OneLogin との統合
統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。
Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。
一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。
このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。
Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。
Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box. See the "Configuring the SSO provider in Onshape" section below..
Onshape 用 OneLogin SSO のセットアップ
OneLogin 管理パネルにサインインして、Onshape への新しいアプリコネクタを設定します。<yourdomain>.onelogin.com/admin に移動します。
新しいアプリケーションを追加する
- 上部のナビゲーションバーから [アプリケーション] を選択します。
- 「アプリケーション」を選択します。
- 右上隅にある [アプリを追加] をクリックします。
- SAML を検索します。
-
[SAML テストコネクタ (詳細)] を選択します。
- [表示名] を "Onshape" に設定し、任意の適用可能なアイコンを使用します。
- [保存] をクリックします。
コンフィギュレーション
アプリケーションを保存すると、さらに変更可能なオプションがあります。次のセクションでは、統合のための重要なアプリケーションの詳細を設定します。各セクションの詳細は、「テストコネクタ構成」ページを参照してください。
- RelayState: 空白のままにする
- 対象者 (EntityID): com.onshape.saml2.sp
- 受信者: https://cad.onshape.com/identity/saml2/sso
- ACS (コンシューマー) URL 検証コントロール*: https://cad.onshape.com/identity/saml2/sso$
- ACS (コンシューマー) URL*: https://cad.onshape.com/identity/saml2/sso
- シングルログアウト URL: https://<custom_onshape_domain>.onshape.com
- ログイン URL: https://<custom_onshape_domain>.onshape.com
- SAML がそれ以前は有効でない: 3 (既定値)
- SAML がそれ以降は有効でない: 3 (既定値)
- SAML イニシエータ: OneLogin (ポータルページに直接サインインする場合)
- SAML nameID 形式: Eメール
- SAML 発行者の種類: 固有
- SAML 署名要素: アサーション
- アサーションの暗号化: (チェックを外す)
- SAML 暗号化方式: TRIPLEDES-CBC (既定)
- SLO 応答に署名する: (チェックを外す)
- SAML sessionNotOnOrAfter: 1440 (既定値)
- 空の値の [属性値] タグを生成します: (チェック付き)
- SLO 要求に署名する: (チェックを外す)
パラメータ
これは、SSO ハンドシェイクの間に適切な情報を Onshape に提供するように構成する必要があります。これらの値は次のとおりです。
- NameID 値: Eメール (既定値)
-
companyName: マクロ型 (フィールドにカスタムドメイン名を入力)。たとえば、"company.onshape.com" というドメインの場合、このフィールドには "company" のみ入力してください
- firstName: [名] にマッピングし、SAML アサーションに含めます
- lastName: 姓にマッピングし、SAML アサーションに含める
SSO
ここでは、SAML 署名アルゴリズムオプションのみを設定する必要があります。
SAML メタデータをダウンロードする
これで OneLogin が設定され、保存されました。右上隅で、[その他の操作] メニューをプルダウンし、[SAML メタデータ] を選択します。これにより、ローカルマシンに XML ファイルがダウンロードされます。このファイルは、Onshape Enterprise 認証設定で、OneLogin の設定に使用されます。
Onshape での SSO プロバイダーの構成
ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。
以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。
- 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。
- 左側のナビゲーションメニューから [認証] を選択します。
-
[シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。
-
SSO プロバイダーを作成ダイアログが開きます。
-
[名前] フィールドに、カスタム SSO などの名前を入力します。
-
[プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。
-
[SSO プロバイダーを有効化] はオンのままにします。
-
今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。
-
Check Use entityid with company domain prefix if you have a multi-tenant setup (an SSO provider with multiple Enterprises).
-
[コンフィギュレーションファイルをアップロード] ボタンをクリックします。
[Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。
SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。
Typically, an SSO provider is set up for one Enterprise. If setting up a multi-tenant configuration (an SSO provider with multiple Enterprises) using SAML 2.0, the Administrator must use com.onshape.saml2.sp<domain prefix> as the Onshape Entity ID, and check the Use entityid with company domain prefix box.
-
-
以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。
-
[OK] をクリックします。
-
ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。
- Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。
Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。