Before starting the integration process, you must have requested, and been approved for, an Onshape Enterprise account or trial, and have an Onshape Enterprise domain name.

An example of an Enterprise domain name might be: MyCompanyName.onshape.com.

Note that you are only able to use one SSO provider at a time.

This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

ADFS 管理アプリケーションで「証明書利用者信頼」を作成する

1. ADFS ポータルで、[証明書利用者信頼] に移動し、[証明書利用者信頼の追加...] に移動します。
2. [要求に対応する] を選択します。
3. 「証明書利用者に関するデータを手動で入力する」を選択します。
4. 「SAML 2.0 WebSSO プロトコル用のサポートを有効にする」を選択します。
5. 「証明書利用者の SAML 2.0 SSO サービス URL」を https://cad.onshape.com/identity/saml2/sso に設定する
6. 「証明書利用者信頼 ID」を com.onshape.saml2.sp に設定する

SP 証明書とハッシュアルゴリズムを設定する

1. 上記の手順で作成された証明書利用者信頼をダブルクリックします。
2. 「署名」タブで、適切な証明書を追加します。
3. 「高度な」タブで、ハッシュアルゴリズムを SHA-1 に設定します。

要求を構成する

1. 証明書利用者信頼を右クリックして、「要求発行ポリシーを編集する」を選択します。
2. 以下に示す 3 つのルールを追加する (ルール #3 で Enterprise の DNS プレフィックスを使用します)
   1. ルール #1 テンプレート: 「要求として LDAP 属性を送信する」
   2. ルール #2 テンプレート: 「受信した要求をパススルーまたはフィルタリングする」
   3. ルール #3 テンプレート: 「カスタムルールを使用して要求を送信する」

Download the ADFS metadata file from:
https://<server>/federationmetadata/2007-06/federationmetadata.xml
からダウンロードし、Onshape にアップロードします。
<サーバー> は、お使いの ADFS サーバーのホスト名に置き換えます。
上記の「Onshape DNS プレフィックスはこちら」は、お使いの companyName 値に置き換えます。たとえば、Onshape ドメインが acme.Onshape.com の場合は、このフィールドの値として「acme」を使用します。

コンフィギュレーションファイルを Onshape にアップロードする

コンフィギュレーションファイルまたはメタデータファイルをダウンロードした後は、次の手順に従ってください。

1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。
2. [ユーザー] メニューから [Company/Enterprise 設定] を選択します。
3. 左側のメニューから 認証 を選択します。
4. シングルサインオン (SSO) セクションでは、次の操作に従ってください。
   1. コンフィギュレーションファイルをアップロード をクリックします。
   2. 以前にダウンロードしたメタデータファイルを選択し、開く をクリックします。
   3. ダイアログで SSO プロバイダーの名前を入力し、 SSO プロバイダーを有効にする チェックボックスをオンにします。
   4. Click OK.

   You can disable the typical Onshape password sign in for your users and show just the SSO provider sign in prompt for the Onshape URL. However, do not perform this step at this time. Make sure you can sign in to Onshape yourself (as administrator) before disabling this additional sign in option. You can return here later, once sign in through your SSO provider has been verified to work correctly.
   
   Choosing to enforce signing in to Onshape via SSO also results in users not being able to sign in to non-enterprise domains directly, such as cad.onshape.com.

5. Onshape アカウントからサインアウトします。
6. Onshape アカウントページのハードリフレッシュを行います。ページの下部には、お使いの SSO プロバイダー用の新しい サインイン リンクがあることに注目してください。

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。

---