Vor Beginn des Integrationsprozesses muss Ihnen ein Onshape-Enterprise-Konto oder ein Testzugang erteilt worden sein. Auch müssen Sie über einen Onshape-Enterprise-Domain-Namen verfügen.

Ein Beispiel für einen Enterprise-Domain-Namen könnte sein: MeinCompanyName.onshape.com.

Beachten Sie, dass Sie jeweils nur einen SSO-Anbieter nutzen können.

Dieser Konfigurationsprozess kann fehlschlagen, wenn die Parameterwerte nicht für Ihr Unternehmen angepasst wurden. Verwenden Sie das Dashboard Ihres benutzerdefinierten SSO-Identitätsanbieters (z. B. Okta, PingOne oder ClassLink) zur einmaligen Anmeldung, um Onshape als Anwendung hinzuzufügen und die für Ihr Unternehmen spezifischen Werte aufzuzeichnen. Diese Werte benötigen Sie für die folgende Vorgehensweise.

Onshape signiert alle ausgehenden SAML-Zertifizierungsanfragen. Sie müssen keine Zertifikate hochladen (z. B. ein SAML-Signaturzertifikat), außer im Fall einer ADFS-Integration, da ADFS eingehende SAML-Anforderungen validiert. Beachten Sie, dass Microsoft auch die Migration von der neuesten Version von ADFS auf Microsoft Entra ID empfiehlt. Weitere Informationen finden Sie unter ADFS-Übersicht.

In der Regel wird ein SSO-Anbieter für ein Enterprise eingerichtet. Wenn Sie eine Multi-Tenant-Konfiguration (ein SSO-Anbieter mit mehreren Enterprises) mit SAML 2.0 einrichten, muss der Administrator com.onshape.saml2.sp.<Domain-Präfix> als Onshape-Objekt-ID verwenden und das Kästchen Element-ID (entityId) mit Company-Domain-Präfix verwenden aktivieren. Weitere Informationen finden Sie im Bereich „SSO-Anbieter in Onshape konfigurieren“ weiter unten.

Um die einmalige Anmeldung für Ihre Company zu aktivieren, müssen Sie zunächst Onshape zu Ihrem Entra ID-Konto (früher Azure AD) für die einmalige Anmeldung hinzufügen:

  1. Melden Sie sich beim Microsoft Entra ID-Portal (früher Azure AD) an. Sie werden auf die Startseite weitergeleitet.

    Anmeldung beim Microsoft Azure-Portal

  2. Geben Sie in der Suchleiste Enterprise Applications ein und wählen Sie Enterprise Applications aus.

    Enterprise-Anwendungen mit der Suchleiste auswählen

  3. Klicken Sie oben auf der Seite „Alle Anwendungen“ auf Neue Anwendung.

    Beispiel für die Auswahl einer neuen Anwendung auf der Seite Enterprise-Anwendungen

  4. Suchen Sie auf der Seite Browse Microsoft Entra Gallery im Feld für die Anwendungssuche nach Onshape. Klicken Sie dann auf die Schaltfläche Onshape.

    Beispiel für die Suche nach Onshape auf der Seite „Browse Entra Gallery“

  5. Rechts wird die Palette der Onshape-Anwendung geöffnet. Klicken Sie unten in der Palette auf die Schaltfläche Erstellen.

    Onshape-Anwendung auswählen und öffnen

    Microsoft Entra erstellt die neue Anwendung für Sie. Die Einrichtung kann einige Sekunden dauern.

  6. Sobald die App erstellt ist, klicken Sie auf die Schaltfläche 2. Einmalige Anmeldung einrichten.

    Option „Single-Sign-On einrichten“ auswählen

  7. Da Onshape nur SAML-Authentifizierung unterstützt, klicken Sie auf das Feld SAML.

    Auf SAML-Option auf der Seite „Einmaliges Anmelden“ klicken

    Wenn die Einstellung „Einmaliges Anmelden speichern“ geöffnet wird, klicken Sie auf Ja.

    Auf „Ja“ klicken, um die Einstellung „Einmaliges Anmelden“ zu speichern

    Die SAML-basierte Anmeldeseite wird geöffnet.

