Prima di avviare il processo di integrazione, devi aver richiesto e ricevere l'approvazione per un account o una versione di prova Onshape Enterprise e disporre di un nome di dominio Onshape Enterprise.

Un esempio di nome di dominio Enterprise potrebbe essere: NomeMiaAzienda.onshape.com.

Tieni presente che è possibile utilizzare un solo provider SSO alla volta.

Questo processo di configurazione potrebbe non riuscire senza valori di parametro personalizzati per la tua organizzazione. Usa il tuo dashboard personalizzato del provider di identità SSO (ad esempio: Okta, PingOne o ClassLink) per aggiungere Onshape come applicazione e registrare i valori specifici per la tua organizzazione. Questi valori sono necessari per la procedura seguente.

Onshape firma tutte le richieste di certificazione SAML in uscita. Non è necessario caricare alcun certificato (ad esempio, un certificato di firma SAML), tranne nel caso dell'integrazione ADFS perché ADFS convalida le richieste SAML in arrivo. Tieni presente che Microsoft consiglia anche la migrazione dall'ultima versione di prova di ADFS a Microsoft Entra ID. Per ulteriori informazioni, consulta la panoramica di ADFS.

Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box. See the "Configuring the SSO provider in Onshape" section below..

Configurazione SSO OneLogin per Onshape

Accedi al pannello di amministrazione OneLogin per configurare una nuova app di collegamento con Onshape. Vai a <yourdomain>.onelogin.com/admin

Aggiungi nuova applicazione

1. Seleziona Applicazioni dalla barra di navigazione superiore.
2. Seleziona Applicazioni.

3. Fai clic su Aggiungi app nell'angolo in alto a destra.
4. Cerca SAML.

5. Seleziona il connettore di prova SAML (avanzato).

6. Imposta il nome dello stato di visualizzazione come "Onshape" e usa tutte le icone pertinenti.
7. Fai clic su Salva.

Configurazione

Una volta salvata l'applicazione, ci sono altre opzioni che saranno disponibili per la modifica. Questa prossima sezione configurerà importanti dettagli dell'applicazione per l'integrazione. I dettagli su ciascuna sezione sono disponibili nella pagina di configurazione del connettore di prova.

1. RelayState: lascia vuoto
2. Pubblico (EntityID): com.onshape.saml2.sp
3. Destinatario: https://cad.onshape.com/identity/saml2/sso
4. Validatore URL ACS (Consumer)*: https://cad.onshape.com/identity/saml2/sso$
5. URL ACS (Consumer)*: https://cad.onshape.com/identity/saml2/sso
6. URL disconnessione singola: https://<custom_onshape_domain>.onshape.com
7. URL di accesso: https://<custom_onshape_domain>.onshape.com
8. SAML non valido prima di: 3 (valore predefinito)
9. SAML non valido a partire da: 3 (valore predefinito)
10. Iniziatore SAML: OneLogin (se vuoi che la pagina del tuo portale esegua direttamente l'accesso)
11. Formato SAML NameID: email
12. Tipo di emittente SAML: specifico
13. Elemento firma SAML: asserzione
14. Crittografa asserzione: (non selezionato)
15. Metodo di crittografia SAML: TRIPLEDES-CBC (predefinito)
16. Firma risposta SLO: (non selezionato)
17. Sessione SAML non o dopo: 1440 (impostazione predefinita)
18. Genera tag Valore attributo per valori vuoti: (spuntato)
19. Firma richiesta SLO: (non selezionata)

Parametri

Ciò deve essere configurato per passare le informazioni appropriate a Onshape durante l'handshaking SSO. Questi valori sono i seguenti:

1. Valore NameID: email (valore predefinito)

2. companyName: tipo di macro (inserisci il nome di dominio personalizzato nel campo), ad esempio, in un dominio che è "company.onshape.com" inserisci solo "company" in questo campo

3. FirstName: mappa su Nome e includi nell'asserzione SAML
4. lastName: associalo al cognome e includi nell'asserzione SAML

S

Qui dovrai impostare solo l'opzione Algoritmo firma SAML.

Scarica i metadati SAML

Ora che OneLogin è configurato e salvato, nell'angolo in alto a destra, tira verso il basso il menu Altre azioni e seleziona Metadati SAML, il quale scarica un file XML sul tuo computer locale. Questo file verrà utilizzato nella configurazione di OneLogin nelle impostazioni di autenticazione Onshape Enterprise.

Configura il provider SSO in Onshape

Una volta configurato Onshape nel provider di identità e scaricato il file di metadati del provider di identità (indicato in Onshape come file di configurazione), è possibile configurare il provider SSO in Onshape.

Le immagini di esempio seguenti mostrano un provider di identità generico in fase di configurazione, ma i passaggi sono gli stessi per tutti i provider di identità.

1. Accedi al tuo account Onshape Enterprise, utilizzando il tuo nome di dominio specializzato, come amministratore. Seleziona Impostazioni Enterprise nel tuo account.

   

2. Seleziona Autenticazione nel menu di navigazione a sinistra:

   

3. Nella sottosezione Single sign-on (SSO), fai clic sul pulsante Configura provider SSO.

   

4. Si apre la finestra di dialogo Crea provider SSO:

   

   1. Nel campo Nome, inserisci il nome, ad esempio SSO personalizzato

   2. Nel menu a discesa Tipo di provider, seleziona il tuo provider SSO nell'elenco.

   3. Lascia selezionata l'opzione Abilita provider SSO.

   4. Per il momento, lascia deselezionata l'opzione Disabilita accesso con password Onshape.

   L'opzione Disabilita accesso con password Onshape disabilita il tipico accesso con password Onshape per te e per i tuoi utenti. Per l'URL Onshape è visualizzata solo la richiesta di accesso del provider SSO. Prima di selezionare questa opzione, assicurati di poter accedere a Onshape come utente (come amministratore). Puoi tornare qui in un secondo momento e abilitare l'opzione una volta verificato il corretto funzionamento dell'accesso tramite il tuo provider SSO.

   La scelta di imporre l'accesso a Onshape tramite SSO comporta inoltre che gli utenti non siano in grado di accedere direttamente a domini non aziendali, come cad.onshape.com.

   5. Check Use entityid with company domain prefix if you have a multi-tenant setup (an SSO provider with multiple Enterprises).

   Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box.

   6. Fai clic sul pulsante Carica file di configurazione:

5. Individua e seleziona il file di configurazione dei metadati scaricato in precedenza e fai clic su Apri:

   

6. Fai clic su OK:

   

7. Il file è caricato. Al termine del caricamento è visualizzata una notifica:

   

8. Esci sia dal tuo account Onshape sia da quello del tuo servizio di fornitura di identità personalizzato. Assicurati di eseguire un aggiornamento definitivo di entrambi gli account. Quando si apre nuovamente la pagina di accesso di Onshape, in basso troverai un nuovo link Accedi per il tuo provider SSO.

   

Perché sia possibile eseguire l'accesso a Onshape, gli amministratori devono eseguire il provisoning degli utenti (nel loro account single sign-on) per l'utilizzo dell'applicazione Onshape.

---