統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Onshape を PingOne シングルサインオンアカウントに追加する

Company シングルサインオンを有効にするには、まず PingOne シングルサインオンアカウントに Onshape アプリケーションを追加する必要があります。

1. 管理者として PingOne ポータルにサインインします。左側のナビゲーションペインで、[接続] アイコンをクリックします。



2. [アプリケーションの追加] をクリックします。

   

3. [Web アプリケーション] ボックスをクリックします。次に、SAML 接続タイプの右側にある [構成] ボタンをクリックします。

   

4. 開いている[アプリケーションプロファイルの作成] タブで、アプリケーション名と説明を入力します。次に、ペインの下部にある [次へ] ボタンをクリックします。

   

5. 開いている [SAMLの構成] タブで、ACS URL フィールドに https://cad.onshape.com/identity/saml2/sso と入力します。

上記の ACS の URL は、Onshape Enterprise の URL ではなく「cad.onshape.com」である必要があります。



6. 同じタブで下にスクロールして、[エンティティ ID] フィールドに com.onshape.saml2.sp、[アサーション有効期間 (秒)] フィールドに 300 と入力します。次に、[保存して続行する] ボタンをクリックします。

   

7. [マップ属性] タブで、[PingOne ユーザー属性] ドロップダウンリストから電子メールアドレスを選択します。

   

8. 同じタブで、次の 3 つの SAML 属性を作成します。

   1. [属性の追加] リンクをクリックし、ドロップダウンリストから [静的属性] を選択します。これにより最初の静的属性が作成されます。[静的キー] フィールドに firstName、[静的値] フィールドに名を入力します。

   2. [属性の追加] リンクを再度クリックし、ドロップダウンリストから [静的属性] を選択します。これにより、2 番目の静的属性が作成されます。[静的キー] フィールドに lastName、[静的値] フィールドに姓を入力します。

   3. [属性の追加] リンクを再度クリックし、ドロップダウンリストから [静的属性] を選択します。これにより、3 番目の静的属性が作成されます。[静的キー] フィールドに、companyName、[静的値] フィールドにドメイン名プレフィックスを入力します。たとえば、Onshape Enterprise 名が fishbowl.onshape.com の場合は、Fishbowl と入力します。

   

9. 3 つの SAML 属性がすべて入力されると、下の画像のようになります。[保存して閉じる] ボタンをクリックします。

   

10. 「アプリケーション」ウィンドウが開きます。[平均デイリーサインオン] スイッチをクリックして、アプリケーションへのサインオンを有効にします。アプリケーションが正常に保存されたことを示す通知が右上隅に表示されます。

    

11. [コンフィギュレーション] サブセクションをクリックします。次に、[ダウンロード] ボタンをクリックして、メタデータファイルをダウンロードします。このファイルが正常にダウンロードされると、右上にメッセージが表示されます。メッセージを閉じるには、 X をクリックします。

    

Onshape での SSO プロバイダーの構成

ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。

以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。

1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

   

2. 左側のナビゲーションメニューから [認証] を選択します。

   

3. [シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。

   

4. SSO プロバイダーを作成ダイアログが開きます。

   

   1. [名前] フィールドに、カスタム SSO などの名前を入力します。

   2. [プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。

   3. [SSO プロバイダーを有効化] はオンのままにします。

   4. 今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。

      [Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。

      SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

   5. [コンフィギュレーションファイルをアップロード] ボタンをクリックします。

5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

   

6. [OK] をクリックします。

   

7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

   

8. Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。

   

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。

---