Antes de iniciar el proceso de integración, debe haber solicitado y aprobado una cuenta o prueba de Onshape Enterprise y tener un nombre de dominio de Onshape Enterprise.

Un ejemplo de un nombre de dominio de Enterprise podría ser: ElNombreDeMiCompañía.onshape.com.

Tenga en cuenta que solo puede utilizar un proveedor de SSO a la vez.

Este proceso de configuración puede fallar sin valores de parámetros personalizados para su organización. Use el panel de control de su proveedor de identidad de SSO personalizado (por ejemplo: Okta, PingOne o ClassLink) para agregar Onshape como una aplicación y registrar los valores que sean específicos de su organización. Necesitará esos valores para el siguiente procedimiento.

Onshape firma todas las solicitudes de certificación de SAML salientes. No es necesario cargar ningún certificado (por ejemplo, un certificado de firma de SAML), excepto en el caso de la integración en ADFS, ya que ADFS valida las solicitudes SAML entrantes. Tenga en cuenta que Microsoft también recomienda migrar de la versión más reciente de ADFS a Microsoft Entra ID. Consulte Descripción general de ADFS para obtener más información.

Por lo general, se configura un proveedor de SSO para una Enterprise. Si establece una configuración multiusuario (un proveedor de SSO con varias Enterprises) mediante SAML 2.0, el administrador debe usar com.onshape.saml2.sp.<prefijo del dominio> como ID de la entidad de Onshape y marcar la casilla Usar ID de entidad con el prefijo de dominio de la compañía. Consulte la sección «Configuración del proveedor de SSO en Onshape» que aparece más adelante.

Configuración de inicio de sesión único (SSO) de OneLogin para Onshape

Inicie sesión en el panel de administración de OneLogin para configurar un nuevo conector de aplicación en Onshape. Visite <yourdomain>.onelogin.com/admin.

Cómo añadir una aplicación nueva

1. Seleccione Aplicaciones en la barra de navegación superior.
2. Seleccione Aplicaciones.

3. Haga clic en Añadir aplicación en la esquina superior derecha.
4. Busque SAML.

5. Seleccione Conector de prueba SAML (avanzado).

6. Establezca el nombre para mostrar como «Onshape» y utilice los iconos aplicables.
7. Haga clic en Guardar.

Configuración

Una vez guardada la aplicación, hay más opciones que estarán disponibles para su modificación. En esta sección, se configurarán los detalles importantes de la aplicación para la integración. Los detalles sobre cada sección se pueden encontrar en la página Configuración del conector de prueba.

1. RelayState: dejar en blanco
2. Público (EntityId): com.onshape.saml2.sp
3. Destinatario: https://cad.onshape.com/identity/saml2/sso
4. Validador de URL ACS (consumidor)*: https://cad.onshape.com/identity/saml2/sso$
5. URL ACS (consumidor) *: https://cad.onshape.com/identity/saml2/sso
6. URL de cierre de sesión único: https://<custom_onshape_domain>.onshape.com
7. URL de inicio de sesión: https://<custom_onshape_domain>.onshape.com
8. SAML no es válido antes: 3 (valor predeterminado)
9. SAML no es válido en o después de: 3 (valor predeterminado)
10. Iniciador SAML: OneLogin (esto es si desea que la página del portal inicie sesión directamente)
11. Formato de ID de nombre SAML: correo electrónico
12. Tipo de emisor SAML: específico
13. Elemento de firma SAML: Afirmación
14. Cifrar afirmación: (sin marcar)
15. Método de cifrado SAML: TRIPLEDES-CBC (predeterminado)
16. Firmar respuesta de SLO: (sin marcar)
17. SessionNotOnorAfter de SAML: 1440 (predeterminado)
18. Generar etiqueta de valor de atributo para valores vacíos: (Marcado)
19. Firmar solicitud de SLO: (sin marcar)

Parámetros

Esto debe configurarse para pasar la información adecuada a Onshape durante el protocolo de enlace de inicio de sesión SSO. Estos valores son los siguientes:

1. Valor NameID: Correo electrónico (valor predeterminado)

2. CompanyName: tipo de macro (escriba el nombre de dominio personalizado en el campo), por ejemplo, en un dominio que es «company.onshape.com» introduzca solo «company» en este campo

3. FirstName: Asignar a Nombre e incluir en la aserción SAML
4. Apellido: Asignar al apellido e incluir en la aserción SAML

SSO

Aquí, tendrá que establecer solo la opción de algoritmo de firma SAML.

