OneLogin との統合
統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。
Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。
一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。
このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がないと失敗することがあります。カスタム SSO ID プロバイダー (Okta、PingOne、ClassLink など) ダッシュボードを使用して、Onshape をアプリケーションとして追加し、組織に固有の値を記録します。次の手順では、これらの値が必要です。
Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。
Onshape 用 OneLogin SSO のセットアップ
OneLogin 管理パネルにサインインして、Onshape への新しいアプリコネクタを設定します。<yourdomain>.onelogin.com/admin に移動します。
新しいアプリケーションを追加する
- 上部のナビゲーションバーから [アプリケーション] を選択します。
- 「アプリケーション」を選択します。
- 右上隅にある [アプリを追加] をクリックします。
- SAML を検索します。
-
[SAML テストコネクタ (詳細)] を選択します。
- [表示名] を "Onshape" に設定し、任意の適用可能なアイコンを使用します。
- [保存] をクリックします。
コンフィギュレーション
アプリケーションを保存すると、さらに変更可能なオプションがあります。次のセクションでは、統合のための重要なアプリケーションの詳細を設定します。各セクションの詳細は、「テストコネクタ構成」ページを参照してください。
- RelayState: 空白のままにする
- 対象者 (EntityID): com.onshape.saml2.sp
- 受信者: https://cad.onshape.com/identity/saml2/sso
- ACS (コンシューマー) URL 検証コントロール*: https://cad.onshape.com/identity/saml2/sso$
- ACS (コンシューマー) URL*: https://cad.onshape.com/identity/saml2/sso
- シングルログアウト URL: https://<custom_onshape_domain>.onshape.com
- ログイン URL: https://<custom_onshape_domain>.onshape.com
- SAML がそれ以前は有効でない: 3 (既定値)
- SAML がそれ以降は有効でない: 3 (既定値)
- SAML イニシエータ: OneLogin (ポータルページに直接サインインする場合)
- SAML nameID 形式: Eメール
- SAML 発行者の種類: 固有
- SAML 署名要素: アサーション
- アサーションの暗号化: (チェックを外す)
- SAML 暗号化方式: TRIPLEDES-CBC (既定)
- SLO 応答に署名する: (チェックを外す)
- SAML sessionNotOnOrAfter: 1440 (既定値)
- 空の値の [属性値] タグを生成します: (チェック付き)
- SLO 要求に署名する: (チェックを外す)
パラメータ
これは、SSO ハンドシェイクの間に適切な情報を Onshape に提供するように構成する必要があります。これらの値は次のとおりです。
- NameID 値: Eメール (既定値)
-
companyName: マクロ型 (フィールドにカスタムドメイン名を入力)。たとえば、"company.onshape.com" というドメインの場合、このフィールドには "company" のみ入力してください
- firstName: [名] にマッピングし、SAML アサーションに含めます
- lastName: 姓にマッピングし、SAML アサーションに含める
SSO
ここでは、SAML 署名アルゴリズムオプションのみを設定する必要があります。
SAML メタデータをダウンロードする
これで OneLogin が設定され、保存されました。右上隅で、[その他の操作] メニューをプルダウンし、[SAML メタデータ] を選択します。これにより、ローカルマシンに XML ファイルがダウンロードされます。このファイルは、Onshape Enterprise 認証設定で、OneLogin の設定に使用されます。
Onshape での SSO プロバイダーの構成
ID プロバイダーで Onshape を構成し、ID プロバイダーのメタデータファイル (Onshape ではコンフィギュレーションファイルと呼びます) をダウンロードしたら、Onshape で SSO プロバイダーを構成できます。
以下の画像の例は、構成中の汎用 ID プロバイダーを示していますが、手順はすべての ID プロバイダーで同じです。
- 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。アカウントから Enterprise 設定を選択します。
- 左側のナビゲーションメニューから [認証] を選択します。
-
[シングルサインオン (SSO)] サブセクションで、[SSO プロバイダーを構成] ボタンをクリックします。
-
SSO プロバイダーを作成ダイアログが開きます。
-
[名前] フィールドに、カスタム SSO などの名前を入力します。
-
[プロバイダータイプ] ドロップダウンで、一覧から SSO プロバイダーを選択します。
-
[SSO プロバイダーを有効化] はオンのままにします。
-
今のところ、[Onshape パスワードによるサインインを無効にする] チェックはオフのままにしておきます。
[Onshape パスワードによるサインインを無効にする] をオンにすると、自分とユーザーの通常の Onshape パスワードサインインが無効になります。Onshape の URL には SSO プロバイダーのサインインプロンプトのみが表示されます。このオプションをチェックする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーからのサインインが正しく機能することが確認されたら、後でここに戻って有効にできます。
SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。
-
[コンフィギュレーションファイルをアップロード] ボタンをクリックします。
-
-
以前にダウンロードしたメタデータコンフィギュレーションファイルを探して選択し、[開く] をクリックします。
-
[OK] をクリックします。
-
ファイルがアップロードされます。アップロードが完了すると、通知が表示されます。
- Onshape アカウントと SSO プロバイダーアカウントの両方からサインアウトします。両方のアカウントを必ず更新してください。Onshape のサインインページに再度アクセスすると、ページの下部に SSO プロバイダー用の新しい [サインイン] リンクが表示されます。
Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。