针对您的组织的 SAML 身份验证
Shopify Plus
Shopify 组织后台仅适用于 Shopify Plus 套餐。
如果您的组织使用 SAML 对用户进行身份验证,则可以将 Shopify 作为应用添加到您的身份信息提供商。设置应用后,具有用户管理访问权限的用户可以要求您组织中的单个用户或所有用户使用您的 SAML 身份信息提供商进行身份验证。
本页相关主题
设置 SAML 身份验证之前
为组织设置 SAML 验证
要求 SAML 验证
删除 SAML 验证
相关链接
设置 SAML 身份验证之前
提交要验证的域名会影响在 Shopify 中登录您组织的用户。在开始之前,请查看以下注意事项。
创建备份账户。
设置 Shopify ID。
为组织设置 SAML 验证
您需要先验证您的域名,然后才能设置 SAML 配置。
您不必等到您的域名通过验证即可开始设置配置。
自动设置配置
目前,身份服务提供商 Okta、OneLogin 和 Azure 提供这些配置。
步骤:
在您的 Shopify 组织后台中,前往用户 > 安全。
在 SAML 配置部分中,点击设置配置。
在您的身份信息提供商中,添加 Shopify Plus 应用。
您的服务提供商将为您提供元数据 URL。在身份信息提供商元数据 URL 字段中输入此信息。输入 URL 后,SAML 配置详细信息会自动填充,目前无法手动编辑。
点击添加。
手动设置配置
如果您使用的是 Okta、OneLogin 和 Azure 之外的身份信息提供商,则必须手动输入配置数据。
身份服务提供商可能会为某些值使用不同的名称。例如,Google 的 SAML 集成使用 ACS URL 一词来表示单点登录 URL。如果您在手动设置配置时遇到错误,请联系身份服务提供商获取帮助。
步骤:
在您的 Shopify 组织后台中,前往用户 > 安全。
在 SAML 配置部分中,点击设置配置。
点击显示 SAML 配置设置。
复制以下值,并将其提供给您的身份信息服务提供商,同时提供身份信息提供商可能请求的任何其他信息。
单一登录 URL:https://accounts.shopify.com/saml/consume/organization/{organization ID}。每个组织都有唯一的 ID。请在 SAML 配置详细信息中的单一登录 URL 条目中复制此值。
受众 URI(SP 实体 ID): https://accounts.shopify.com/saml_sp
姓名 ID 格式: Persistent
属性声明:first_name、last_name、 email
您的服务提供商将为您提供元数据 URL。在身份信息提供商元数据 URL 字段中输入此信息。输入 URL 后,SAML 配置详细信息会自动填充,并且无法手动编辑。
点击添加。
要求 SAML 验证
添加域名并设置配置后,请等待验证完成。当您的域名状态更改为已验证后,您便可以更改 SAML 身份验证设置。
SAML 身份验证的注意事项
SAML 身份验证有三个设置:必需、特定用户和关闭。
如果您选择特定用户,则可以为 Shopify ID 与用户页面中已设定电子邮件域名关联的用户设置特定的登录要求。任何未设为要求 SAML 身份验证的用户都可以正常登录。如果选择必需,则组织中使用已设定电子邮件域名的所有用户都必须使用 SAML 身份验证进行登录。
注意
必需设置会影响您组织中将 Shopify ID 与已设定电子邮件域名关联的所有用户,包括店主。在要求所有用户都通过 SAML 身份验证进行登录之前,请先与特定用户测试您的设置。
必需设置会替换您组织中用户的所有个人安全要求。如果您稍后更改设置,则需要手动更改用户的设置。
例如,您已将域名设置为特定用户,并且将三位用户设置为需要 SAML 身份验证。然后,您将强制措施设置为必需,要求 Shopify ID 与已设定电子邮件域名关联的所有用户使用 SAML 身份验证。稍后,您将强制措施重新设置为特定用户。系统不再强制要求之前的三位用户使用 SAML 身份验证登录,您需要在其用户详细信息页面中再次设置。
要求用户使用 SAML 验证时,系统就会删除现有双重验证的要求。
SAML 身份验证会话持续 6 天,然后您的用户就需要再次登录。如果您从身份信息提供商的 Shopify 应用程序中删除用户,他们仍可在最多 6 天时间内访问 Shopify。若要阻止用户访问组织后台,请在 Shopify 组织后台的用户页面上删除其组织访问权限。
要求 SAML 验证
备注
用户无法使用 SAML 身份验证登录 Shopify POS。用户只能使用版本 8.72.0 或更高版本登录 Shopify 应用。如果您要求旧版 Shopify 应用的 POS 用户或移动用户使用 SAML 身份验证,他们将无法登录。如果您组织中的用户需要登录这些应用程序,则不应将这些应用程序设置为需要 SAML 身份验证。
步骤:
在您的 Shopify 组织后台中,前往用户 > 安全。
在 SAML 验证部分,点击更改设置。
选择验证设置。
单击保存。
删除 SAML 验证
如果 SAML 身份验证设置为关闭,您组织中 Shopify ID 与设定电子邮件域名关联的所有用户都可以使用他们的密码和电子邮件地址登录。
步骤:
在您的 Shopify 组织后台中,前往用户 > 安全。
在 SAML 验证部分,点击更改设置。
选择关闭。
单击保存。
相关链接
用户
安全
Okta:如何为 Shopify Plus 配置 SAML 2.0
Azure Active Directory 单点登录 (SSO) 与 Shopify Plus 集成
Comments are closed