Avant de lancer le processus d'intégration, vous devez avoir demandé et approuvé un compte Onshape Entreprise ou une version d'essai, ainsi qu'un nom de domaine Onshape Entreprise.

Un exemple de nom de domaine d'entreprise peut être : MonEntreprise.onShape.com.

Notez que vous ne pouvez utiliser qu'un seul fournisseur d'authentification unique à la fois.

Ce processus de configuration risque d'échouer si les valeurs de paramètres ne sont pas personnalisées pour votre organisation. Utilisez le tableau de bord de votre fournisseur d'identité SSO personnalisé (par exemple : Okta, PingOne ou ClassLink) pour ajouter Onshape en tant qu'application et enregistrer les valeurs spécifiques à votre organisation. Vous avez besoin de ces valeurs pour la procédure suivante.

Onshape signe toutes les demandes de certification SAML sortantes. Vous n'êtes pas obligé de télécharger des certificats (par exemple, un certificat de signature SAML), sauf dans le cas d'une intégration ADFS, car ADFS valide les demandes SAML entrantes. Notez que Microsoft recommande de migrer de la dernière version d'ADFS vers Microsoft Entra ID. Consultez la Vue d'ensemble d'ADFS pour plus d'informations.

En règle générale, un fournisseur SSO est configuré pour une entité Enterprise. Si vous configurez une configuration multi-locataires (un fournisseur SSO avec plusieurs entités Enterprise) à l'aide de SAML 2.0, l'administrateur doit utiliser com.onshape.saml2.sp.<préfixe du domaine> comme identifiant d'entité Onshape, et cocher la case Utiliser entityId avec le préfixe de domaine de la société. Consultez la section « Configuration du fournisseur SSO dans Onshape » ci-dessous.

Ajouter Onshape à votre compte d'authentification unique PingOne

Pour activer l'authentification unique pour votre entreprise, vous devez d'abord ajouter l'application Onshape à votre compte d'authentification unique PingOne :

1. Connectez-vous au portail PingOne en tant qu'administrateur. Cliquez sur l'icône Connections dans le volet de navigation de gauche.



2. Cliquez sur Ajouter l'application.

   

3. Cliquez sur la zone Web App. Cliquez ensuite sur le bouton Configurer situé à droite du type de connexion SAML.

   

4. Dans l'onglet Créer un profil d'application qui s'ouvre, entrez un nom et une description de l'application. Cliquez ensuite sur le bouton Suivant en bas du volet.

   

5. Dans l'onglet Configurer SAML qui s'ouvre, entrez https://cad.onshape.com/identity/saml2/sso dans le champ d'URL ACS.

L'URL ACS ci-dessus doit être « cad.onshape.com » et non l'URL de votre entreprise Onshape.



6. Dans le même onglet, faites défiler vers le bas et entrez com.onshape.saml2.sp dans le champ d'ID d'entité et 300Dans le champ Durée de validité de l'assertion en secondes. Cliquez ensuite sur le bouton Enregistrer et continuer.

   

7. Dans l'onglet Attributs de la carte, sélectionnez Adresse e-mail dans la liste déroulante Attribut utilisateur PingOne.

   

8. Dans le même onglet, créez les trois attributs SAML suivants :

   1. Cliquez sur le lien Ajouter l'attribut et sélectionnez Attribut statique dans la liste déroulante. Cela crée le premier attribut statique. Dans le champ Clé statique, entrez FirstName, et dans le champ Valeur statique, entrez Prénom.

   2. Cliquez à nouveau sur le lien Ajouter un attribut, et sélectionnez Attribut statique dans la liste déroulante. Cela crée le deuxième attribut statique. Dans le champ Clé statique, entrez lastName, et dans le champ Valeur statique, entrez Nom de famille.

   3. Cliquez à nouveau sur le lien Ajouter un attribut, et sélectionnez Attribut statique dans la liste déroulante. Cela crée le troisième attribut statique. Dans le champ Clé statique, entrez CompanyName , et dans le champ Valeur statique, entrez votre préfixe de nom de domaine. Par exemple, si votre nom d'entreprise Onshape est FishBowl.onShape.com, entrez Fishbowl dans le champ.

