您組織的 SAML 驗證
若您的組織使用 SAML 來進行使用者驗證,可以利用身分識別提供者將 Shopify 新增為應用程式。在應用程式設定完成後,擁有使用者管理權限的使用者便可要求個別或整個組織中的使用者,利用您的 SAML 身分識別提供者進行驗證。
在您設定 SAML 驗證之前
提交待驗證網域會影響使用者透過 Shopify 登入您的組織。因此您應在開始前先檢視以下考量事項。
建立備份帳號
設定 Shopify ID
為您的組織設定 SAML 驗證
您必須先驗證您的網域,才能進行 SAML 設定。
您不需等網域完成驗證再開始設定配置。
自動進行設定
此設定目前適用於身分服務供應商 Okta、OneLogin 和 Azure。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 配置」區段中,點擊「設定配置」。
- 在您的身分識別服務供應商中,新增 Shopify Plus 應用程式。
- 您的服務提供者會給您一個中繼資料網址。請在「身分識別提供者中繼資料網址」欄位輸入此網址。輸入網址後,SAML 配置詳細資訊會自動填入,且目前無法手動編輯。
- 按一下「新增」。
手動進行設定
如果您使用 Okta、OneLogin 和 Azure 之外的身分識別服務供應商,則必須以手動方式輸入設定資料。
身分識別服務供應商可能會針對某些值使用不同的名稱。舉例來說,Google 的 SAML 整合使用「ACS URL」這個術語來指單一登入網址。如果您在手動配置設定時發生錯誤,請聯絡身分識別服務供應商以尋求協助。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 配置」區段中,點擊「設定配置」。
- 點擊「顯示 SAML 配置設定」。
-
請複製並提供下列資訊給您的身分識別服務供應商,並一併提供身分識別服務供應商可能要求的其他資訊。
-
一次性登入網址:
https://accounts.shopify.com/saml/consume/organization/{organization ID}
。每個組織都有專屬 ID。請在 SAML 設定詳細資訊的一次性登入網址項目複製此值。 -
受眾 統一資源識別碼 (URI) (SP 實體 ID):
https://accounts.shopify.com/saml_sp
-
名稱 ID 格式:
Persistent
-
屬性陳述:
first_name
,last_name
,email
-
一次性登入網址:
服務供應商將會提供中繼資料網址給您,請在「身分識別提供者中繼資料網址」欄位中將其輸入。輸入網址後,系統會自動填入 SAML 設定詳細資訊,此資料無法手動編輯。
按一下「新增」。
需要 SAML 驗證
您新增網域、設定配置後,請等待驗證程序完成。當您的網域狀態變更為「已驗證」,您即可變更「SAML 驗證」設定。
SAML 驗證的考量事項
SAML 驗證的設定有三種:「必要」、「特定使用者」和「關閉」。
如果您選取「特定使用者」,則可以在「使用者」頁面,為 Shopify ID 與設定電子郵件網域相關聯的使用者,設定特定登入要求。您沒有設定要求 SAML 驗證的任何使用者都能以正常程序登入。如果您選取「必要」,則使用者若擁有您設定的電子郵件網域,就必須使用 SAML 驗證登入。
「必要」設定會取代使用者的所有個別安全性要求。如果您在日後變更設定,則必須手動為您的使用者變更設定。
舉例來說,假設您將網域設定為「特定使用者」,並有三位使用者設定為需要 SAML 驗證。接著您將設定變更為要求強制執行的「必要」,要求所有 Shopify ID 與設定電子郵件網域相關聯的使用者必須使用 SAML 驗證登入。之後,您將強制執行的設定改回「特定使用者」。您原本要求使用 SAML 驗證登入的三個使用者即不再需要強制執行,您必須在他們的使用者詳細資料頁面重新設定一次。
要求使用者使用 SAML 驗證將移除現有的雙重驗證要求。
若使用者使用桌上型裝置,則 SAML 驗證工作階段為期 14 天,使用者在工作階段結束後才會收到再度登入的要求。如果您從身分識別提供者的 Shopify 應用程式移除使用者,則使用者最多還有 14 天的時間仍可存取 Shopify。若要避免使用者存取組織管理介面,請從 Shopify 組織管理介面的使用者頁面中將其移除。
若使用者使用行動裝置或 POS,SAML 驗證工作階段將於帳號停用後 14 天失效。如果帳號為啟用狀態,則工作階段會在 14 天內自動更新。如果您從身分識別提供者的 Shopify 應用程式移除使用者,則使用者最多還有 14 天的時間仍可存取 Shopify。若要避免使用者存取組織管理介面,請從 Shopify 組織管理介面的使用者頁面中將其移除。
要求 SAML 驗證
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 驗證」區段,點擊「變更設定」。
- 選擇一項驗證設定。
- 點擊「儲存」。
移除 SAML 驗證
若 SAML 驗證設定為「關閉」,則貴組織使用者的 Shopify ID 若與您設定電子郵件網域相關聯,就可以使用密碼和電子郵件地址登入。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SAML 驗證」區段,點擊「變更設定」。
- 選取「關閉」。
- 點擊「儲存」。