統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Onshape を Entra ID (旧: Azure AD) のシングルサインオンアカウントに追加する

会社のシングルサインオンを有効にするには、まず Entra ID (旧: Azure AD) のシングルサインオンアカウントに Onshape アプリケーションを追加する必要があります。

1. Microsoft Entra ID (旧: Azure AD) のポータルにサインインします。ホームページに移動します。

   

2. 検索バーに「Enterprise アプリケーション」と入力し、[Enterprise アプリケーション] を選択します。

   

3. [すべてのアプリケーション] ページの上部で、[新規アプリケーション] をクリックします。

   

4. Microsoft Entra ギャラリーの参照ページで、アプリケーションの検索フィールドで Onshape を検索します。次に、[Onshape] ボタンをクリックします。

   

5. Onshape アプリケーションペインが右側に表示されます。ペインの下部にある [作成] ボタンをクリックします。

   

   Microsoft Entra が、ユーザーに代わって新しいアプリケーションを作成します。セットアップには数秒かかる場合があることに注意してください。

6. アプリが作成されたら、[2. シングルサインオンの設定] ボタンをクリックします。

   

7. Onshape は SAML 認証のみをサポートするため、[SAML]ボックスをクリックします。

   

   シングルサインオンの保存設定が開いたら、[はい] をクリックします。

   

   SAML ベースのサインオンページが開きます。

SAML コンフィギュレーション

1. [ユーザー属性] & 要求サブセクションで、ボックスの右上隅にある [編集] をクリックします。

   

2. 開いている [ユーザー属性] &要求ページで、会社名要求をダブルクリックします。

   

3. ドメイン名プレフィックスを [ソース属性] フィールドに入力します。たとえば、Onshape Enterprise の名前が fishbowl.onshape.com の場合は、Fishbowl と入力します。入力したら、フィールドの下のエントリをさらにクリックする必要があります (下の画像のカーソルで示した場所)。

   

4. [保存] をクリックします。

   

5. ページを閉じるには、右上隅にある X をクリックします。

   

6. シングルサインオンをテストするかどうか尋ねられたら、[いいえ、後でテストします] を選択します。

   

7. SAML-based サインオンページが再度表示されます。ページは以下の画像のようになります。

   

8. ページを下にスクロールして、サブセクション 3 SAML 署名証明書に移動します。このサブセクションの下部にある「フェデレーションメタデータ XML」ダウンロードリンクをクリックします。この XML ファイルは、後でシングルサインオンコンフィギュレーションプロセスで使用されます。

   

9. このファイルが正常にダウンロードされると、右上にメッセージが表示されます。メッセージを閉じるには、X をクリックします。

   

ユーザーとグループを設定する

1. 左側のナビゲーションペインで、[ユーザーとグループ] を選択します。

   

2. [ユーザーとグループ] ページが表示されます。[ユーザー/グループを追加] をクリックします。

   

3. [割り当ての追加] ページが開きます。左側の [ユーザー - 選択なし] をクリックします。

   右側に [ユーザー] ペインが開きます。招待したいユーザーを検索して選択します。選択したユーザーは、下の [選択済みアイテム] ペインのサブセクションに移動します。選択したすべてのメンバーがこのペインに表示されたら、[選択] ボタンをクリックします。

   

4. [割り当てる] をクリックします。

   

5. [ユーザーとグループ] ページが開き、新しいユーザーが表示されます。

   

   この時点で、Microsoft Entra ポータルを離れて、Microsoft Active Directory アプリケーションダッシュボードを開くことができます。

   

Onshape での SSO プロバイダーの構成

ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。

以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。

1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

   

2. 左側のナビゲーションメニューから [認証] を選択します。

   

3. [シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。

   

4. SSO プロバイダーを作成ダイアログが開きます。

   

   1. [名前] フィールドに、カスタム SSO などの名前を入力します。

   2. [プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。

   3. [SSO プロバイダーを有効化] はオンのままにします。

   4. 今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。

      [Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。

      SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

   5. [コンフィギュレーションファイルをアップロード] ボタンをクリックします。

5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

   

6. [OK] をクリックします。

   

7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

   

8. Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。

   

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。

トラブルシューティング

次のエラーが表示された場合

すべてのタブを閉じ、完全にサインアウトして Microsoft にサインインし直します。

Onshape に再度サインインします。

AD 管理パネルの「接続のテスト」ボタンは機能しないことに注意してください。

---