与 Microsoft ADFS 相集成
在开始整合过程之前,您必须已经申请并核准了 Onshape Enterprise 帐户或试用版,并且拥有 Onshape Enterprise 域名。
Enterprise 域名的一个例子可能是:MyCompanyName.onshape.com。
请注意,您一次只能使用一个 SSO 提供程序。
如果没有为您的组织自定义参数值,此配置过程可能会失败。使用您的自定义 SSO 身份提供商(例如:Okta、PingOne 或 ClassLink)仪表板将 Onshape 添加为应用程序,并记录特定于您的组织的值。以下过程需要这些值。
Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书(例如,SAML 签名证书),ADFS 集成除外,因为 ADFS 会验证传入的 SAML 请求。请注意,Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息,请参阅 ADFS 概述。
通常,单点登录 (SSO) 提供商是为一个企业设置的。如果使用 SAML 2.0 设置多租户配置(即支持多个企业的 SSO 提供商),则管理员必须使用 com.onshape.saml2.sp. <域前缀> 作为 OnShape 实体 ID,并选中“使用带公司域前缀的图元 ID”复选框。请参见下方的“在 OnShape 中配置 SSO 提供商”部分。
在 ADFS 管理应用程序中创建“信赖方信任”
- 在您的 ADFS 门户中,导航到“信赖方信任”,然后导航到“添加信赖方信任…”
- 选择“申请感知”。
- 选择“手动输入有关信赖方的数据”。
- 选择“启用 SAML 2.0 WebSSO 协议支持”。
- 将“信赖方 SAML 2.0 SSO 服务 URL”设置为 https://cad.onshape.com/identity/saml2/sso
- 将“信赖方信任标识符”设置为 com.onshape.saml2.sp
设置 SP 证书和哈希算法
- 双击使用上述指令创建的 RP 信任。
- 在“签名”选项卡上,添加合适的证书。
- 在“高级”选项卡上,将哈希算法设置为“SHA-1”。
配置申请
- 在 RP 信任上单击鼠标右键,然后选择“编辑申请发布政策”。
- 添加下面显示的三个规则(使用规则 3 中的企业的 DNS 前缀)
- 规则 1 模板:“将 LDAP 属性发送为申请”
- 规则 2 模板:“通过或筛选传入的申请”
- 规则 3 模板:“使用自定义规则发送申请”
从以下地址下载 ADFS 元数据文件:https://<server>/federationmetadata/2007-06/federationmetadata.xml
然后将其上传到 Onshape。
确保使用您的 ADFS 服务器的主机名替换 <server>。
确保使用您的公司名称值替换“Onshape DNS prefix here”,如上所示。例如,如果您的 Onshape 域为 acme.Onshape.com,请使用“acme”作为此输入框的值。
在 OnShape 中配置 SSO提供程序
在身份提供程序中配置了 Onshape 并下载了身份提供程序的元数据文件(在 Onshape 中称为配置文件)后,即可在 Onshape 中配置 SSO提供程序。
下面的示例图像显示了正在配置的通用身份提供程序,但所有身份提供程序的步骤都相同。
- 以管理员身份使用专门的域名登录您的 Onshape Enterprise 帐户。从帐户中选择“Enterprise 设置”:
- 从左侧导航菜单中选择“身份验证”:
-
在单点登录 (SSO) 子部分中,单击“配置 SSO 提供程序”按钮:
-
“创建 SSO 提供程序”对话框打开:
-
在“名称”输入框中,输入名称,例如“自定义 SSO”
-
在“提供程序类型”下拉列表中,从列表中选择您的 SSO 提供程序。
-
选中“启用 SSO 提供程序”。
-
暂时取消选中“禁用 Onshape 密码登录”。
-
如果您有多租户设置(具有多个企业的 SSO 提供程序),请选中使用带公司域前缀的实体 ID。
-
单击“上传配置文件”按钮:
禁用 Onshape 密码登录会禁用您和您的用户使用典型的 Onshape 密码登录。对于 Onshape URL,仅显示 SSO 提供程序登录提示。在选中此选项之前,请确保您可以自己(以管理员身份)登录 Onshape。您可以稍后返回此处,并在验证通过 SSO 提供程序登录后将其启用。
选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域,例如 cad.onshape.com。
通常,单点登录 (SSO) 提供商是为一个企业设置的。如果使用 SAML 2.0 设置多租户配置(即支持多个企业的 SSO 提供商),则管理员必须使用 com.onshape.saml2.sp. <域前缀> 作为 OnShape 实体 ID,并选中“使用带公司域前缀的实体 ID”复选框。
-
-
找到并选择之前下载的元数据配置文件,然后单击“打开”。
-
单击“确定”:
-
将上传该文件。上传完成后,系统会显示通知:
- 退出登录 Onshape 和SSO 身份提供程序帐户。请确保针对两个帐户页面执行硬刷新。再次到达 Onshape 登录页面时,该页面的底部有一个用于单点登录提供程序的新登录链接。
要登录到 Onshape,管理员必须(在其单点登录帐户中)将其用户配置为使用 Onshape 应用程序。