統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box. See the "Configuring the SSO provider in Onshape" section below..

Onshape を PingOne シングルサインオンアカウントに追加する

Company シングルサインオンを有効にするには、まず PingOne シングルサインオンアカウントに Onshape アプリケーションを追加する必要があります。

  1. 管理者として PingOne ポータルにサインインします。左側のナビゲーションペインで、[接続] アイコンをクリックします。

    2. PingIdentity ページ、左側のナビゲーションバーから [接続] をクリック

  2. [アプリケーションの追加] をクリックします。

    [アプリケーションの追加] ボタンが表示された [PingIdentity アプリケーション] ページ

  3. [Web アプリケーション] ボックスをクリックします。次に、SAML 接続タイプの右側にある [構成] ボタンをクリックします。

    [Web アプリ] ボックスをクリックし、[SAML 接続タイプ] ダイアログの [構成] ボタンをクリックする

  4. 開いている[アプリケーションプロファイルの作成] タブで、アプリケーション名と説明を入力します。次に、ペインの下部にある [次へ] ボタンをクリックします。

    アプリケーション名と説明が記載された [アプリケーションプロファイルの作成] ページ

  5. 開いている [SAMLの構成] タブで、ACS URL フィールドに https://cad.onshape.com/identity/saml2/sso と入力します。

    6. 上記の ACS の URL は、Onshape Enterprise の URL ではなく「cad.onshape.com」である必要があります。

    メタデータファイルの概要を含む [SAML 接続の構成] ページ

  6. 同じタブで下にスクロールして、[エンティティ ID] フィールドに com.onshape.saml2.sp[アサーション有効期間 (秒)] フィールドに 300 と入力します。次に、[保存して続行する] ボタンをクリックします。

    [PingIdentity Onshape アプリケーション] ページ。エンティティ ID とアサーションの有効性が概説されている。

  7. [マップ属性] タブで、[PingOne ユーザー属性] ドロップダウンリストから電子メールアドレスを選択します。

    SAML 属性の概要が表示された [属性のマッピング] ページ

  8. 同じタブで、次の 3 つの SAML 属性を作成します。

    1. [属性の追加] リンクをクリックし、ドロップダウンリストから [静的属性] を選択します。これにより最初の静的属性が作成されます。[静的キー] フィールドに firstName、[静的値] フィールドにを入力します。

    2. [属性の追加] リンクを再度クリックし、ドロップダウンリストから [静的属性] を選択します。これにより、2 番目の静的属性が作成されます。[静的キー] フィールドに lastName、[静的値] フィールドにを入力します。

    3. [属性の追加] リンクを再度クリックし、ドロップダウンリストから [静的属性] を選択します。これにより、3 番目の静的属性が作成されます。[静的キー] フィールドに、companyName、[静的値] フィールドにドメイン名プレフィックスを入力します。たとえば、Onshape Enterprise 名が fishbowl.onshape.com の場合は、Fishbowl と入力します。

      4. [SAML 属性] ページから [静的属性] を選択する

  9. 3 つの SAML 属性がすべて入力されると、下の画像のようになります。[保存して閉じる] ボタンをクリックします。

    [SAML 属性] ページの [属性のマッピング]

  10. 「アプリケーション」ウィンドウが開きます。[平均デイリーサインオン] スイッチをクリックして、アプリケーションへのサインオンを有効にします。アプリケーションが正常に保存されたことを示す通知が右上隅に表示されます。

    [平均デイリーサインオン] をオンにするスイッチが表示されている [アプリケーション] ページ

  11. [コンフィギュレーション] サブセクションをクリックします。次に、[ダウンロード] ボタンをクリックして、メタデータファイルをダウンロードします。このファイルが正常にダウンロードされると、右上にメッセージが表示されます。メッセージを閉じるには、 X をクリックします。

    [アプリケーション] ページで [構成]、[メタデータファイルのダウンロード] の順にクリックする

Onshape での SSO プロバイダーの構成

ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。

以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。

  1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

    [マイアカウント] メニューに移動し、[Enterprise 設定] ボタンをクリックする

  2. 左側のナビゲーションメニューから [認証] を選択します。

    左側のナビゲーションメニューから [認証] を選択する

  3. [シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。

    [シングルサインオン (SSO)] 設定の [SSO プロバイダーを構成] をクリックする

  4. SSO プロバイダーを作成ダイアログが開きます。

    SSO プロバイダーの作成ダイアログ

    1. [名前] フィールドに、カスタム SSO などの名前を入力します。

    2. [プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。

    3. [SSO プロバイダーを有効化] はオンのままにします。

    4. 今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。

      5. [Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。

      SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

    5. Check Use entityid with company domain prefix if you have a multi-tenant setup (an SSO provider with multiple Enterprises).

      6. Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box.

    6. [コンフィギュレーションファイルをアップロード] ボタンをクリックします。

  5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

    以前にダウンロードした XLM メタデータファイルを開く

  6. [OK] をクリックします。

    [OK] をクリックして SSO プロバイダーの作成を完了させる

  7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

    SSO 構成ファイルが正常にアップロードされたことを示す通知

  8. Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。

    Onshape のサインイン画面

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。