Avant de lancer le processus d'intégration, vous devez avoir demandé et approuvé un compte Onshape Entreprise ou une version d'essai, ainsi qu'un nom de domaine Onshape Entreprise.

Un exemple de nom de domaine d'entreprise peut être : MonEntreprise.onShape.com.

Notez que vous ne pouvez utiliser qu'un seul fournisseur d'authentification unique à la fois.

Ce processus de configuration risque d'échouer si les valeurs de paramètres ne sont pas personnalisées pour votre organisation. Utilisez le tableau de bord de votre fournisseur d'identité SSO personnalisé (par exemple : Okta, PingOne ou ClassLink) pour ajouter Onshape en tant qu'application et enregistrer les valeurs spécifiques à votre organisation. Vous avez besoin de ces valeurs pour la procédure suivante.

Onshape signe toutes les demandes de certification SAML sortantes. Vous n'êtes pas obligé de télécharger des certificats (par exemple, un certificat de signature SAML), sauf dans le cas d'une intégration ADFS, car ADFS valide les demandes SAML entrantes. Notez que Microsoft recommande de migrer de la dernière version d'ADFS vers Microsoft Entra ID. Consultez la Vue d'ensemble d'ADFS pour plus d'informations.

Ajoutez Onshape à votre compte d'authentification unique Entra ID (précédemment Azure AD)

Pour activer l'authentification unique pour votre entreprise, vous devez d'abord ajouter l'application Onshape à votre compte Entra ID (précédemment Azure AD) à authentification unique :

  1. Connectez-vous au portail Microsoft Entra ID (précédemment Azure AD). Vous êtes redirigé(e) vers la page d'accueil.

    Connexion au portail Microsoft Azure

  2. Dans la barre de recherche, saisissez Applications Enterprise et sélectionnez Applications Enterprise.

    Sélection des applications Enterprise dans la barre de recherche

  3. En haut de la page Toutes les applications, cliquez sur Nouvelle application.

    Exemple de sélection d'une nouvelle application dans la page Applications d'entreprise

  4. Sur la page Parcourir la galerie Microsoft Entra, recherchez Onshape dans le champ de l'application Rechercher. Cliquez ensuite sur le bouton Onshape.

    Exemple de recherche d’Onshape sur la page Parcourir la galerie Entra

  5. Le volet Application Onshape s'ouvre sur la droite. Cliquez sur le bouton Créer en bas du volet.

    Sélection et ouverture de l'application Onshape

    Microsoft Entra crée la nouvelle application pour vous. Sachez que cette configuration peut prendre quelques secondes.

  6. Une fois l'application créée, cliquez sur le bouton 2. Configurer un panneau unique.

    Sélection de l'option Configurer l'authentification unique

  7. Étant donné qu'Onshape ne prend en charge que l'authentification SAML, cliquez sur la case SAML.

    Cliquer sur l'option SAML sur la page d'authentification unique

    Si le paramètre Enregistrer l'authentification unique s'ouvre, cliquez sur Oui.

    Cliquer sur Oui pour enregistrer le paramètre d'authentification unique

    La page d'authentification basée sur SAML s'ouvre.

Configuration SAML

  1. Dans la sous-section Attributs utilisateur et Revendications, cliquez sur Modifier dans le coin supérieur droit du cadre.

    Cliquer pour modifier les attributs et revendications de l'utilisateur sur la page de connexion basée sur SAML

  2. Dans la page Attributs utilisateur et Revendications qui s'ouvre, double-cliquez sur la revendicationCompanyName.

    Sélection de la revendication CompanyName sur la page Attributs et revendications de l'utilisateur

  3. Entrez votre préfixe de nom de domaine dans le champ Attribut source. Par exemple, si votre nom d'entreprise Onshape est FishBowl.onShape.com, entrez Fishbowl dans le champ. Une fois entré, vous devez également cliquer sur l'entrée située sous le champ (comme indiqué par le curseur dans l'image ci-dessous).

    Exemple de gestion d'une revendication

  4. Cliquez sur Enregistrer.

    Exemple d'enregistrement de la revendication à partir de la page Gérer la revendication

  5. Cliquez sur X dans le coin supérieur droit pour fermer la page.

    Fermeture de la page Attributs et revendications de l'utilisateur

  6. Si vous êtes invité à tester l'authentification unique, sélectionnez Non, je testerai plus tard.

    Cliquer sur le bouton Non, je testerai plus tard sur la page de connexion basée sur SAML

  7. La page de connexion basée sur SAML est affichée à nouveau. Votre page doit ressembler à l'image ci-dessous.

    Exemple montrant les demandes de revendication complétées

  8. Faites défiler la page jusqu'à la sous-section 3 Certificat de signature SAML. Au bas de cette sous-section, cliquez sur le lien télécharger « Fédération métadonnées XML ». Ce fichier XML est utilisé ultérieurement dans le processus de configuration de l'authentification unique.

    Téléchargement du fichier XML des métadonnées de la fédération

  9. Un message apparaît en haut à droite lors du téléchargement réussi de ce fichier. Cliquez sur X pour ignorer le message.

