統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

通常、1 つの Enterprise に 1 つの SSO プロバイダーを設定します。SAML 2.0 を使用してマルチテナントコンフィギュレーション (複数の Enterprise がある SSO プロバイダー) を設定する場合、管理者は com.onshape.saml2.sp.<ドメインプレフィックス>Onshape エンティティ ID として使用し、[entityId を Company のドメインプレフィックスに使用] チェックボックスをオンにする必要があります。以下の「Onshape での SSO プロバイダーの構成」セクションを参照してください。

Government Enterprise サブスクリプションでは Google SSO は使用できません。代わりに SAML 2.0 経由でカスタム ID プロバイダーと統合してください。

  1. [アカウント設定] メニューに移動し、[Enterprise 設定] を選択します。

  2. 左側のウィンドウで [認証] を選択します。

  3. [認証] ページが開いたら、[シングルサインオン (SSO)] 見出しの下の [SSO プロバイダーを構成] を選択します。次のダイアログが開きます。

    SSO プロバイダーを作成ダイアログ

  4. たとえば、コンフィギュレーションに「Google SSO」という名前を付けます。

  5. Google のプロバイダータイプを選択します。

  6. 特定のドメイン名 (@companyname.com、@schoolname.edu など) を使用してユーザーをプロビジョニングする場合は、ドメインホワイトリストフィールドに @ 記号なしでそのドメインを入力します (この方法でユーザーをプロビジョニングすると、Enterprise SSO の自動プロビジョニング設定に応じて、自動的にフルユーザーまたはライトユーザーとして割り当てられることに注意してください。詳細は、Enterprise 設定 - 環境設定を参照し、[シングルサインオン (SSO) ユーザーの自動プロビジョニング] ドロップダウンに移動してください)。

    特定のドメイン名によるユーザーのプロビジョニングを示す [SSO プロバイダーを作成] ダイアログ

    ドメインホワイトリストを使用すると、そのドメインで有効なメールアドレスを持つすべてのユーザーに、フルユーザーとして Onshape Enterprise アカウントへのアクセスが許可されます。@gmail.com などの汎用ドメインを介したプロビジョニングには注意してください。

    特定のドメインのすべてのユーザーにエントリを付与しない場合は、そのフィールドを空のままにして、管理者が送信したメールを介してユーザーを Enterprise メンバーとして後で追加できます。メールアドレスは、ユーザーの Google SSO メールアドレスと一致する必要があります。ユーザーが既に Google アカウントを持っている場合は、メールを受信するとすぐにサインインできます。ユーザーがアカウントを持っていない場合、または保留中のアカウントを持っている場合、Onshape は Enterprise アカウントをアクティブ化し、Onshape に登録した氏名を Google プロファイルで見つかった詳細に設定します。

  7. チェックボックスをオンにして、SSO プロバイダーを有効にします。

  8. すべてのユーザーに Onshape へのサインインを SSO プロバイダー経由のみに強制する場合は、[Onshape パスワードによるサインインを無効にする] の横にあるチェックボックスをオンにします。Onshape のパスワードによるログインを無効にすると、ユーザーには Google のログインのみが表示され、Onshape のログインは表示されません。

    それらのユーザーの Onshape パスワードは無効です。

    また、管理者は Google SSO を通じた Onshape へのサインインを強制されます。管理者が Onshape 経由で直接サインインする必要がある場合は、フェイルセーフとして、パスワードおよびサインイン URL をコピーして安全な場所に保存しておくことを強くお勧めします。
    管理者用のパスワードサインイン URL の表示例

    SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。