統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

通常、1 つの Enterprise に 1 つの SSO プロバイダーを設定します。SAML 2.0 を使用してマルチテナントコンフィギュレーション (複数の Enterprise がある SSO プロバイダー) を設定する場合、管理者は com.onshape.saml2.sp.<ドメインプレフィックス>Onshape エンティティ ID として使用し、[entityId を Company のドメインプレフィックスに使用] チェックボックスをオンにする必要があります。以下の「Onshape での SSO プロバイダーの構成」セクションを参照してください。

ADFS 管理アプリケーションで「証明書利用者信頼」を作成する

  1. ADFS ポータルで、[証明書利用者信頼] に移動し、[証明書利用者信頼の追加...] に移動します。
  2. [要求に対応する] を選択します。
  3. 「証明書利用者に関するデータを手動で入力する」を選択します。
  4. 「SAML 2.0 WebSSO プロトコル用のサポートを有効にする」を選択します。
  5. 「証明書利用者の SAML 2.0 SSO サービス URL」を https://cad.onshape.com/identity/saml2/sso に設定する
  6. 「証明書利用者信頼 ID」を com.onshape.saml2.sp に設定する

SP 証明書とハッシュアルゴリズムを設定する

  1. 上記の手順で作成された証明書利用者信頼をダブルクリックします。
  2. 「署名」タブで、適切な証明書を追加します。
  3. 「高度な」タブで、ハッシュアルゴリズムを SHA-1 に設定します。

要求を構成する

  1. 証明書利用者信頼を右クリックして、「要求発行ポリシーを編集する」を選択します。
  2. 以下に示す 3 つのルールを追加します (ルール #3 では Enterprise の DNS プレフィックスを使用します)
    1. ルール #1 テンプレート: 「要求として LDAP 属性を送信する」
    2. ルール #2 テンプレート: 「受信した要求をパススルーまたはフィルタリングする」
    3. ルール #3 テンプレート: 「カスタムルールを使用して要求を送信する」

[要求を構成する] ダイアログ

[ルールを編集] ダイアログ

[ルールを編集 - 名前 ID パススルー] ダイアログの例

[ルールを編集 - 会社名] ダイアログの例

ADFS メタデータファイルを
https://<server>/federationmetadata/2007-06/federationmetadata.xml
からダウンロードし、Onshape にアップロードします。
<サーバー> は、お使いの ADFS サーバーのホスト名に置き換えます。
上記の「Onshape DNS プレフィックスはこちら」は、お使いの companyName 値に置き換えます。たとえば、Onshape ドメインが acme.Onshape.com の場合は、このフィールドの値として「acme」を使用します。

Onshape での SSO プロバイダーの構成

ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。

以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。

  1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

    [マイアカウント] メニューに移動し、[Enterprise 設定] ボタンをクリックする

  2. 左側のナビゲーションメニューから [認証] を選択します。

  3. [シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。

    [シングルサインオン (SSO)] 設定の [SSO プロバイダーを構成] をクリックする

  4. SSO プロバイダーを作成ダイアログが開きます。

    SSO プロバイダーの作成ダイアログ

    1. [名前] フィールドに、カスタム SSO などの名前を入力します。

    2. [プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。

    3. [SSO プロバイダーを有効化] はオンのままにします。

    4. 今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。

      5. [Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。

      SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

    5. マルチテナント設定 (複数の Enterprise を持つ SSO プロバイダー) を使用している場合は、[Company ドメインプレフィックス付きのエンティティ ID を使用] をオンにします。

      6. 通常、1 つの Enterprise に SSO プロバイダーをセットアップします。SAML 2.0 を使用してマルチテナントコンフィギュレーション (複数の Enterprise がある SSO プロバイダー) をセットアップする場合、管理者は com.onshape.saml2.sp.<ドメインプレフィックス>Onshape エンティティ ID として使用し、[entityId を Company のドメインプレフィックスに使用] チェックボックスをオンにする必要があります。

    6. [コンフィギュレーションファイルをアップロード] ボタンをクリックします。

  5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

    以前にダウンロードした XLM メタデータファイルを開く

  6. [OK] をクリックします。

    [OK] をクリックして SSO プロバイダーの作成を完了させる

  7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

    SSO 構成ファイルが正常にアップロードされたことを示す通知

  8. Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。

    Onshape のサインイン画面

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。