Avant de lancer le processus d'intégration, vous devez avoir demandé et approuvé un compte Onshape Entreprise ou une version d'essai, ainsi qu'un nom de domaine Onshape Entreprise.

Un exemple de nom de domaine d'entreprise peut être : MonEntreprise.onShape.com.

Notez que vous ne pouvez utiliser qu'un seul fournisseur d'authentification unique à la fois.

Ce processus de configuration risque d'échouer si les valeurs de paramètres ne sont pas personnalisées pour votre organisation. Utilisez le tableau de bord de votre fournisseur d'identité SSO personnalisé (par exemple : Okta, PingOne ou ClassLink) pour ajouter Onshape en tant qu'application et enregistrer les valeurs spécifiques à votre organisation. Vous avez besoin de ces valeurs pour la procédure suivante.

Onshape signe toutes les demandes de certification SAML sortantes. Vous n'êtes pas obligé de télécharger des certificats (par exemple, un certificat de signature SAML), sauf dans le cas d'une intégration ADFS, car ADFS valide les demandes SAML entrantes. Notez que Microsoft recommande de migrer de la dernière version d'ADFS vers Microsoft Entra ID. Consultez la Vue d'ensemble d'ADFS pour plus d'informations.

L'authentification unique de Google ne peut pas être utilisée avec les plans Government Enterprise. Intégrez plutôt un fournisseur d'identité personnalisé via SAML 2.0.

Étapes

  1. Accédez au menu Paramètres de votre compte et sélectionnez Paramètres d'entreprise.

  2. Sélectionnez Authentification dans le volet gauche.

  3. Lorsque la page Authentification s'ouvre, sélectionnez « Configurer le fournisseur SSO » sous l'en-tête Authentification unique (SSO). La boîte de dialogue suivante s'ouvre :

    Boîte de dialogue Créer un fournisseur SSO

  4. Nommez la configuration, « Google SSO », par exemple.

  5. Sélectionnez un type de fournisseur Google.

  6. Si vous souhaitez provisionner les utilisateurs via un nom de domaine spécifique (@companyname.com ou @schoolname.edu, par exemple), entrez ce domaine dans le champ de la liste blanche des domaines sans le symbole @. (Notez que le provisionnement des utilisateurs de cette manière les affecte automatiquement en tant qu'utilisateurs avec contrôle total ou utilisateurs avec profil restreint en fonction du paramètre de provisionnement automatique avec authentification unique (SSO) Enterprise. Voir Paramètres Enterprise - Préférences et accédez à la liste déroulante Provisionnement automatique des utilisateurs avec authentification unique (SSO) pour plus d'informations.)

    Boîte de dialogue Créer un fournisseur SSO montrant le provisionnement des utilisateurs via un nom de domaine spécifique

    L'utilisation d'une liste blanche de domaine signifie que toute personne possédant une adresse e-mail valide dans ce domaine aura accès au compte d'entreprise Onshape, en tant qu'utilisateur avec contrôle total. Faites preuve de prudence lors du provisionnement via un domaine générique, comme @gmail.com, par exemple.

    Si vous ne souhaitez pas accorder l'accès à tous les utilisateurs d'un domaine spécifique, vous pouvez laisser ce champ vide, puis ajouter ultérieurement des utilisateurs en tant que membres de l'entreprise par le biais d'un e-mail envoyé par l'administrateur. Gardez à l'esprit que l'e-mail doit correspondre à l'e-mail SSO Google de l'utilisateur. Si l'utilisateur possède déjà un compte Google, il peut se connecter immédiatement après avoir reçu l'e-mail. Si l'utilisateur n'a pas de compte, ou si son compte est en attente, Onshape active son compte d'entreprise et définit son nom et son prénom Onshape en fonction des détails trouvés dans son profil Google.

  7. Cochez la case pour Activer le fournisseur SSO.

  8. Si vous souhaitez obliger tous les utilisateurs à se connecter à Onshape via le fournisseur SSO uniquement, cochez la case à côté de « Désactiver la connexion par mot de passe Onshape ». Lorsque vous désactivez la connexion par mot de passe Onshape, les utilisateurs ne verront que la connexion pour Google, et non pour Onshape.

    Leur mot de passe pour Onshape ne sera pas valide.

    L'administrateur sera également obligé de se connecter à Onshape via l'authentification unique Google. Par mesure de sécurité, il est fortement recommandé aux administrateurs de copier l'URL de connexion par mot de passe et de l'enregistrer dans un endroit sûr, au cas où ils devraient se connecter directement via Onshape :
    Exemple montrant l'URL de connexion par mot de passe pour les administrateurs

    En choisissant d'imposer la connexion à Onshape via l'authentification unique, les utilisateurs ne peuvent pas non plus se connecter directement à des domaines hors entreprise, tels que cad.onshape.com.