  1. Klicken Sie im Unterabschnitt „Benutzerattribute und Ansprüche“ rechts oben im Feld auf Bearbeiten.

    Zum Bearbeiten der Benutzerattribute und -ansprüche auf der SAML-basierten Anmeldeseite klicken

  2. Doppelklicken Sie auf der angezeigten Seite „Benutzerattribute und Ansprüche“ auf den Anspruch companyName.

    „CompanyName“-Anspruch auf der Seite „Benutzerattribute und -ansprüche“ auswählen

  3. Geben Sie das Präfix Ihres Domain-Namens in das FeldQuellattribut ein. Wenn Ihr Onshape Enterprise-Name zum Beispiel Fishbowl.onshape.com lautet, geben Sie Fishbowl in das Feld ein. Nach der Eingabe müssen Sie zusätzlich auf den Eintrag unterhalb des Feldes klicken (siehe Mauszeiger im Bild unten).

    Beispiel für die Verwaltung eines Anspruchs

  4. Klicken Sie auf Speichern.

    Beispiel für das Speichern eines Anspruchs auf der Seite „Anspruch verwalten“.

  5. Klicken Sie oben rechts auf das X, um die Seite zu schließen.

    Seite „Benutzerattribute und -ansprüche“ schließen

  6. Wenn Sie gefragt werden, ob Sie das einmalige Anmelden testen möchten, wählen Sie Nein, ich teste später aus.

    Auf die Schaltfläche „Nein, ich teste später“ auf der SAML-basierten Anmeldeseite klicken

  7. Die SAML-basierte Anmeldeseite wird wieder angezeigt. Ihre Seite sollte ähnlich wie in der folgenden Abbildung aussehen.

    Beispiel für die fertiggestellten Ansprüche

  8. Scrollen Sie auf der Seite nach unten zur Überschrift 3 SAML-Signaturzertifikat. Klicken Sie unten in diesem Abschnitt auf den Download-Link „Federation Metadata XML“. Diese XML-Datei wird später im Konfigurationsprozess für die einmalige Anmeldung verwendet.

    „Federation Metadata XML“-Datei herunterladen

  9. Nach erfolgreichem Download dieser Datei erscheint oben rechts eine Meldung. Klicken Sie auf das X, um die Meldung zu schließen.

    Hinweis auf den abgeschlossenen Download schließen

  1. Wählen Sie im linken Navigationsbereich Benutzer und Gruppen aus.

    Benutzer und Gruppen aus der Navigation auf der linken Seite der SAML-basierten Anmeldeseite auswählen

  2. Die Seite „Benutzer und Gruppen“ wird angezeigt. Klicken Sie auf Benutzer/Gruppe hinzufügen.

    Auf die Schaltfläche „Benutzer/Gruppe hinzufügen“ auf der Seite „Benutzer/Gruppen“ klicken

  3. Die Seite „Zuweisung hinzufügen“ wird geöffnet. Klicken Sie links auf Benutzer – Keine ausgewählt.

    Auf der rechten Seite wird die Palette „Benutzer“ geöffnet. Suchen und wählen Sie die Benutzer aus, die Sie einladen möchten. Jeder Benutzer wird in den Bereich Ausgewählte Objekte verschoben. Sind alle ausgewählten Mitglieder in diesem Bereich aufgelistet, klicken Sie auf die Schaltfläche Auswählen.

    Benutzer der Benutzergruppe/dem Team zuweisen

  4. Klicken Sie auf Zuweisen.

    Auf die Schaltfläche „Zuweisen“ auf der Seite „Zuweisung hinzufügen“ klicken

  5. Die Seite „Benutzer und Gruppen“ wird mit den neuen Benutzern angezeigt.

    Die neuen Benutzer, die zur Seite „Benutzer und Gruppen“ hinzugefügt wurden

    An dieser Stelle können Sie das Microsoft Entra-Portal verlassen und Ihr Microsoft Active Directory-Anwendungsdashboard öffnen.

    Beispiel für das Dashboard der Microsoft Active Directory-Anwendung

Wenn Onshape beim Identitätsanbieter konfiguriert ist und Sie die Metadaten-Datei des Identitätsanbieters heruntergeladen haben (in Onshape als „Konfigurationsdatei“ bezeichnet), kann der SSO-Anbieter in Onshape konfiguriert werden.

Die Beispielbilder unten zeigen, wie ein Identitätsanbieter im Allgemeinen konfiguriert wird. Die Schritte sind für alle Identitätsanbieter gleich.

