統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる (シングルサインオン) SSO プロバイダーは 1 つだけです。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタムシングルサインオンダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Onshape をカスタムシングルサインオンアカウントに追加する

各 ID プロバイダ (IdP) には、独自のセットアップ手順があります。従うべき正確な手順については、ID プロバイダーのシングルサインオンの設定手順を参照してください。このセクションの手順は一般的なガイドラインとしてのみ使用することを意図しています。

Onshape は SAML HTTP-POST バインディングのみをサポートします。
Onshape には、SAML 設定をメタデータ XML ファイルとして表現する方法がありません。

ID プロバイダコンソールで、新しい信頼関係 (「証明書利用者」と呼ばれることもあります) を次の設定で作成します。

  1. Assertion Consumer Service (ACS) の URL: https://cad.onshape.com/identity/saml2/sso

  2. エンティティ ID: com.onshape.saml2.sp

  3. アサーションサブジェクトの NameID 値。これは SAML アサーションに対応するユーザーの E メールアドレスです。

  4. Onshape で必要な 3 つの SAML アサーション属性 (「要求」と呼ばれることもあります):

    • firstName - アサーションサブジェクトの名

    • lastName - アサーションサブジェクトの姓

    • companyName - アサーションサブジェクトの会社。ほとんどの場合、会社名は企業のドメインプレフィックスと同じです。たとえば、Onshape の Enterprise 名が fishbowl.onshape.com の場合、このフィールドに fishbowlと入力します。

  5. SAML IdP メタデータ XML ファイルを探して、クリップボードにコピーします。これは、後続のプロセスで必要になります。

  6. Onshape SSO アクセスを提供するすべてのユーザーが新しい信頼関係を使用できるようにします。

メタデータコンフィギュレーションファイルを Onshape にアップロードする

  1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

    [マイユーザーアカウント] メニューの [Enterprise 設定] にアクセスする

  2. 左側のナビゲーションメニューから 認証を選択します。

    Onshape での SSO の設定 ステップ 2

  3. [シングルサインオン (SSO)] サブセクションで、[SSOプロバイダー を構成する] ボタンをクリックします。

    Enterprise 設定メニュー項目

  4. SSO プロバイダーの作成ダイアログが開きます。[名前] フィールドに、名前、ここでは、カスタム IDP とされている通常はアイデンティティプロバイダの名前を入力します。そして、[プロバイダの種類] ドロップダウンで、[カスタムSSO] を選択します。次に、[コンフィギュレーションファイルをアップロードする] ボタンをクリックします。

    SSO プロバイダーを作成し、構成ファイルをアップロードする

  5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

    Windows のダイアログボックスを開く

  6. [OK] をクリックします。

  7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

    8. ユーザーが通常行う Onshape パスワードでのサインインを無効にして、Onshape URL の SSO プロバイダーでのサインインプロンプトだけを表示することができます。ただし、この手順は現時点では実行しないでください。この追加のサインインオプションを無効にする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーで正しくサインインできることを確認してから、後でここに戻ることができます。

    SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

  8. Onshape アカウントとカスタム ID プロバイダーアカウントの両方からサインアウトします。両方のアカウントをしっかりとリフレッシュしてください。Onshape のサインインページに再度アクセスすると、ページの下部にシングルサインオンプロバイダー用の新しい サインイン リンクが表示されます。

    Onshape のサインイン画面