Before starting the integration process, you must have requested, and been approved for, an Onshape Enterprise account or trial, and have an Onshape Enterprise domain name.

An example of an Enterprise domain name might be: MyCompanyName.onshape.com.

Note that you are only able to use one SSO provider at a time.

This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Onshape を ClassLink シングルサインオンアカウントに追加する

1. ClassLink SAML コンソールに移動し、[会社名] フィールドに次の値を入力します。



2. メタデータ URL またはテキスト - お客様は ClassLink IDP メタデータ URL を提供する必要があります。

3. ログイン URL - 地区コードがログイン URL のボックスに追加されるか、既定のログイン URL の場合はこのフィールドを空のままにします。

4. ICON URL - ここをクリックしてアプリケーションを検索し、右クリックしてリンクアドレスをコピーして、ボックスに入力します (下図参照)。

   

5. 属性マッピング - 次の属性を入力します。

   • [名前] ボックスで指定した名前を選択し、名前を変更します。

   • 姓を選択し、[姓] ボックスで名前を変更します。

   • [Eメール] ボックスで [Eメール] を選択し、名前を変更します。

   • カスタム属性を選択し、名前を「CompanyName」に変更します。次に、会社名を入力します。
     会社名は、教育機関のドメインプレフィックスと同じです。たとえば、Onshape Enterprise の名前が Fishbowl.onshape.com の場合は、Fishbowlと入力します。

6. メタデータのオーバーライド

   • オーバーライドするフィールドから [名前 ID 形式] を選択し、[emailAddress] を選択します。

   • オーバーライドするフィールドから [署名アルゴリズム] を選択し、[RSA_SHA256] を選択します。

   • オーバーライドするフィールドから NameID 値を選択し、Eメールを選択します。

   • オーバーライドするフィールドから Saml NotBefore を選択し、3 を追加します。

7. 更新して保存します。

   IDP 開始ログイン URL を選択してコピーして、ローカルライブラリにアプリを追加します。

   

Onshape には、ClassLink を使用する SSO のメタデータコンフィギュレーションファイルが必要です。ClassLink に問い合わせて、次のステップを完了するのに必要なメタデータファイルを入手してダウンロードしてください。

Configure the SSO Provider in Onshape

Once Onshape is configured in the identity provider and you have downloaded the identity provider's metadata file (referred to in Onshape as the configuration file), the SSO provider can be configured in Onshape.

The example images below shows a generic identity provider being configured, but the steps are the same for all identity providers.

1. Sign in to your Onshape Enterprise account, using your specialized domain name, as an administrator. Select Enterprise settings from your account:

   

2. Select Authentication from the left navigation menu:

   

3. In the Single sign-on (SSO) subsection, click the Configure SSO provider button:

   

4. The Create SSO provider dialog opens:

   

   1. In the Name field, enter name, such as Custom SSO

   2. In the Provider type dropdown, select your SSO provider from the list.

   3. Leave Enable SSO provider checked.

   4. Leave Disable Onshape password sign in unchecked for the moment.

      Disable Onshape password sign in disables the typical Onshape password sign in for you and your users. Only the SSO provider sign in prompt is displayed for the Onshape URL. Before checking this option, ensure you can sign in to Onshape yourself (as administrator). You can return here later and enable it once sign in through your SSO provider is verified to work correctly.

      Choosing to enforce signing in to Onshape via SSO also results in users not being able to sign in to non-enterprise domains directly, such as cad.onshape.com.

   5. Click the Upload configuration file button:

5. Locate and select the metadata configuration file you downloaded previously, and click Open:

   

6. Click OK:

   

7. The file is uploaded. A notification appears when the upload is completed:

   

8. Sign out of both your Onshape and SSO provider accounts. Be sure to do a hard refresh of both accounts. When you reach the Onshape sign-in page once again, the page has a new Sign in link at the bottom, for your SSO provider.

   

In order to sign in to Onshape, administrators must provision their users (in their single sign on account) to use the Onshape application.

---