組織的 SCIM 使用者管理
在您為組織驗證網域和設定 SAML 驗證後,即可產生 SCIM API 憑證。
功能
提供 SCIM API 憑證給您的身分識別提供者,讓您可以透過其採取以下動作:
- 建立使用者
- 指派使用者角色
- 停用使用者
需求
在您設定 SCIM 使用者管理之前,必須驗證您的網域並建立 SAML 設定。您僅能管理已與已驗證網域相關聯的使用者。
設定 SCIM 使用者管理
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SCIM 整合」區段中,點擊「產生 API 憑證」。
- 點擊「複製」以將產生的憑證複製到剪貼簿中。
- 向身分識別服務供應商提供憑證。新增憑證的程序取決於您所使用的身分識別服務供應商。
在 Okta 完成 SCIM 設定
- 開啟 Shopify Plus 應用程式。
-
點擊「登入」索引標籤。
- 將「應用程式使用者名稱格式」設為「電子郵件」。
- 點擊「儲存」。
-
點擊「佈建」索引標籤。
- 點擊「設定 API 整合」。
- 勾選「啟用 API 整合」,然後在系統提供的欄位貼上 API 憑證。
- 點擊「測試 API 憑證」。若發生錯誤,請確認您從 Shopify Plus 管理員介面複製的 API 憑證正確。若錯誤持續發生,請聯絡 Plus 支援服務。
- 點擊「儲存」。
在 OneLogin 完成 SCIM 設定
- 開啟 Shopify Plus 應用程式。
-
點擊「設定」選單項目。
- 在「SCIM Bearer Token」欄位中,貼上 API 憑證。
- 點擊「儲存」。
-
點擊「參數」選單項目。
- 將 SCIM 使用者名稱的預設值設為電子郵件。
- 點擊「儲存」。
在 Azure 完成 SCIM 設定
- 開啟 Shopify Plus 應用程式。
- 點擊「佈建」選單項目。
- 點擊「開始使用」。
- 在「佈建模式」選單中選擇「自動」。
- 在「承租人網址」欄位中,輸入基本網址
https://shopifyscim.com/scim/v2/
。 - 在「密鑰」欄位中,輸入 API 憑證。
- 點擊「測試連線」。若發生錯誤,請確認您是否從 Shopify Plus 組織管理員介面中正確複製 API 憑證。若錯誤持續發生,請聯絡 Shopify Plus 支援。
- 點擊「儲存」。
- 變更「佈建狀態」,改為「開啟」。
- 點擊「儲存」。
在將 API 憑證新增至您的身分識別提供者中後,您便可透過該服務新增或移除使用者。依據該使用者在 Shopify 和身分識別提供者中的狀態不同,其登入 Shopify 的方式也不盡相同。
使用者狀態 | 在 Shopify 中的效果 |
---|---|
使用者已在您的組織中 | 如果您在身分識別提供者中新增使用者,該使用者若符合以下條件,則必須使用 SAML 驗證才能登入:
|
使用者已在 Shopify 中,但不屬於您的組織 | 如果您在身分識別提供者中新增使用者,則系統會將該使用者加入您的組織,且其若符合以下條件,則必須使用 SAML 驗證才能登入:
|
使用者不在 Shopify 中 | 如果您在身分識別提供者中新增使用者,則系統會將該使用者加入您的組織,且其若符合以下條件,則必須使用 SAML 驗證才能登入:
|
在您新增 API 憑證後,若您透過身分識別提供者或組織管理員新增之前未在 Shopify 中的的使用者,系統便會將該名新使用者設為待處理狀態。如果您的使用者必須使用 SAML 才能登入,則他們會在使用身分識別提供者登入前,都維持待處理狀態。
SCIM 中的角色指派
完成 SCIM 設定後,您可以選擇透過您的身分識別服務提供者,指派角色給 SCIM 使用者。指派角色給使用者之前,請先驗證該角色是否存在於您的組織中。如果您的組織沒有建立該角色,系統便不會更新現有的 SCIM 使用者。
在支援的身分識別服務提供者中指派角色
OneLogin 應用程式現在支援角色指派。Okta 和 Azure 應用程式之後也會支援此功能。若要在 OneLogin 中指派或更新 SCIM 使用者角色,請變更身分識別服務提供者的佈建入口網站中現有 SCIM 使用者的角色名稱。
在不受支援的身分識別服務提供者中指派角色
如果您的身分識別服務提供者沒有 Shopify Plus 應用程式,您便需要手動編輯 SCIM 設定。在開始之前,請先確認您的身分識別服務提供者是否可以將角色新增為 SCIM 欄位。
若要指派或更新 SCIM 使用者角色,JSON 主體中的 POST、PUT 和 PATCH 要求必須包括以下內容:
{
"name": {
"givenName": "given_name"
"familyName": "family_name"
},
"userName": "email",
"roles": [{"value": "role_name"}]
}
SCIM JSON 主體必須包含名為 roles
的鍵值。roles
必須是一個陣列,其中包含用於儲存角色名稱的雜湊。如果提供多個角色名稱雜湊,系統只會使用最後一個角色名稱雜湊來指派角色。如果角色名稱無效,或者 SCIM JSON 主體與上述範本不符,系統便不會指派或更新角色。
取消指派角色
若要取消指派使用者角色,請使用 Shopify 組織管理介面。深入瞭解如何在 Shopify 中取消指派使用者角色。
移除 SCIM 整合
如果您不再需要 SCIM 整合,則可以將其移除。此動作無法復原。若要重新啟用整合功能,您必須產生新的 API 憑證。
步驟:
- 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
- 在「SCIM 整合」區段中,點擊 API 憑證旁的「...」。
- 點擊「刪除憑證」。
限制
無法透過身分識別服務供應商移除商店擁有人和組織擁有人。必須先為使用者轉移這兩種類型的擁有權,才可以將他們移除。若要變更商店擁有人,您可在 Shopify 管理介面中進行操作。若要變更組織擁有人,請聯絡 Shopify Plus 支援服務。