助。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 配置」區段中,點擊「設定配置」。
- 點擊「顯示 SAML 配置設定」。
-
請複製並提供下列資訊給您的身分識別服務供應商,並一併提供身分識別服務供應商可能要求的其他資訊。
-
一次性登入網址:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
。每個組織都有專屬 ID。請在 SAML 設定詳細資訊的一次性登入網址項目複製此值。 -
受眾 統一資源識別碼 (URI) (SP 實體 ID):
https://accounts.shopify.com/saml_sp
-
名稱 ID 格式:
Persistent
-
屬性陳述:
first_name
,last_name
,email
-
一次性登入網址:
服務供應商將會提供中繼資料網址給您,請在「身分識別提供者中繼資料網址」欄位中將其輸入。輸入網址後,系統會自動填入 SAML 設定詳細資訊,此資料無法手動編輯。
按一下「新增」。
需要 SAML 驗證
您新增網域、設定配置後,請等待驗證程序完成。當您的網域狀態變更為「已驗證」,您即可變更「SAML 驗證」設定。
SAML 驗證的考量事項
SAML 驗證的設定有三種:「必要」、「特定使用者」和「關閉」。
如果您選取「特定使用者」,則可以在「使用者」頁面,為 Shopify ID 與設定電子郵件網域相關聯的使用者,設定特定登入要求。您沒有設定要求 SAML 驗證的任何使用者都能以正常程序登入。如果您選擇「必要」,則您組織中的使用者若擁有設定電子郵件網域,就必須使用 SAML 驗證登入。
設定為「必要」會取代所有對組織中使用者的個別安全性要求。如果您在日後變更設定,則必須手動為您的使用者變更設定。
舉例來說,假設您將網域設定為「特定使用者」,並有三位使用者設定為需要 SAML 驗證。接著您將設定變更為要求強制執行的「必要」,要求所有 Shopify ID 與設定電子郵件網域相關聯的使用者必須使用 SAML 驗證登入。之後,您將強制執行的設定改回「特定使用者」。您原本要求使用 SAML 驗證登入的三個使用者即不再需要強制執行,您必須在他們的使用者詳細資料頁面重新設定一次。
要求使用者使用 SAML 驗證將移除現有的雙重驗證要求。
SAML 驗證工作階段為期六天,使用者在工作階段結束後才會收到再度登入的要求。如果您從身分識別提供者的 Shopify 應用程式移除使用者,則使用者最多還有六天的時間仍可存取 Shopify。若要避免使用者存取組織管理員介面,請從 Shopify 組織管理員介面的「使用者頁面」中將其移除。
要求 SAML 驗證
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 驗證」區段,點擊「變更設定」。
- 選擇一項驗證設定。
- 點擊「儲存」。
移除 SAML 驗證
若 SAML 驗證設定為「關閉」,則貴組織使用者的 Shopify ID 若與您設定電子郵件網域相關聯,就可以使用密碼和電子郵件地址登入。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 驗證」區段,點擊「變更設定」。
- 選取「關閉」。
- 點擊「儲存」。