Vor Beginn des Integrationsprozesses muss Ihnen ein Onshape-Enterprise-Konto oder ein Testzugang erteilt worden sein. Auch müssen Sie über einen Onshape-Enterprise-Domain-Namen verfügen.

Ein Beispiel für einen Enterprise-Domain-Namen könnte sein: MeinCompanyName.onshape.com.

Beachten Sie, dass Sie jeweils nur einen SSO-Anbieter nutzen können.

Dieser Konfigurationsprozess kann fehlschlagen, wenn die Parameterwerte nicht für Ihr Unternehmen angepasst wurden. Verwenden Sie das Dashboard Ihres benutzerdefinierten SSO-Identitätsanbieters (z. B. Okta, PingOne oder ClassLink) zur einmaligen Anmeldung, um Onshape als Anwendung hinzuzufügen und die für Ihr Unternehmen spezifischen Werte aufzuzeichnen. Diese Werte benötigen Sie für die folgende Vorgehensweise.

Onshape signiert alle ausgehenden SAML-Zertifizierungsanfragen. Sie müssen keine Zertifikate hochladen (z. B. ein SAML-Signaturzertifikat), außer im Fall einer ADFS-Integration, da ADFS eingehende SAML-Anforderungen validiert. Beachten Sie, dass Microsoft auch die Migration von der neuesten Version von ADFS auf Microsoft Entra ID empfiehlt. Weitere Informationen finden Sie unter ADFS-Übersicht.

Onshape zu Ihrem benutzerdefinierten SSO-Konto hinzufügen

Jeder Identitätsanbieter (IdP) hat für die Einrichtung des Dienstes sein eigenes proprietäres Verfahren. Die genaue Vorgehensweise entnehmen Sie bitte den Einrichtungsanweisungen Ihres Identitätsanbieters für die einmalige Anmeldung. In diesem Abschnitt werden nur generelle Anleitungen gegeben.

Onshape unterstützt nur die SAML-HTTP-POST-Bindung.
Onshape verfügt nicht über die Möglichkeit, die SAML-Konfiguration als XML-Metadaten-Datei auszudrücken.

Erstellen Sie in Ihrer Identitätsanbieter-Konsole eine neue Vertrauensbeziehung (manchmal auch als „vertrauende Partei“ bezeichnet) mit der folgenden Konfiguration:

  1. Asssertion consumer service (ACS) URL: https://cad.onshape.com/identity/saml2/sso. If integrating with a Government Enterprise, use https://cad.usgov.onshape.com/identity/saml2/sso instead.

  2. Element-ID: com.onshape.saml2.sp.

  3. NameId-Wert des Assertionssubjekts. Dies ist die E-Mail-Adresse des Benutzers, dem die SAML-Assertion entspricht.

  4. Die drei SAML-Assertion-Attribute, die von Onshape benötigt werden (manchmal als „Claims“ bezeichnet):

    • Vorname: der Vorname des Assertions-Subjekts

    • Nachname: der Nachname des Assertions-Subjekts

    • Company-Name: die Company des Assertions-Subjekts. In den meisten Fällen ist der Company-Name identisch mit dem Domain-Präfix Ihres Enterprise. Wenn der Name Ihres Onshape Enterprise beispielsweise novum.onshape.com lautet, geben Sie in dieses Feld Novum ein.

  5. Suchen Sie die SAML-IdP-Metadaten-XML-Datei und kopieren Sie sie in die Zwischenablage. Sie benötigen diese später im Prozess.

  6. Stellen Sie die neue Vertrauensbeziehung allen Benutzern zur Verfügung, denen Sie Onshape SSO-Zugriff gewähren möchten.

SSO-Anbieter in Onshape konfigurieren

Wenn Onshape beim Identitätsanbieter konfiguriert ist und Sie die Metadaten-Datei des Identitätsanbieters heruntergeladen haben (in Onshape als „Konfigurationsdatei“ bezeichnet), kann der SSO-Anbieter in Onshape konfiguriert werden.

Die Beispielbilder unten zeigen, wie ein Identitätsanbieter im Allgemeinen konfiguriert wird. Die Schritte sind für alle Identitätsanbieter gleich.

  1. Melden Sie sich in Ihrem Onshape-Enterprise-Konto mit Ihrem speziellen Domain-Namen als Administrator an. Wählen Sie Enterprise-Einstellungen in Ihrem Konto aus:

    Zu Menü „Mein Konto“ und auf die Schaltfläche „Enterprise-Einstellungen“ klicken

  2. Wählen Sie Authentifizierung im linken Navigationsmenü aus:

    Authentifizierung im linken Navigationsmenü auswählen

  3. Klicken Sie unter der Überschrift Einmaliges Anmelden (SSO) auf die Schaltfläche SSO-Anbieter konfigurieren:

    Auf „SSO-Anbieter konfigurieren“ unter den Einstellungen für die einmalige Anmeldung (SSO) klicken

  4. Das Dialogfenster SSO-Anbieter erstellen wird geöffnet:

    Dialogfenster „SSO-Anbieter erstellen“

    1. Geben Sie im Feld Name einen Namen ein, z. B. Benutzerdefinierter SSO.

    2. Wählen Sie in der Dropdown-Liste Anbietertyp Ihren SSO-Anbieter aus der Liste aus.

    3. Lassen Sie die Option SSO-Anbieter aktivieren aktiviert.

    4. Lassen Sie die Option Onshape-Passwort-Anmeldung deaktivieren vorerst deaktiviert.

      Wenn Sie die Onshape-Passwort-Anmeldung deaktivieren, wird die normale Onshape-Passwort-Anmeldung für Sie und Ihre Benutzer deaktiviert. Für die Onshape-URL wird nur die Anmeldeaufforderung des SSO-Anbieters angezeigt. Bevor Sie diese Option aktivieren, stellen Sie sicher, dass Sie sich selbst (als Administrator) bei Onshape anmelden können. Sie können später hierher zurückkehren und die Option aktivieren, sobald bestätigt wurde, dass Anmeldung über Ihren SSO-Anbieter funktioniert.

      Die Entscheidung, die Anmeldung bei Onshape über SSO durchzuführen, hat auch zur Folge, dass sich Benutzer nicht direkt bei Nicht-Enterprise-Domains wie cad.onshape.com anmelden können.

    5. Klicken Sie auf die Schaltfläche Konfigurationsdatei hochladen:

  5. Wählen Sie die zuvor heruntergeladene Metadaten-Konfigurationsdatei aus und klicken Sie auf Öffnen:

    Zuvor heruntergeladene XLM-Metadaten-Datei öffnen

  6. Klicken Sie auf OK:

    Erstellung des SSO-Anbieters durch Klicken auf OK abschließen

  7. Die Datei wird hochgeladen. Sie sehen eine Meldung, wenn der Vorgang abgeschlossen ist:

    Benachrichtigung, dass die SSO-Konfigurationsdatei hochgeladen wurde

  8. Melden Sie sich sowohl von Ihrem Onshape-Konto als auch von Ihrem Konto bei Ihrem SSO-Anbieter ab. Aktualisieren Sie beide Konto-Seiten. Wenn Sie die Onshape-Anmeldeseite erneut aufrufen, wird unten auf der Seite ein neuer Anmelden-Link für Ihren SSO-Anbieter angezeigt.

    Onshape-Anmelde-Bildschirm

Für die Anmeldung bei Onshape müssen Administratoren ihren Benutzern in ihrem SSO-Konto die Nutzung der Onshape-Anwendung ermöglichen.