Okta との統合
統合プロセスを開始する前に、Onshape Enterprise アカウントまたは試用版を要求し、承認され、Onshape Enterprise ドメイン名を持っている必要があります。
Enterprise ドメイン名は、たとえば MyCompanyName.onshape.com のような形になります。
一度に使用できる SSO プロバイダーは 1 つだけであることに注意してください。
このコンフィギュレーションプロセスは、組織用にカスタマイズしたパラメータ値がなければ、失敗する可能性があります。Okta シングルサインオンを使用し、組織に固有の値を記録します。次の手順では、これらの値が必要です。
Onshape は、送信されるすべての SAML 証明書リクエストに署名します。ADFS は受信した SAML リクエストを検証するため、ADFS 統合の場合を除き、証明書 (SAML 署名証明書など) をアップロードする必要はありません。Microsoft では、最新バージョンの ADFS から Microsoft Entra ID への移行も推奨しています。詳細は、ADFS の概要を参照してください。
Okta シングルサインオンアカウントに Onshape を追加する
Company のシングルサインオンを有効にするには、まず Okta アカウントに Onshape を追加する必要があります。
- お使いの Okta アカウントにサインインします。
- メニューリボンで アプリケーション をクリックします。
- アプリケーションを追加 ボタンをクリックします。
- 検索フィールドで「Onshape」と入力します。
- Onshape が表示されたら、追加 ボタンをクリックします。
- [Onshape を追加] ページが表示されます。
- Enterprise のドメインプレフィックスを入力します (たとえば、上記の URL から MyCompanyName など)。
- [次へ] をクリックします。
この時点で、アカウント内のユーザーに Onshape を割り当てることができます。 ユーザーへの Onshape の割り当て ページで、通常の手順に従って Onshape アプリケーションにユーザーを追加します。
シングルサインオンファイルをダウンロードする
Okta アカウントで Onshape アプリケーションへのユーザーの追加が完了したら、ID プロバイダーのメタデータファイル(Onshape ではコンフィギュレーションファイルと呼びます)をダウンロードします。
- Okta アカウントの Onshape アプリケーションページで、メニューリボンの サインオン をクリックします。
- [SAML 署名証明書] セクションで、有効な SHA-2 証明書の右にある [アクション] ボタンをクリックし、[IdP メタデータを表示]をクリックします。ページが開いたら、右クリックしてこの情報を .xml ファイルとして保存します。
コンフィギュレーションファイルを Onshape にアップロードする
Okta からメタデータファイルをダウンロードした後は、次の手順に従ってください。
- 専用のドメイン名を使用して、管理者として Onshape Enterprise アカウントにサインインします。
- [ユーザー] メニューから [Company/Enterprise 設定] を選択します。
- 左側のメニューから 認証 を選択します。
- シングルサインオン (SSO) セクションでは、次の操作に従ってください。
- コンフィギュレーションファイルをアップロード をクリックします。
- 以前にダウンロードしたメタデータファイルを選択し、開く をクリックします。
- ダイアログで SSO プロバイダーの名前を入力し、 SSO プロバイダーを有効にする チェックボックスをオンにします。
- OKをクリックします。
-
Company/Enterprise 設定の [認証] セクションに、新しく統合されたシングルサインオンがリストされています。
![2 段階認証 (2FA) とシングルサインオン (SSO) の設定が表示された [認証] ダイアログ](Resources/Images/enterprise/sso-integration.png)
- Onshape アカウントからサインアウトします。
- Onshape アカウントページのハードリフレッシュを行います。ページの下部には新しい サインイン リンクがあることに注目してください (下記の Okta リンクでサインイン する例を参照してください)。
![[Okta でサインイン] ボタンがある Onshape サインインページの例](Resources/Images/enterprise/sso-signin.png)
Onshape にサインインするには、管理者は Onshape アプリケーションを使用するために (シングルサインオンアカウントで) ユーザーをプロビジョニングする必要があります。
Okta を介した Onshape サインインを必須にする
管理者として Onshape にサインインした後、ユーザーに ID プロバイダーを介したサインインのみを要求する場合は、[Company/Enterprise設定 > 認証] ページに戻り、[Onshape パスワードサインインを無効にする] をオンにします。
ユーザーが通常行う Onshape パスワードでのサインインを無効にし、SSO プロバイダーでのサインインのみを表示するには、[Onshape パスワードサインインを無効にする] チェックボックスをオンにします。
![[SSO プロバイダーの作成] ダイアログ](Resources/Images/enterprise/okta-disablepassword.png)
ユーザーが通常行う Onshape パスワードでのサインインを無効にして、Onshape URL の SSO プロバイダーでのサインインプロンプトだけを表示することができます。ただし、この手順は現時点では実行しないでください。この追加のサインインオプションを無効にする前に、管理者として Onshape にサインインできることを確認してください。SSO プロバイダーで正しくサインインできることを確認してから、後でここに戻ることができます。
SSO を介した Onshape サインインの強制を選択すると、ユーザーは cad.onshape.com などの Enterprise 以外のドメインに直接サインインできなくなります。
Onshape パスワードでのサインインを無効にすると、ユーザーには Onshape サインインが表示されなくなり、以下と同様に Okta サインインのみ表示されるようになります。
![[Okta でサインイン] ボタンがある Onshape サインインページの例](Resources/Images/enterprise/sign_in_no_onshape_creds.png)