Avant de lancer le processus d'intégration, vous devez avoir demandé et approuvé un compte Onshape Entreprise ou une version d'essai, ainsi qu'un nom de domaine Onshape Entreprise.

Un exemple de nom de domaine d'entreprise peut être : MonEntreprise.onShape.com.

Notez que vous ne pouvez utiliser qu'un seul fournisseur SSO (authentification unique) à la fois.

Ce processus de configuration risque d'échouer si vous ne disposez pas de valeurs de paramètres personnalisées pour votre organisation. Utilisez votre tableau de bord d'authentification unique Microsoft ADFS pour ajouter Onshape en tant qu'application et enregistrer les valeurs spécifiques à votre organisation. Vous avez besoin de ces valeurs pour la procédure suivante.

Onshape signe toutes les demandes de certification SAML sortantes. Vous n'êtes pas obligé de télécharger des certificats (par exemple, un certificat de signature SAML), sauf dans le cas d'une intégration ADFS, car ADFS valide les demandes SAML entrantes. Notez que Microsoft recommande de migrer de la dernière version d'ADFS vers Microsoft Entra ID. Consultez la Vue d'ensemble d'ADFS pour plus d'informations.

Créer une « approbation de partie de confiance » dans l'application de gestion ADFS

  1. Dans votre portail ADFS, accédez à « Approbations de parties de confiance », puis « Ajouter une approbation de partie de confiance... »
  2. Sélectionnez « Prise en charge des revendications ».
  3. Sélectionnez « Saisir manuellement les données sur la partie de confiance ».
  4. Sélectionnez « Activer la prise en charge du protocole WebSSO SAML 2.0 ».
  5. Définissez « URL du service SSO SAML 2.0 de la partie de confiance » sur https://cad.onshape.com/identity/saml2/sso
  6. Définissez « Identificateur d'approbation de partie de confiance » sur com.onshape.saml2.sp

Définir le certificat SP et l'algorithme de hachage

  1. Double-cliquez sur la confiance RP créée à l'aide des instructions ci-dessus.
  2. Dans l'onglet « Signature », ajoutez le certificat approprié.
  3. Dans l'onglet « Avancé », définissez l'algorithme de hachage sur SHA-1.

Configurer les revendications

  1. Cliquez avec le bouton droit de la souris sur RP Trust et sélectionnez « Modifier la politique d'émission des revendications ».
  2. Ajoutez les trois règles ci-dessous (en utilisant le préfixe DNS de l'entreprise dans la règle #3)
    1. Modèle de règle #1 : « Envoyer des attributs LDAP en tant que revendications »
    2. Modèle de règle #2 : « Passer ou filtrer une réclamation entrante »
    3. Modèle Règle #3 : « Envoyer des revendications à l'aide d'une règle personnalisée »

Boîte de dialogue Configurer les revendications

Boîte de dialogue Modifier la règle

Exemple de la boîte de dialogue Modifier la règle - ID de nom alternative

Exemple de la boîte de dialogue Modifier la règle - Nom de la société

Téléchargez le fichier de métadonnées ADFS à partir de :
https://<server>/federationmetadata/2007-06/federationmetadata.xml
et téléchargez-le sur Onshape.
Assurez-vous de remplacer < server> par le nom d'hôte de votre serveur ADFS.
Assurez-vous de remplacer « Préfixe DNS Onshape ici » comme indiqué ci-dessus par votre valeur CompanyName. Par exemple, si votre domaine Onshape est Acme.onShape.com, utilisez « acme » comme valeur de ce champ.

Charger le fichier de configuration dans Onshape

Après avoir téléchargé le fichier de configuration/métadonnées :

  1. Connectez-vous à votre compte Onshape Entreprise, en utilisant votre nom de domaine spécialisé, en tant qu'administrateur.
  2. Sélectionnez paramètres Company/Enterprise dans le menu Utilisateur.
  3. Sélectionnez Authentification dans le menu de gauche.
  4. Dans la section Authentification unique (SSO) :
    1. Cliquez sur Télécharger le fichier de configuration.
    2. Sélectionnez le fichier de métadonnées que vous avez précédemment téléchargé et cliquez sur Ouvrir.
    3. Dans la boîte de dialogue, entrez un nom pour le fournisseur SSO et cochez la case Activer fournisseur SSO.
    1. Cliquez sur OK.

    Vous pouvez désactiver la connexion par mot de passe OnShape classique pour vos utilisateurs et afficher uniquement l'invite de connexion du fournisseur à authentification unique (SSO) pour l'URL OnShape. Cependant, n'effectuez pas cette étape pour le moment. Assurez-vous de pouvoir vous connecter à Onshape vous-même (en tant qu'administrateur) avant de désactiver cette option de connexion supplémentaire. Vous pouvez revenir ici plus tard, une fois que la connexion via votre fournisseur de SSO a été vérifiée et fonctionne correctement.

    En choisissant d'imposer la connexion à Onshape via l'authentification unique, les utilisateurs ne peuvent pas non plus se connecter directement à des domaines hors entreprise, tels que cad.onshape.com.

  5. Déconnectez-vous du compte Onshape.
  6. Réactualisez la page du compte Onshape. Notez que la page comporte un nouveau lien Connexion en bas pour votre fournisseur d'authentification unique.

Pour pouvoir se connecter à Onshape, les administrateurs doivent permettre à leurs utilisateurs (dans leur compte à authentification unique) d'utiliser l'application Onshape.