  1. Melden Sie sich in Ihrem Onshape-Enterprise-Konto mit Ihrem speziellen Domain-Namen als Administrator an. Wählen Sie Enterprise-Einstellungen in Ihrem Konto aus:

    Zu Menü „Mein Konto“ und auf die Schaltfläche „Enterprise-Einstellungen“ klicken

  2. Wählen Sie im linken Navigationsmenü Authentifizierung aus:

  3. Klicken Sie unter der Überschrift Einmaliges Anmelden (SSO) auf die Schaltfläche SSO-Anbieter konfigurieren:

    Auf „SSO-Anbieter konfigurieren“ unter den Einstellungen für die einmalige Anmeldung (SSO) klicken

  4. Das Dialogfenster SSO-Anbieter erstellen wird geöffnet:

    Dialogfenster „SSO-Anbieter erstellen“

    1. Geben Sie im Feld Name einen Namen ein, z. B. Benutzerdefinierter SSO.

    2. Wählen Sie in der Dropdown-Liste Anbietertyp Ihren SSO-Anbieter aus der Liste aus.

    3. Lassen Sie die Option SSO-Anbieter aktivieren aktiviert.

    4. Lassen Sie die Option Onshape-Passwort-Anmeldung deaktivieren vorerst deaktiviert.

      5. Wenn Sie die Onshape-Passwort-Anmeldung deaktivieren, wird die normale Onshape-Passwort-Anmeldung für Sie und Ihre Benutzer deaktiviert. Für die Onshape-URL wird nur die Anmeldeaufforderung des SSO-Anbieters angezeigt. Bevor Sie diese Option aktivieren, stellen Sie sicher, dass Sie sich selbst (als Administrator) bei Onshape anmelden können. Sie können später hierher zurückkehren und die Option aktivieren, sobald bestätigt wurde, dass Anmeldung über Ihren SSO-Anbieter funktioniert.

      Die Entscheidung, die Anmeldung bei Onshape über SSO durchzuführen, hat auch zur Folge, dass sich Benutzer nicht direkt bei Nicht-Enterprise-Domains wie cad.onshape.com anmelden können.

    5. Aktivieren Sie Objekt-ID (entityId) mit Company-Domain-Präfix verwenden, wenn Sie ein Multi-Tenant-Setup haben (ein SSO-Anbieter mit mehreren Enterprises).

      6. In der Regel wird ein SSO-Anbieter für ein Enterprise eingerichtet. Wenn Sie eine Multi-Tenant-Konfiguration (einen SSO-Anbieter mit mehreren Enterprises) mit SAML 2.0 einrichten, muss der Administrator com.onshape.saml2.sp.<Domain-Präfix> als Onshape-Element-ID verwenden und das Kästchen Element-ID (entityId) mit Company-Domain-Präfix verwenden aktivieren.

    6. Klicken Sie auf die Schaltfläche Konfigurationsdatei hochladen:

  5. Wählen Sie die zuvor heruntergeladene Metadaten-Konfigurationsdatei aus und klicken Sie auf Öffnen:

    Zuvor heruntergeladene XLM-Metadaten-Datei öffnen

  6. Klicken Sie auf OK:

    Erstellung des SSO-Anbieters durch Klicken auf OK abschließen

  7. Die Datei wird hochgeladen. Sie sehen eine Meldung, wenn der Vorgang abgeschlossen ist:

    Benachrichtigung, dass die SSO-Konfigurationsdatei hochgeladen wurde

  8. Melden Sie sich sowohl von Ihrem Onshape-Konto als auch von Ihrem Konto bei Ihrem SSO-Anbieter ab. Aktualisieren Sie beide Konto-Seiten. Wenn Sie die Onshape-Anmeldeseite erneut aufrufen, wird unten auf der Seite ein neuer Anmelden-Link für Ihren SSO-Anbieter angezeigt.

    Onshape-Anmelde-Bildschirm

Für die Anmeldung bei Onshape müssen Administratoren ihren Benutzern in ihrem SSO-Konto die Nutzung der Onshape-Anwendung ermöglichen.

Wenn Sie den folgenden Fehler sehen:

Mögliche Fehlermeldung bei der Anmeldung

Schließen Sie alle Registerkarten, melden Sie sich vollständig ab, und melden Sie sich wieder bei Microsoft an.

Melden Sie sich erneut bei Onshape an.

Beachten Sie, dass die Schaltfläche „Verbindung testen“ in der AD-Administratorpalette nicht funktioniert.