Antes de iniciar el proceso de integración, debe haber solicitado y aprobado una cuenta o prueba de Onshape Enterprise y tener un nombre de dominio de Onshape Enterprise.

Un ejemplo de un nombre de dominio de Enterprise podría ser: ElNombreDeMiCompañía.onshape.com.

Tenga en cuenta que solo puede utilizar un proveedor de SSO a la vez.

Este proceso de configuración puede fallar sin valores de parámetros personalizados para su organización. Use el panel de control de su proveedor de identidad de SSO personalizado (por ejemplo: Okta, PingOne o ClassLink) para agregar Onshape como una aplicación y registrar los valores que sean específicos de su organización. Necesitará esos valores para el siguiente procedimiento.

Onshape firma todas las solicitudes de certificación de SAML salientes. No es necesario cargar ningún certificado (por ejemplo, un certificado de firma de SAML), excepto en el caso de la integración en ADFS, ya que ADFS valida las solicitudes SAML entrantes. Tenga en cuenta que Microsoft también recomienda migrar de la versión más reciente de ADFS a Microsoft Entra ID. Consulte Descripción general de ADFS para obtener más información.

Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp.<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box. See the "Configuring the SSO provider in Onshape" section below.

La SSO de Google no se puede usar con las suscripciones de Enterprise gubernamentales. En su lugar, inicie sesión con un proveedor de identidad personalizado mediante SAML 2.0.

Pasos

  1. Vaya al menú Configuración de la cuenta y seleccione Configuración de empresa.

  2. Seleccione Autenticación en el panel izquierdo.

  3. Cuando se abra la página Autenticación, seleccione «Configurar proveedor de SSO» en el encabezado Inicio de sesión único (SSO). Se abrirá el siguiente cuadro de diálogo:

    Cuadro de diálogo Crear proveedor de SSO

  4. Asigne un nombre a la configuración; por ejemplo, «Google SSO».

  5. Seleccione un tipo de proveedor de Google.

  6. Si desea aprovisionar usuarios a través de un nombre de dominio específico (@companyname .com o @schoolname.edu, por ejemplo), escriba ese dominio en el campo de la lista blanca de dominios sin el símbolo @. (Tenga en cuenta que, al aprovisionar usuarios de esta forma, se asignan automáticamente como usuarios de pleno derecho o Usuarios ligeros, según la configuración de aprovisionamiento automático del SSO de Enterprise). Consulte Ajustes de Enterprise: preferencias y navegue hasta el menú desplegable Aprovisionamiento automático de usuarios con inicio de sesión único (SSO) para obtener más información.

    Cuadro de diálogo Crear proveedor de SSO, en el que se muestra el aprovisionamiento de usuarios a través de un nombre de dominio específico

    El uso de una lista blanca de dominio significa que cualquier persona con una dirección de correo electrónico válida en ese dominio tendrá acceso a la cuenta de Onshape Enterprise, como usuario completo. Tenga cuidado en el aprovisionamiento a través de un dominio genérico, como @gmail.com, por ejemplo.

    Si no desea otorgar la entrada a todos los usuarios de un dominio específico, puede dejar ese campo vacío y, a continuación, agregar usuarios más tarde como miembros de Enterprise, por medio de un correo electrónico enviado por el administrador. Tenga en cuenta que el correo electrónico tiene que coincidir con el correo electrónico SSO de Google del usuario. Si el usuario ya tiene una cuenta de Google, puede iniciar sesión inmediatamente después de recibir el correo electrónico. Si el usuario no tiene una cuenta o tiene una cuenta pendiente, Onshape activa su cuenta de Enterprise y establece su nombre o apellido de Onshape en los detalles que se encuentran en su perfil de Google.

  7. Marque la casilla Habilitar proveedor de SSO.

  8. Si quiere obligar a todos los usuarios a iniciar sesión en Onshape únicamente por medio del proveedor de SSO único, marque la casilla situada junto a “Inhabilitar el inicio de sesión con contraseña de Onshape”. Cuando inhabilite el inicio de sesión con contraseña de Onshape, los usuarios solo verán el inicio de sesión para Google, no para Onshape.

    Su contraseña para Onshape no será válida.

    El administrador también se verá obligado a iniciar sesión en Onshape a través del SSO de Google. Como medida de seguridad, se recomienda encarecidamente que los administradores copien la URL de inicio de sesión de la contraseña y la guarden en un lugar seguro, en caso de que necesiten iniciar sesión directamente a través de Onshape:
    Ejemplo que muestra la URL de inicio de sesión con contraseña para administradores

    Si elige aplicar el inicio de sesión en Onshape a través de SSO, los usuarios no podrán iniciar sesión directamente en dominios que no pertenezcan a directamente a la empresa, como cad.onshape.com.