統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる (シングルサインオン) SSO プロバイダーは 1 つだけです。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。Microsoft Entra ID (旧: Azure AD) のシングルサインオンダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Onshape を Entra ID (旧: Azure AD) のシングルサインオンアカウントに追加する

会社のシングルサインオンを有効にするには、まず Entra ID (旧: Azure AD) のシングルサインオンアカウントに Onshape アプリケーションを追加する必要があります。

1. Microsoft Entra ID (旧: Azure AD) のポータルにサインインします。ホームページに移動します。

   

2. 検索バーに「Enterprise アプリケーション」と入力し、[Enterprise アプリケーション] を選択します。

   

3. [すべてのアプリケーション] ページの上部で、[新規アプリケーション] をクリックします。

   

4. Microsoft Entra ギャラリーの参照ページで、アプリケーションの検索フィールドで Onshape を検索します。次に、[Onshape] ボタンをクリックします。

   

5. Onshape アプリケーションペインが右側に表示されます。ペインの下部にある [作成] ボタンをクリックします。

   

   Microsoft Entra が、ユーザーに代わって新しいアプリケーションを作成します。セットアップには数秒かかる場合があることに注意してください。

6. アプリが作成されたら、[2. シングルサインオンの設定] ボタンをクリックします。

   

7. Onshape は SAML 認証のみをサポートするため、[SAML]ボックスをクリックします。

   

   シングルサインオンの保存設定が開いたら、[はい] をクリックします。

   

   SAML ベースのサインオンページが開きます。

SAML コンフィギュレーション

1. [ユーザー属性] & 要求サブセクションで、ボックスの右上隅にある [編集] をクリックします。

   

2. 開いている [ユーザー属性] &要求ページで、会社名要求をダブルクリックします。

   

3. ドメイン名プレフィックスを [ソース属性] フィールドに入力します。たとえば、Onshape Enterprise の名前が fishbowl.onshape.com の場合は、Fishbowl と入力します。入力したら、フィールドの下のエントリをさらにクリックする必要があります (下の画像のカーソルで示した場所)。

   

4. [保存] をクリックします。

   

5. ページを閉じるには、右上隅にある X をクリックします。

   

6. シングルサインオンをテストするかどうか尋ねられたら、[いいえ、後でテストします] を選択します。

   

7. SAML-based サインオンページが再度表示されます。ページは以下の画像のようになります。

   

8. ページを下にスクロールして、サブセクション 3 SAML 署名証明書に移動します。このサブセクションの下部にある「フェデレーションメタデータ XML」ダウンロードリンクをクリックします。この XML ファイルは、後でシングルサインオンコンフィギュレーションプロセスで使用されます。

   

9. このファイルが正常にダウンロードされると、右上にメッセージが表示されます。メッセージを閉じるには、X をクリックします。

   

ユーザーとグループを設定する

1. 左側のナビゲーションペインで、[ユーザーとグループ] を選択します。

   

2. [ユーザーとグループ] ページが表示されます。[ユーザー/グループを追加] をクリックします。

   

3. [割り当ての追加] ページが開きます。左側の [ユーザー - 選択なし] をクリックします。

   右側に [ユーザー] ペインが開きます。招待したいユーザーを検索して選択します。選択したユーザーは、下の [選択済みアイテム] ペインのサブセクションに移動します。選択したすべてのメンバーがこのペインに表示されたら、[選択] ボタンをクリックします。

   

4. [割り当てる] をクリックします。

   

5. [ユーザーとグループ] ページが開き、新しいユーザーが表示されます。

   

   この時点で、Microsoft Entra ポータルを離れて、Microsoft Active Directory アプリケーションダッシュボードを開くことができます。

   

XML コンフィギュレーションファイルを Onshape にアップロードする

1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

   

2. 左側のナビゲーションメニューから 認証を選択します。

   

3. [シングルサインオン (SSO)] サブセクションで、[SSOプロバイダーを構成する] ボタンをクリックします。

   

4. [SSO プロバイダーの作成] ダイアログが開きます。名前 フィールドに、MSA など、3 文字の名前を入力します。プロバイダの種類ドロップダウンで、Microsoft Azure を選択します。次に、[コンフィギュレーションファイルをアップロードする] ボタンをクリックします。

   

5. 以前にダウンロードした XML ファイルを探して選択し、[開く] をクリックします。

   

6. [OK] をクリックします。

   

7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

   

ユーザーが通常行う Onshape パスワードでのサインインを無効にして、Onshape URL の SSO プロバイダーでのサインインプロンプトだけを表示することができます。ただし、この手順は現時点では実行しないでください。この追加のサインインオプションを無効にする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーで正しくサインインできることを確認してから、後でここに戻ることができます。

SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

8. Onshape アカウントと Microsoft アカウントの両方からサインアウトします。両方のアカウントをハードリフレッシュしてください。Onshape のサインインページに再度アクセスすると、ページの下部にシングルサインオンプロバイダー用の新しい [サインイン] リンクが表示されます。

   

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。

トラブルシューティング

次のエラーが表示された場合

すべてのタブを閉じ、完全にサインアウトして Microsoft にサインインし直します。

Onshape に再度サインインします。

AD 管理パネルの「接続のテスト」ボタンは機能しないことに注意してください。

---