Before starting the integration process, you must have requested, and been approved for, an Onshape Enterprise account or trial, and have an Onshape Enterprise domain name.

An example of an Enterprise domain name might be: MyCompanyName.onshape.com.

Note that you are only able to use one SSO provider at a time.

This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

手順

  1. [アカウント設定] メニューに移動し、[Enterprise 設定] を選択します。

  2. 左側のウィンドウで [認証] を選択します。

  3. [認証] ページが開いたら、[シングルサインオン (SSO)] 見出しの下の [SSO プロバイダーを構成する] を選択します。次のダイアログが開きます。

    SSO プロバイダーの作成ダイアログ

  4. たとえば、コンフィギュレーションに「Google SSO」という名前を付けます。

  5. Google のプロバイダータイプを選択します。

  6. 特定のドメイン名 (@companyname.com、@schoolname.edu など) を使用してユーザーをプロビジョニングする場合は、ドメインホワイトリストフィールドに @ 記号なしでそのドメインを入力します (この方法でユーザーをプロビジョニングすると、Enterprise SSO の自動プロビジョニング設定に応じて、自動的にフルユーザーまたはライトユーザーとして割り当てられることに注意してください。詳細は、Enterprise 設定 - 環境設定を参照し、[シングルサインオン (SSO) ユーザーの自動プロビジョニング] ドロップダウンに移動してください)。

    特定のドメイン名によるユーザーのプロビジョニングを示す [SSO プロバイダーの作成] ダイアログ

    ドメインホワイトリストを使用すると、そのドメインで有効なメールアドレスを持つすべてのユーザーに、フルユーザーとして Onshape Enterprise アカウントへのアクセスが許可されます。@gmail.com などの汎用ドメインを介したプロビジョニングには注意してください。

    特定のドメインのすべてのユーザーにエントリを付与しない場合は、そのフィールドを空のままにして、管理者が送信したメールを介してユーザーを Enterprise メンバーとして後で追加できます。メールアドレスは、ユーザーの Google SSO メールアドレスと一致する必要があります。ユーザーが既に Google アカウントを持っている場合は、メールを受信するとすぐにサインインできます。ユーザーがアカウントを持っていない場合、または保留中のアカウントを持っている場合、Onshape は Enterprise アカウントをアクティブ化し、Onshape に登録した氏名を Google プロファイルで見つかった詳細に設定します。

  7. チェックボックスをオンにして、SSO プロバイダーを有効にします。

  8. If you wish to enforce all users to sign in to Onshape via the SSO provider only, check the box next to "Disable Onshape password sign in". When you disable Onshape password sign in, users will see only the sign in for Google, and not for Onshape.

    それらのユーザーの Onshape パスワードは無効です。

    The administrator will also be forced to sign in to Onshape through the Google SSO. As a failsafe, it is highly recommended that admins copy the Password sign in URL and save it in a safe place, in the event they need to sign in directly through Onshape:
    管理者用のパスワードサインイン URL の表示例

    Choosing to enforce signing in to Onshape via SSO also results in users not being able to sign in to non-enterprise domains directly, such as cad.onshape.com.