統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box. See the "Configuring the SSO provider in Onshape" section below..

Onshape を Entra ID (旧: Azure AD) のシングルサインオンアカウントに追加する

会社のシングルサインオンを有効にするには、まず Entra ID (旧: Azure AD) のシングルサインオンアカウントに Onshape アプリケーションを追加する必要があります。

  1. Microsoft Entra ID (旧: Azure AD) のポータルにサインインします。ホームページに移動します。

    Microsoft Azure ポータルへのサインイン

  2. 検索バーに「Enterprise アプリケーション」と入力し、[Enterprise アプリケーション] を選択します。

    検索バーから Enterprise アプリケーションを選択する

  3. [すべてのアプリケーション] ページの上部で、[新規アプリケーション] をクリックします。

    [Enterprise アプリケーション] ページから [新しいアプリケーション] を選択する例

  4. Microsoft Entra ギャラリーの参照ページで、アプリケーションの検索フィールドで Onshape を検索します。次に、[Onshape] ボタンをクリックします。

    Entra ギャラリーの参照ページで Onshape を検索する例

  5. Onshape アプリケーションペインが右側に表示されます。ペインの下部にある [作成] ボタンをクリックします。

    Onshape アプリケーションを選択して開く

    Microsoft Entra が、ユーザーに代わって新しいアプリケーションを作成します。セットアップには数秒かかる場合があることに注意してください。

  6. アプリが作成されたら、[2. シングルサインオンの設定] ボタンをクリックします。

    [シングルサインオンの設定] オプションの選択

  7. Onshape は SAML 認証のみをサポートするため、[SAML]ボックスをクリックします。

    [シングルサインオン] ページで [SAML] オプションをクリックする

    シングルサインオンの保存設定が開いたら、[はい] をクリックします。

    [はい] をクリックしてシングルサインオン設定を保存する

    SAML ベースのサインオンページが開きます。

SAML コンフィギュレーション

  1. [ユーザー属性] & 要求サブセクションで、ボックスの右上隅にある [編集] をクリックします。

    クリックして、[SAML ベースのサインオン] ページの [ユーザー属性と要求] を編集する

  2. 開いている [ユーザー属性] &要求ページで、会社名要求をダブルクリックします。

    [ユーザー属性と要求] ページで [CompanyName] 要求を選択する

  3. ドメイン名プレフィックスを [ソース属性] フィールドに入力します。たとえば、Onshape Enterprise の名前が fishbowl.onshape.com の場合は、Fishbowl と入力します。入力したら、フィールドの下のエントリをさらにクリックする必要があります (下の画像のカーソルで示した場所)。

    要求管理の例

  4. [保存] をクリックします。

    [要求の管理] ページの要求を保存する例

  5. ページを閉じるには、右上隅にある X をクリックします。

    [ユーザー属性と要求] ページを閉じる

  6. シングルサインオンをテストするかどうか尋ねられたら、[いいえ、後でテストします] を選択します。

    [SAML ベースのサインオン] ページで [いいえ、後でテストします] ボタンをクリックする

  7. SAML-based サインオンページが再度表示されます。ページは以下の画像のようになります。

    完了した要求を示す例

  8. ページを下にスクロールして、サブセクション 3 SAML 署名証明書に移動します。このサブセクションの下部にある「フェデレーションメタデータ XML」ダウンロードリンクをクリックします。この XML ファイルは、後でシングルサインオンコンフィギュレーションプロセスで使用されます。

    フェデレーションメタデータ XML ファイルのダウンロード

  9. このファイルが正常にダウンロードされると、右上にメッセージが表示されます。メッセージを閉じるには、X をクリックします。

    完了したダウンロードの通知を閉じる

ユーザーとグループを設定する

  1. 左側のナビゲーションペインで、[ユーザーとグループ] を選択します。

    [SAML ベースのサインオン] ページの左側にあるナビゲーションから [ユーザーとグループ] を選択する

  2. [ユーザーとグループ] ページが表示されます。[ユーザー/グループを追加] をクリックします。

    [ユーザーとグループ] ページの [ユーザー / グループの追加] ボタンをクリックする

  3. [割り当ての追加] ページが開きます。左側の [ユーザー - 選択なし] をクリックします。

    右側に [ユーザー] ペインが開きます。招待したいユーザーを検索して選択します。選択したユーザーは、下の [選択済みアイテム] ペインのサブセクションに移動します。選択したすべてのメンバーがこのペインに表示されたら、[選択] ボタンをクリックします。

    ユーザーグループ / チームにユーザーを割り当てる

  4. [割り当てる] をクリックします。

    [割り当ての追加] ページで [割り当て] ボタンをクリックする

  5. [ユーザーとグループ] ページが開き、新しいユーザーが表示されます。

    [ユーザーとグループ] ページに追加された新しいユーザー

    この時点で、Microsoft Entra ポータルを離れて、Microsoft Active Directory アプリケーションダッシュボードを開くことができます。

    Microsoft Active Directory アプリケーションダッシュボードの例

Onshape での SSO プロバイダーの構成

ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。

以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。

  1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

    [マイアカウント] メニューに移動し、[Enterprise 設定] ボタンをクリックする

  2. 左側のナビゲーションメニューから [認証] を選択します。

    左側のナビゲーションメニューから [認証] を選択する

  3. [シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。

    [シングルサインオン (SSO)] 設定の [SSO プロバイダーを構成] をクリックする

  4. SSO プロバイダーを作成ダイアログが開きます。

    SSO プロバイダーの作成ダイアログ

    1. [名前] フィールドに、カスタム SSO などの名前を入力します。

    2. [プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。

    3. [SSO プロバイダーを有効化] はオンのままにします。

    4. 今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。

    5. [Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。

      SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

    6. Check Use entityid with company domain prefix if you have a multi-tenant setup (an SSO provider with multiple Enterprises).

    7. Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box.

    8. [コンフィギュレーションファイルをアップロード] ボタンをクリックします。

  5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

    以前にダウンロードした XLM メタデータファイルを開く

  6. [OK] をクリックします。

    [OK] をクリックして SSO プロバイダーの作成を完了させる

  7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

    SSO 構成ファイルが正常にアップロードされたことを示す通知

  8. Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。

    Onshape のサインイン画面

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。

トラブルシューティング

次のエラーが表示された場合

サインイン時に表示される場合があるエラーメッセージ

すべてのタブを閉じ、完全にサインアウトして Microsoft にサインインし直します。

Onshape に再度サインインします。

AD 管理パネルの「接続のテスト」ボタンは機能しないことに注意してください。