Descarga de los metadatos SAML

Ahora que OneLogin está configurado y guardado, en la esquina superior derecha, desactive el menú Más acciones y seleccione Metadatos SAML, que descarga un archivo XML en su máquina local. Este archivo se utilizará en la configuración de OneLogin, en la configuración de autenticación de Empresa de Onshape.

Configuración del proveedor de SSO en Onshape

Una vez que Onshape esté configurado en el proveedor de identidad y haya descargado el archivo de metadatos del proveedor de identidad (denominado en Onshape “archivo de configuración”), el proveedor de SSO se puede configurar en Onshape.

En las imágenes de ejemplo que aparecen a continuación, se muestra la configuración de un proveedor de identidad genérico, pero los pasos son los mismos para todos los proveedores de identidad.

1. Inicie sesión en su cuenta de Enterprise de Onshape con su nombre de dominio especializado, como administrador. Seleccione Configuración de Enterprise en su cuenta:

   

2. Seleccione Autenticación en el menú de navegación de la izquierda.

3. En la subsección Inicio de sesión único (SSO), haga clic en el botón Configurar proveedor de SSO:

   

4. Se abrirá el cuadro de diálogo Crear proveedor de SSO:

   

   1. En el campo Nombre, escriba un nombre, como SSO personalizado

   2. En el menú desplegable Tipo de proveedor, seleccione su proveedor de SSO de la lista.

   3. Deja activada la opción Habilitar proveedor de SSO.

   4. Por el momento, deje sin marcar la casilla Inhabilitar el inicio de sesión con contraseña de Onshape.

   Inhabilitar el inicio de sesión con contraseña de Onshape desactiva el inicio de sesión frecuente con contraseña de Onshape para usted y sus usuarios. Solo se muestra el mensaje de inicio de sesión del proveedor de SSO para la URL de Onshape. Antes de activar esta opción, asegúrese de que pueda iniciar sesión en Onshape usted mismo (como administrador). Podrá regresar aquí más tarde y habilitarlo una vez que se verifique que el inicio de sesión a través de su proveedor de SSO funciona correctamente.

   Si elige aplicar el inicio de sesión en Onshape a través de SSO, los usuarios no podrán iniciar sesión directamente en dominios que no pertenezcan a directamente a la empresa, como cad.onshape.com.

   5. Marque la opción Usar ID de la entidad con el prefijo de dominio de la empresa si tiene una configuración multiusuario (un proveedor de SSO con varias Enterprises).

   Por lo general, se configura un proveedor de SSO para una Enterprise. Si establece una configuración multiusuario (un proveedor de SSO con varias Enterprises) mediante SAML 2.0, el administrador debe usar com.onshape.saml2.sp.<prefijo del dominio> como ID de la entidad de Onshape y marcar la casilla Usar ID de entidad con el prefijo de dominio de la compañía.

   6. Haga clic en el botón Cargar archivo de configuración:

5. Busque y seleccione el archivo de configuración de metadatos que ha descargado anteriormente y haga clic en Abrir:

   

6. Haga clic en Aceptar:

   

7. Se subirá el archivo. Aparecerá una notificación cuando se complete la carga:

   

8. Cerrar sesión tanto en sus cuentas de Onshape como del proveedor de SSO. Asegúrese de hacer una actualización profunda de ambas cuentas. Cuando vuelva a la página de inicio de sesión de Onshape, la página muestra un nuevo enlace Iniciar sesión en la parte inferior, para su proveedor de SSO.

   

Para iniciar sesión en Onshape, los administradores deben aprovisionar a sus usuarios (en su cuenta de inicio de sesión único) para utilizar la aplicación de Onshape.

---