組織的 SCIM 使用者管理

此頁面列印時間為 Mar 28, 2023。如須最新版本,請至 https://help.shopify.com/zh-TW/manual/shopify-plus/security/scim。

在您為組織驗證網域設定 SAML 驗證後,即可產生 SCIM API 憑證。

功能

提供 SCIM API 憑證給您的身分識別提供者,讓您可以透過其採取以下動作:

  • 建立使用者
  • 指派使用者角色
  • 停用使用者

需求

在您設定 SCIM 使用者管理之前,必須驗證您的網域建立 SAML 設定。您僅能管理已與已驗證網域相關聯的使用者。

設定 SCIM 使用者管理

  1. 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
  2. 在「SCIM 整合」區段中,點擊「產生 API 憑證」。
  3. 點擊「複製」以將產生的憑證複製到剪貼簿中。
  4. 向身分識別服務供應商提供憑證。新增憑證的程序取決於您所使用的身分識別服務供應商。

在 Okta 完成 SCIM 設定

  1. 開啟 Shopify Plus 應用程式。

  2. 點擊「登入」索引標籤。

    1. 將「應用程式使用者名稱格式」設為「電子郵件」。
    2. 點擊「儲存」。

  3. 點擊「佈建」索引標籤。

    1. 點擊「設定 API 整合」。
    2. 勾選「啟用 API 整合」,然後在系統提供的欄位貼上 API 憑證。
    3. 點擊「測試 API 憑證」。若發生錯誤,請確認您從 Shopify Plus 管理員介面複製的 API 憑證正確。若錯誤持續發生,請聯絡 Plus 支援服務。
    4. 點擊「儲存」。

在 OneLogin 完成 SCIM 設定

  1. 開啟 Shopify Plus 應用程式。

  2. 點擊「設定」選單項目。

    1. 在「SCIM Bearer Token」欄位中,貼上 API 憑證。
    2. 點擊「儲存」。

  3. 點擊「參數」選單項目。

    1. SCIM 使用者名稱的預設值設為電子郵件
    2. 點擊「儲存」。

在 Azure 完成 SCIM 設定

  1. 開啟 Shopify Plus 應用程式。
  2. 點擊「佈建」選單項目。
  3. 點擊「開始使用」。
  4. 在「佈建模式」選單中選擇「自動」。
  5. 在「承租人網址」欄位中,輸入基本網址 https://shopifyscim.com/scim/v2/
  6. 在「密鑰」欄位中,輸入 API 憑證。
  7. 點擊「測試連線」。若發生錯誤,請確認您是否從 Shopify Plus 組織管理員介面中正確複製 API 憑證。若錯誤持續發生,請聯絡 Shopify Plus 支援。
  8. 點擊「儲存」。
  9. 變更「佈建狀態」,改為「開啟」。
  10. 點擊「儲存」。

在將 API 憑證新增至您的身分識別提供者中後,您便可透過該服務新增或移除使用者。依據該使用者在 Shopify 和身分識別提供者中的狀態不同,其登入 Shopify 的方式也不盡相同。

在身分識別提供者中建立使用者的效果
使用者狀態 在 Shopify 中的效果
使用者已在您的組織中 如果您在身分識別提供者中新增使用者,該使用者若符合以下條件,則必須使用 SAML 驗證才能登入:

  • 該使用者已在 Shopify 中
  • 該使用者已在您的組織中
  • 您強制使用「特定的使用者
透過身分識別供應商移除使用者存取權限的效應依使用者狀態而定。如果您透過身分識別供應商移除某「有效」使用者的 Shopify 存取權限,則對方將在組織中遭停用。如果您透過身分識別服務供應商永久刪除某使用者,則依該身分識別供應商的設定而定,對方可能會在組織中遭刪除。
使用者已在 Shopify 中,但不屬於您的組織 如果您在身分識別提供者中新增使用者,則系統會將該使用者加入您的組織,且其若符合以下條件,則必須使用 SAML 驗證才能登入:

  • 該使用者已在 Shopify 中
  • 使用者不在您的特定組織中
  • 您強制使用「必要」或「特定使用者
使用者不在 Shopify 中 如果您在身分識別提供者中新增使用者,則系統會將該使用者加入您的組織,且其若符合以下條件,則必須使用 SAML 驗證才能登入:

  • Shopify 中沒有該使用者
  • 您強制使用「必要」或「特定使用者
使用者首次登入 Shopify 組織管理員介面時,該使用者必須透過身分識別提供者登入,而不可透過 Shopify 登入頁面操作。

在您新增 API 憑證後,若您透過身分識別提供者或組織管理員新增之前未在 Shopify 中的的使用者,系統便會將該名新使用者設為待處理狀態。如果您的使用者必須使用 SAML 才能登入,則他們會在使用身分識別提供者登入前,都維持待處理狀態。

SCIM 中的角色指派

完成 SCIM 設定後,您可以選擇透過您的身分識別服務提供者,指派角色給 SCIM 使用者。指派角色給使用者之前,請先驗證該角色是否存在於您的組織中。如果您的組織沒有建立該角色,系統便不會更新現有的 SCIM 使用者。

在支援的身分識別服務提供者中指派角色

OneLogin 應用程式現在支援角色指派。Okta 和 Azure 應用程式之後也會支援此功能。若要在 OneLogin 中指派或更新 SCIM 使用者角色,請變更身分識別服務提供者的佈建入口網站中現有 SCIM 使用者的角色名稱。

在不受支援的身分識別服務提供者中指派角色

如果您的身分識別服務提供者沒有 Shopify Plus 應用程式,您便需要手動編輯 SCIM 設定。在開始之前,請先確認您的身分識別服務提供者是否可以將角色新增為 SCIM 欄位。

若要指派或更新 SCIM 使用者角色,JSON 主體中的 POST、PUT 和 PATCH 要求必須包括以下內容:

{
  "name": {
    "givenName": "given_name"
    "familyName": "family_name"
  },
  "userName": "email",
  "roles": [{"value": "role_name"}]
}

SCIM JSON 主體必須包含名為 roles 的鍵值。roles 必須是一個陣列,其中包含用於儲存角色名稱的雜湊。如果提供多個角色名稱雜湊,系統只會使用最後一個角色名稱雜湊來指派角色。如果角色名稱無效,或者 SCIM JSON 主體與上述範本不符,系統便不會指派或更新角色。

取消指派角色

若要取消指派使用者角色,請使用 Shopify 組織管理介面。深入瞭解如何在 Shopify 中取消指派使用者角色

移除 SCIM 整合

如果您不再需要 SCIM 整合,則可以將其移除。此動作無法復原。若要重新啟用整合功能,您必須產生新的 API 憑證。

步驟:

  1. 在 Shopify 組織管理員介面中,前往「使用者」>「安全性」。
  2. 在「SCIM 整合」區段中,點擊 API 憑證旁的「...」。
  3. 點擊「刪除憑證」。

限制

無法透過身分識別服務供應商移除商店擁有人和組織擁有人。必須先為使用者轉移這兩種類型的擁有權,才可以將他們移除。若要變更商店擁有人,您可在 Shopify 管理介面中進行操作。若要變更組織擁有人,請聯絡 Shopify Plus 支援服務。

準備好開始透過 Shopify 銷售商品了嗎?

免費試用