統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。

Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。

一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。

このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。

Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。

Onshape 用 OneLogin SSO のセットアップ

OneLogin 管理パネルにサインインして、Onshape への新しいアプリコネクタを設定します。<yourdomain>.onelogin.com/admin に移動します。

新しいアプリケーションを追加する

1. 上部のナビゲーションバーから [アプリケーション] を選択します。
2. 「アプリケーション」を選択します。

3. 右上隅にある [アプリを追加] をクリックします。
4. SAML を検索します。

5. [SAML テストコネクタ (詳細)] を選択します。

6. [表示名] を "Onshape" に設定し、任意の適用可能なアイコンを使用します。
7. [保存] をクリックします。

コンフィギュレーション

アプリケーションを保存すると、さらに変更可能なオプションがあります。次のセクションでは、統合のための重要なアプリケーションの詳細を設定します。各セクションの詳細は、「テストコネクタ構成」ページを参照してください。

1. RelayState: 空白のままにする
2. 対象者 (EntityID): com.onshape.saml2.sp
3. 受信者: https://cad.onshape.com/identity/saml2/sso
4. ACS (コンシューマー) URL 検証コントロール*: https://cad.onshape.com/identity/saml2/sso$
5. ACS (コンシューマー) URL*: https://cad.onshape.com/identity/saml2/sso
6. シングルログアウト URL: https://<custom_onshape_domain>.onshape.com
7. ログイン URL: https://<custom_onshape_domain>.onshape.com
8. SAML がそれ以前は有効でない: 3 (既定値)
9. SAML がそれ以降は有効でない: 3 (既定値)
10. SAML イニシエータ: OneLogin (ポータルページに直接サインインする場合)
11. SAML nameID 形式: Eメール
12. SAML 発行者の種類: 固有
13. SAML 署名要素: アサーション
14. アサーションの暗号化: (チェックを外す)
15. SAML 暗号化方式: TRIPLEDES-CBC (既定)
16. SLO 応答に署名する: (チェックを外す)
17. SAML sessionNotOnOrAfter: 1440 (既定値)
18. 空の値の [属性値] タグを生成します: (チェック付き)
19. SLO 要求に署名する: (チェックを外す)

パラメータ

これは、SSO ハンドシェイクの間に適切な情報を Onshape に提供するように構成する必要があります。これらの値は次のとおりです。

1. NameID 値: Eメール (既定値)

2. companyName: マクロ型 (フィールドにカスタムドメイン名を入力)。たとえば、"company.onshape.com" というドメインの場合、このフィールドには "company" のみ入力してください

3. firstName: [名] にマッピングし、SAML アサーションに含めます
4. lastName: 姓にマッピングし、SAML アサーションに含める

SSO

ここでは、SAML 署名アルゴリズムオプションのみを設定する必要があります。

SAML メタデータをダウンロードする

これで OneLogin が設定され、保存されました。右上隅で、[その他の操作] メニューをプルダウンし、[SAML メタデータ] を選択します。これにより、ローカルマシンに XML ファイルがダウンロードされます。このファイルは、Onshape Enterprise 認証設定で、OneLogin の設定に使用されます。

Onshape での SSO プロバイダーの構成

ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。

以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。

1. 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。

   

2. 左側のナビゲーションメニューから [認証] を選択します。

   

3. [シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。

   

4. SSO プロバイダーを作成ダイアログが開きます。

   

   1. [名前] フィールドに、カスタム SSO などの名前を入力します。

   2. [プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。

   3. [SSO プロバイダーを有効化] はオンのままにします。

   4. 今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。

      [Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。

      SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。

   5. [コンフィギュレーションファイルをアップロード] ボタンをクリックします。

5. 以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。

   

6. [OK] をクリックします。

   

7. ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。

   

8. Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。

   

Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。

---