您組織的 SAML 驗證

此頁面列印時間為 Oct 24, 2021。如須最新版本,請至 https://help.shopify.com/zh-TW/manual/shopify-plus/security/saml。

若您的組織使用 SAML 來進行使用者驗證,可以利用身分識別提供者將 Shopify 新增為應用程式。在應用程式設定完成後,擁有使用者管理權限的使用者便可要求個別或整個組織中的使用者,利用您的 SAML 身分識別提供者進行驗證。

在您設定 SAML 驗證之前

提交待驗證網域會影響使用者透過 Shopify 登入您的組織。因此您應在開始前先檢視以下考量事項。

  • 建立備份帳號

    如果您有任何關於 SAML 驗證整合或身分識別提供者中斷的問題,請建立備份帳號,且該帳號不得與您用於 SAML 驗證的網域相關聯。請確認此帳號是組織內的有效使用者,並已啟用兩步驟驗證,且擁有使用者管理存取權限,以便您可以在緊急情況下停用 SAML。

  • 設定 Shopify ID

    由於 SAML 驗證以網域為依據,因此應確保組織中所有使用者都已使用與組織關聯的網域電子郵件地址,完成 Shopify ID 的設定。

為您的組織設定 SAML 驗證

您必須先驗證您的網域,才能進行 SAML 設定。

您不需等網域完成驗證再開始設定配置。

自動進行設定

此設定目前適用於身分服務供應商 Okta、OneLogin 和 Azure。

步驟:

  1. 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
  2. 在「SAML 配置」區段中,點擊「設定配置」。
  3. 在您的身分識別服務供應商中,新增 Shopify Plus 應用程式。
  4. 您的服務提供者會給您一個中繼資料網址。請在「身分識別提供者中繼資料網址」欄位輸入此網址。輸入網址後,SAML 配置詳細資訊會自動填入,且目前無法手動編輯。
  5. 按一下「新增」。

手動進行設定

如果您使用 Okta、OneLogin 和 Azure 之外的身分識別服務供應商,則必須以手動方式輸入設定資料。

身分識別服務供應商可能會針對某些值使用不同的名稱。舉例來說,Google 的 SAML 整合使用「ACS URL」這個術語來指單一登入網址。如果您在手動配置設定時發生錯誤,請聯絡身分識別服務供應商以尋求協助。

步驟:

  1. 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
  2. 在「SAML 配置」區段中,點擊「設定配置」。
  3. 點擊「顯示 SAML 配置設定」。

  4. 請複製並提供下列資訊給您的身分識別服務供應商,並一併提供身分識別服務供應商可能要求的其他資訊。 - 一次性登入網址https://accounts.shopify.com/saml/consume/organization/{organization ID}。每個組織都有專屬 ID。請在 SAML 設定詳細資訊的一次性登入網址項目複製此值。

    • 受眾 統一資源識別碼 (URI) (SP 實體 ID)https://accounts.shopify.com/saml_sp
    • 名稱 ID 格式Persistent
    • 屬性陳述first_namelast_nameemail

  5. 您的服務提供者會給您一個中繼資料網址。請在「身分識別提供者中繼資料網址」欄位輸入此網址。輸入網址後,SAML 配置詳細資訊會自動填入,且目前無法手動編輯。

  6. 按一下「新增」。

需要 SAML 驗證

您新增網域、設定配置後,請等待驗證程序完成。當您的網域狀態變更為「已驗證」,您即可變更「SAML 驗證」設定。

SAML 驗證的考量事項

SAML 驗證的設定有三種:「必要」、「特定使用者」和「關閉」。

如果您選取「特定使用者」,則可以在「使用者」頁面,為 Shopify ID 與設定電子郵件網域相關聯的使用者,設定特定登入要求。您沒有設定要求 SAML 驗證的任何使用者都能以正常程序登入。如果您選擇「必要」,則您組織中的使用者若擁有設定電子郵件網域,就必須使用 SAML 驗證登入。

設定為「必要」會取代所有對組織中使用者的個別安全性要求。如果您在日後變更設定,則必須手動為您的使用者變更設定。

舉例來說,假設您將網域設定為「特定使用者」,並有三位使用者設定為需要 SAML 驗證。接著您將設定變更為要求強制執行的「必要」,要求所有 Shopify ID 與設定電子郵件網域相關聯的使用者必須使用 SAML 驗證登入。之後,您將強制執行的設定改回「特定使用者」。您原本要求使用 SAML 驗證登入的三個使用者即不再需要強制執行,您必須在他們的使用者詳細資料頁面重新設定一次。

要求使用者使用 SAML 驗證將移除現有的雙重驗證要求。

SAML 驗證工作階段為期六天,使用者在工作階段結束後才會收到再度登入的要求。如果您從身分識別提供者的 Shopify 應用程式移除使用者,則使用者最多還有六天的時間仍可存取 Shopify。若要避免使用者存取組織管理員介面,請從 Shopify 組織管理員介面的「使用者頁面」中將其移除。

要求 SAML 驗證

步驟:

  1. 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
  2. 在「SAML 驗證」區段,點擊「變更設定」。
  3. 選擇一項驗證設定。
  4. 點擊「儲存」。

移除 SAML 驗證

若 SAML 驗證設定為「關閉」,則貴組織使用者的 Shopify ID 若與您設定電子郵件網域相關聯,就可以使用密碼和電子郵件地址登入。

步驟:

  1. 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
  2. 在「SAML 驗證」區段,點擊「變更設定」。
  3. 選取「關閉」。
  4. 點擊「儲存」。

相關連結

準備好開始透過 Shopify 銷售商品了嗎?

免費試用