    Fermeture de l'avis de téléchargement terminé

Configuration des utilisateurs et des groupes

  1. Dans le volet de navigation de gauche, sélectionnez Utilisateurs et groupes.

    Sélection d'utilisateurs et de groupes dans la barre de navigation sur la gauche de la page de connexion basée sur SAML

  2. La page Utilisateurs et groupes apparaît. Cliquez sur Ajouter un utilisateur/groupe.

    Cliquer sur le bouton Ajouter un utilisateur/groupe sur la page Utilisateurs et groupes

  3. La page Ajouter une mission s'ouvre. Sur la gauche, cliquez sur Utilisateurs - Aucun sélectionné.

    Le volet Utilisateurs s'ouvre sur la droite. Recherchez, puis sélectionnez les utilisateurs que vous souhaitez inviter. Chaque utilisateur est déplacé dans la sous-section de panneau Éléments sélectionnés ci-dessous. Une fois que tous les membres sélectionnés sont répertoriés dans ce volet, cliquez sur le bouton Sélectionner.

    Affectation d'utilisateurs au groupe d'utilisateurs/à l'équipe

  4. Cliquez sur Attribuer.

    Cliquer sur le bouton Attribuer sur la page Ajouter une mission

  5. La page Utilisateurs et groupes apparaît avec les nouveaux utilisateurs.

    Les nouveaux utilisateurs ajoutés à la page Utilisateurs et groupes

    À ce stade, vous pouvez quitter le portail Microsoft Entra et ouvrir le tableau de bord de votre application Microsoft Active Directory.

    Exemple du tableau de bord de l'application Microsoft Active Directory

Configurer le fournisseur SSO dans Onshape

Une fois qu'Onshape est configuré dans le fournisseur d'identité et que vous avez téléchargé le fichier de métadonnées du fournisseur d'identité (appelé fichier de configuration dans Onshape), le fournisseur SSO peut être configuré dans Onshape.

Les images d'exemple ci-dessous montrent la configuration d'un fournisseur d'identité générique, mais les étapes sont les mêmes pour tous les fournisseurs d'identité.

  1. Connectez-vous à votre compte d'entreprise Onshape, en utilisant votre nom de domaine spécialisé, en tant qu'administrateur. Sélectionnez Paramètres d'entreprise dans votre compte :

    Accéder au menu Mon compte et cliquer sur le bouton Paramètres de l'entreprise

  2. Sélectionnez Authentification dans le menu de navigation de gauche 

    Sélection de l'authentification dans le menu de navigation de gauche

  3. Dans la sous-section Authentification unique (SSO), cliquez sur le bouton Configurer un fournisseur SSO :

    Cliquer sur Configurer le fournisseur SSO sous les paramètres d'authentification unique (SSO)

  4. La boîte de dialogue Créer un fournisseur SSO s'ouvre :

    Boîte de dialogue Créer un fournisseur SSO

    1. Dans le champ Nom, entrez un nom, tel que SSO personnalisé

    2. Dans la liste déroulante Type de fournisseur, sélectionnez votre fournisseur SSO.

    3. Laissez la case Activer le fournisseur SSO cochée.

    4. Laissez la case Désactiver la connexion par mot de passe Onshape décochée pour le moment.

      Désactiver la connexion par mot de passe Onshape désactive la connexion par mot de passe Onshape classique pour vous et vos utilisateurs. Seule l'invite de connexion du fournisseur SSO s'affiche pour l'URL Onshape. Avant de cocher cette option, assurez-vous de pouvoir vous connecter vous-même à Onshape (en tant qu'administrateur). Vous pourrez revenir ici plus tard et l'activer une fois que la connexion via votre fournisseur SSO aura été vérifiée et fonctionnera correctement.

      En choisissant d'imposer la connexion à Onshape via l'authentification unique, les utilisateurs ne peuvent pas non plus se connecter directement à des domaines hors entreprise, tels que cad.onshape.com.

    5. Cliquez sur le bouton Charger le fichier de configuration : 

  5. Recherchez et sélectionnez le fichier de configuration des métadonnées que vous avez téléchargé précédemment, puis cliquez sur Ouvrir :

    Ouverture du fichier de métadonnées XLM précédemment téléchargé

  6. Cliquez sur OK :

    Finalisation de la création du fournisseur SSO en cliquant sur OK

  7. Le fichier est téléchargé. Une notification s'affiche lorsque le téléchargement est terminé :

    Notification indiquant que le fichier de configuration SSO a été correctement chargé

  8. Déconnectez-vous de votre compte Onshape et de votre compte de fournisseur SSO. Assurez-vous de rafraîchir les deux comptes. Lorsque vous accédez de nouveau à la page d'ouverture de session Onshape, celle-ci comporte un nouveau lien Se connecter en bas, pour votre fournisseur SSO.

    Écran de connexion Onshape

Pour pouvoir se connecter à Onshape, les administrateurs doivent permettre à leurs utilisateurs (dans leur compte à authentification unique) d'utiliser l'application Onshape.

Dépannage

Si l'erreur suivante s'affiche :

Message d'erreur possible lors de la connexion

Fermez tous les onglets, déconnectez-vous complètement et connectez-vous à nouveau à Microsoft.

Connectez-vous à nouveau à Onshape.

Sachez que le bouton « Test de connexion » du panneau d'administration AD ne fonctionne pas.