Microsoft Entra ID との統合 (旧: Azure AD)
統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。
Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。
一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。
This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.
Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。
動画の例Onshape を Entra ID (旧: Azure AD) のシングルサインオンアカウントに追加する
会社のシングルサインオンを有効にするには、まず Entra ID (旧: Azure AD) のシングルサインオンアカウントに Onshape アプリケーションを追加する必要があります。
- Microsoft Entra ID (旧: Azure AD) のポータルにサインインします。ホームページに移動します。
- 検索バーに「Enterprise アプリケーション」と入力し、[Enterprise アプリケーション] を選択します。
- [すべてのアプリケーション] ページの上部で、[新規アプリケーション] をクリックします。
![[Enterprise アプリケーション] ページから [新しいアプリケーション] を選択する例](Resources/Images/SSO/azure-sso-004-02.png)
- Microsoft Entra ギャラリーの参照ページで、アプリケーションの検索フィールドで Onshape を検索します。次に、[Onshape] ボタンをクリックします。
-
Onshape アプリケーションペインが右側に表示されます。ペインの下部にある [作成] ボタンをクリックします。
Microsoft Entra が、ユーザーに代わって新しいアプリケーションを作成します。セットアップには数秒かかる場合があることに注意してください。
- アプリが作成されたら、[2. シングルサインオンの設定] ボタンをクリックします。
![[シングルサインオンの設定] オプションの選択](Resources/Images/SSO/azure-sso-007-03.png)
- Onshape は SAML 認証のみをサポートするため、[SAML]ボックスをクリックします。
![[シングルサインオン] ページで [SAML] オプションをクリックする](Resources/Images/SSO/azure-sso-007-03a.png)
シングルサインオンの保存設定が開いたら、[はい] をクリックします。
![[はい] をクリックしてシングルサインオン設定を保存する](Resources/Images/SSO/azure-sso-036a.png)
SAML ベースのサインオンページが開きます。
SAML コンフィギュレーション
- [ユーザー属性] & 要求サブセクションで、ボックスの右上隅にある [編集] をクリックします。
![クリックして、[SAML ベースのサインオン] ページの [ユーザー属性と要求] を編集する](Resources/Images/SSO/azure-sso-037.png)
- 開いている [ユーザー属性] &要求ページで、会社名要求をダブルクリックします。
![[ユーザー属性と要求] ページで [CompanyName] 要求を選択する](Resources/Images/SSO/azure-sso-038.png)
-
ドメイン名プレフィックスを [ソース属性] フィールドに入力します。たとえば、Onshape Enterprise の名前が fishbowl.onshape.com の場合は、Fishbowl と入力します。入力したら、フィールドの下のエントリをさらにクリックする必要があります (下の画像のカーソルで示した場所)。
- [保存] をクリックします。
![[要求の管理] ページの要求を保存する例](Resources/Images/SSO/azure-sso-040.png)
- ページを閉じるには、右上隅にある X をクリックします。
![[ユーザー属性と要求] ページを閉じる](Resources/Images/SSO/azure-sso-041.png)
-
シングルサインオンをテストするかどうか尋ねられたら、[いいえ、後でテストします] を選択します。
![[SAML ベースのサインオン] ページで [いいえ、後でテストします] ボタンをクリックする](Resources/Images/SSO/azure-sso-042.png)
-
SAML-based サインオンページが再度表示されます。ページは以下の画像のようになります。
- ページを下にスクロールして、サブセクション 3 SAML 署名証明書に移動します。このサブセクションの下部にある「フェデレーションメタデータ XML」ダウンロードリンクをクリックします。この XML ファイルは、後でシングルサインオンコンフィギュレーションプロセスで使用されます。
-
このファイルが正常にダウンロードされると、右上にメッセージが表示されます。メッセージを閉じるには、X をクリックします。
ユーザーとグループを設定する
- 左側のナビゲーションペインで、[ユーザーとグループ] を選択します。
![[SAML ベースのサインオン] ページの左側にあるナビゲーションから [ユーザーとグループ] を選択する](Resources/Images/SSO/azure-sso-020-01.png)
-
[ユーザーとグループ] ページが表示されます。[ユーザー/グループを追加] をクリックします。
![[ユーザーとグループ] ページの [ユーザー / グループの追加] ボタンをクリックする](Resources/Images/SSO/azure-sso-021-02.png)
- [割り当ての追加] ページが開きます。左側の [ユーザー - 選択なし] をクリックします。
右側に [ユーザー] ペインが開きます。招待したいユーザーを検索して選択します。選択したユーザーは、下の [選択済みアイテム] ペインのサブセクションに移動します。選択したすべてのメンバーがこのペインに表示されたら、[選択] ボタンをクリックします。
- [割り当てる] をクリックします。
![[割り当ての追加] ページで [割り当て] ボタンをクリックする](Resources/Images/SSO/azure-sso-023.png)
- [ユーザーとグループ] ページが開き、新しいユーザーが表示されます。
![[ユーザーとグループ] ページに追加された新しいユーザー](Resources/Images/SSO/azure-sso-024-01.png)
この時点で、Microsoft Entra ポータルを離れて、Microsoft Active Directory アプリケーションダッシュボードを開くことができます。
Configure the SSO Provider in Onshape
Once Onshape is configured in the identity provider and you have downloaded the identity provider's metadata file (referred to in Onshape as the configuration file), the SSO provider can be configured in Onshape.
The example images below shows a generic identity provider being configured, but the steps are the same for all identity providers.
- Sign in to your Onshape Enterprise account, using your specialized domain name, as an administrator. Select Enterprise settings from your account:
![[マイアカウント] メニューに移動し、[Enterprise 設定] ボタンをクリックする](Resources/Images/SSO/azure-sso-025-02.png)
- Select Authentication from the left navigation menu:
![左側のナビゲーションメニューから [認証] を選択する](Resources/Images/SSO/azure-sso-026-01.png)
-
In the Single sign-on (SSO) subsection, click the Configure SSO provider button:
![[シングルサインオン (SSO)] 設定の [SSO プロバイダーを構成] をクリックする](Resources/Images/SSO/azure-sso-027-01.png)
-
The Create SSO provider dialog opens:
![[SSO プロバイダーの作成] ダイアログ](Resources/Images/SSO/custom-sso-01-01.png)
-
In the Name field, enter name, such as Custom SSO
-
In the Provider type dropdown, select your SSO provider from the list.
-
Leave Enable SSO provider checked.
-
Leave Disable Onshape password sign in unchecked for the moment.
Disable Onshape password sign in disables the typical Onshape password sign in for you and your users. Only the SSO provider sign in prompt is displayed for the Onshape URL. Before checking this option, ensure you can sign in to Onshape yourself (as administrator). You can return here later and enable it once sign in through your SSO provider is verified to work correctly.
SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。
-
Click the Upload configuration file button:
-
-
Locate and select the metadata configuration file you downloaded previously, and click Open:
-
Click OK:
![[OK] をクリックして SSO プロバイダーの作成を完了させる](Resources/Images/SSO/custom-sso-03.png)
-
The file is uploaded. A notification appears when the upload is completed:
- Sign out of both your Onshape and SSO provider accounts. Be sure to do a hard refresh of both accounts. When you reach the Onshape sign-in page once again, the page has a new Sign in link at the bottom, for your SSO provider.
Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。
トラブルシューティング
次のエラーが表示された場合
すべてのタブを閉じ、完全にサインアウトして Microsoft にサインインし直します。
Onshape に再度サインインします。
AD 管理パネルの「接続のテスト」ボタンは機能しないことに注意してください。