Vor Beginn des Integrationsprozesses muss Ihnen ein Onshape-Enterprise-Konto oder ein Testzugang erteilt worden sein. Auch müssen Sie über einen Onshape-Enterprise-Domain-Namen verfügen.

Ein Beispiel für einen Enterprise-Domain-Namen könnte sein: MeinCompanyName.onshape.com.

Beachten Sie, dass Sie jeweils nur einen SSO-Anbieter nutzen können.

Dieser Konfigurationsprozess kann fehlschlagen, wenn die Parameterwerte nicht für Ihr Unternehmen angepasst wurden. Verwenden Sie das Dashboard Ihres benutzerdefinierten SSO-Identitätsanbieters (z. B. Okta, PingOne oder ClassLink) zur einmaligen Anmeldung, um Onshape als Anwendung hinzuzufügen und die für Ihr Unternehmen spezifischen Werte aufzuzeichnen. Diese Werte benötigen Sie für die folgende Vorgehensweise.

Onshape signiert alle ausgehenden SAML-Zertifizierungsanfragen. Sie müssen keine Zertifikate hochladen (z. B. ein SAML-Signaturzertifikat), außer im Fall einer ADFS-Integration, da ADFS eingehende SAML-Anforderungen validiert. Beachten Sie, dass Microsoft auch die Migration von der neuesten Version von ADFS auf Microsoft Entra ID empfiehlt. Weitere Informationen finden Sie unter ADFS-Übersicht.

Google SSO cannot be used with Government Enterprise subscriptions. Integrate with a custom identity provider via SAML 2.0 instead.

Schritte

  1. Navigieren Sie zu Ihrem Konto-Einstellungen-Menü und wählen Sie „Enterprise-Einstellungen“ aus.

  2. Wählen Sie „Authentifizierung“ in der linken Palette aus.

  3. Wenn die Authentifizierungsseite geöffnet wird, wählen Sie „SSO-Anbieter konfigurieren“ unter der Überschrift „Einmaliges Anmelden (SSO)“ aus. Das folgende Dialogfenster wird geöffnet:

    Dialogfenster „SSO-Anbieter erstellen“

  4. Geben Sie der Konfiguration einen Namen, zum Beispiel „Google SSO“.

  5. Wählen Sie einen Anbietertyp von Google aus.

  6. Wenn Sie Benutzer über einen bestimmten Domainnamen bereitstellen möchten (z. B. @companyname.com oder @schoolname.edu), geben Sie diese Domain ohne das @-Symbol in das Feld Domain-Whitelist ein. (Beachten Sie, dass Benutzer dabei, je nach Einstellung für die automatische Bereitstellung von Enterprise SSO, automatisch als Vollnutzer oder Light User eingerichtet werden. Siehe Enterprise-Einstellungen – Voreinstellungen im Abschnitt zum Dropdown-Menü für den Single Sign-On (SSO) zur automatischen Benutzerbereitstellung.)

    Dialogfenster „SSO-Anbieter erstellen“, das die Bereitstellung von Benutzern über einen bestimmten Domänennamen anzeigt

    Die Verwendung einer Domain-Whitelist bedeutet, dass jeder Benutzer mit einer gültigen E-Mail-Adresse in dieser Domain Zugriff auf das Onshape Enterprise-Konto als Gesamtbenutzer erhält. Bei der Bereitstellung über eine generische Domain, wie z. B. @gmail.com, sollten Sie daher große Vorsicht walten lassen.

    Wenn Sie nicht allen Benutzern innerhalb einer bestimmten Domain Zugriff gewähren möchten, können Sie dieses Feld leer lassen und später Benutzer als Mitglied des Enterprise über eine vom Administrator gesendete E-Mail hinzufügen. Denken Sie daran, dass die E-Mail mit der Google SSO-E-Mail des Benutzers übereinstimmen muss. Wenn der Benutzer bereits über ein Google-Konto verfügt, kann er sich sofort nach Erhalt der E-Mail anmelden. Wenn der Benutzer kein Konto oder ein ausstehendes Konto hat, aktiviert Onshape sein Enterprise-Konto und fügt die Onshape-Vornamen/Nachnamen des Benutzes in das Google-Profil ein.

  7. Markieren Sie das Kästchen, um einen SSO-Anbieter zu aktivieren.

  8. Wenn Sie erzwingen möchten, dass sich alle Benutzer nur über den SSO-Anbieter bei Onshape anmelden, aktivieren Sie das Kästchen neben „Onshape-Passwort-Anmeldung deaktivieren“. Wenn Sie die Anmeldung mit dem Onshape-Passwort deaktivieren, sehen die Benutzer nur die Anmeldung für Google und nicht für Onshape.

    Ihr Passwort für Onshape wird nicht gültig sein.

    Der Administrator ist auch gezwungen, sich über die Google-SSO bei Onshape anzumelden. Als Failsafe wird dringend empfohlen, dass Administratoren die Passwort-Anmelde-URL kopieren und an einem sicheren Ort speichern, sollten sie einmal sich direkt über Onshape anmelden müssen:
    Passwort-Anmeldung über URL für Administratoren – Beispiel

    Die Entscheidung, die Anmeldung bei Onshape über SSO durchzuführen, hat auch zur Folge, dass sich Benutzer nicht direkt bei Nicht-Enterprise-Domains wie cad.onshape.com anmelden können.