   

9. Une fois que les trois attributs SAML ont été saisis, ils doivent ressembler à l'image ci-dessous. Cliquez sur le bouton Enregistrer et fermer.

   

10. La fenêtre Applications s'ouvre. Cliquez sur le commutateur Nombre moyen de connexions par jour pour autoriser les connexions à l'application. Un avis apparaît dans le coin supérieur droit indiquant que l'application a été enregistrée avec succès.

    

11. Cliquez sur la sous-section Configuration. Cliquez ensuite sur le bouton Télécharger pour télécharger le fichier de métadonnées. Un message apparaît en haut à droite lors du téléchargement réussi de ce fichier. Cliquez sur X pour ignorer le message.

    

Configurer le fournisseur SSO dans Onshape

Une fois qu'Onshape est configuré dans le fournisseur d'identité et que vous avez téléchargé le fichier de métadonnées du fournisseur d'identité (appelé fichier de configuration dans Onshape), le fournisseur SSO peut être configuré dans Onshape.

Les images d'exemple ci-dessous montrent la configuration d'un fournisseur d'identité générique, mais les étapes sont les mêmes pour tous les fournisseurs d'identité.

1. Connectez-vous à votre compte d'entreprise Onshape, en utilisant votre nom de domaine spécialisé, en tant qu'administrateur. Sélectionnez Paramètres d'entreprise dans votre compte :

   

2. Sélectionnez Authentification dans le menu de navigation de gauche.

3. Dans la sous-section Authentification unique (SSO), cliquez sur le bouton Configurer un fournisseur SSO :

   

4. La boîte de dialogue Créer un fournisseur SSO s'ouvre :

   

   1. Dans le champ Nom, entrez un nom, tel que SSO personnalisé

   2. Dans la liste déroulante Type de fournisseur, sélectionnez votre fournisseur SSO.

   3. Laissez la case Activer le fournisseur SSO cochée.

   4. Laissez la case Désactiver la connexion par mot de passe Onshape décochée pour le moment.

   Désactiver la connexion par mot de passe Onshape désactive la connexion par mot de passe Onshape classique pour vous et vos utilisateurs. Seule l'invite de connexion du fournisseur SSO s'affiche pour l'URL Onshape. Avant de cocher cette option, assurez-vous de pouvoir vous connecter vous-même à Onshape (en tant qu'administrateur). Vous pourrez revenir ici plus tard et l'activer une fois que la connexion via votre fournisseur SSO aura été vérifiée et fonctionnera correctement.

   En choisissant d'imposer la connexion à Onshape via l'authentification unique, les utilisateurs ne peuvent pas non plus se connecter directement à des domaines hors entreprise, tels que cad.onshape.com.

   5. Cochez Utiliser entityId avec le préfixe de domaine de la société si vous avez une configuration multi-clients (un fournisseur SSO avec plusieurs entreprises).

   En règle générale, un fournisseur SSO est configuré pour une entité Enterprise. Si vous configurez une configuration multi-locataires (un fournisseur SSO avec plusieurs entités Enterprise) à l'aide de SAML 2.0, l'administrateur doit utiliser com.onshape.saml2.sp.<préfixe du domaine> comme identifiant d'entité Onshape, et cocher la case Utiliser entityId avec le préfixe de domaine de la société.

   6. Cliquez sur le bouton Charger le fichier de configuration :

5. Recherchez et sélectionnez le fichier de configuration des métadonnées que vous avez téléchargé précédemment, puis cliquez sur Ouvrir :

   

6. Cliquez sur OK :

   

7. Le fichier est téléchargé. Une notification s'affiche lorsque le téléchargement est terminé :

   

8. Déconnectez-vous de votre compte Onshape et de votre compte de fournisseur SSO. Assurez-vous de rafraîchir les deux comptes. Lorsque vous accédez de nouveau à la page d'ouverture de session Onshape, celle-ci comporte un nouveau lien Se connecter en bas, pour votre fournisseur SSO.

   

Pour pouvoir se connecter à Onshape, les administrateurs doivent permettre à leurs utilisateurs (dans leur compte à authentification unique) d'utiliser l'application Onshape.

---