在开始整合过程之前,您必须已经申请并核准了 Onshape Enterprise 帐户或试用版,并且拥有 Onshape Enterprise 域名。

Enterprise 域名的一个例子可能是:MyCompanyName.onshape.com。

您一次只能使用一个 SSO(单点登录)提供程序。

This configuration process might fail without parameter values customized for your organization. Use your Microsoft Entra ID (formerly Azure AD) single sign-on dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书(例如,SAML 签名证书),ADFS 集成除外,因为 ADFS 会验证传入的 SAML 请求。请注意,Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息,请参阅 ADFS 概述

Add Onshape to your Entra ID (formerly Azure AD) single sign-on account

To enable single sign-on for your company, you must first add the Onshape application to your Entra ID (formerly Azure AD) single sign-on account:

  1. Sign in to the Microsoft Entra ID (formerly Azure AD) portal. You are taken to the home page.

    登录到 Microsoft Azure 门户

  2. In the search bar, enter Enterprise applications and select Enterprise applications.

    Selecting Enterprise applications from the search bar

  3. 在“所有应用程序”页面顶部,单击新建应用程序

    从“企业应用程序”页面中选择“新建应用程序”的示例

  4. On the Browse Microsoft Entra Gallery page, search for Onshape in the Search application field. Then click the Onshape button.

    Example searching for Onshape in the Browse Entra Gallery page

  5. Onshape 应用程序窗格将在右侧打开。单击该窗格底部的创建按钮。

    选择并打开 Onshape 应用程序

    Microsoft Entra creates the new application for you. Be aware this can take a few seconds to set up.

  6. Once the app is created, click the 2. Set up single sign on button.

    选择“设置单点登录”选项

  7. Since Onshape supports only SAML authentication, click the SAML box.

    在“单点登录”页面上单击 SAML 选项

    如果打开“保持单点登录设置”,请单击

    单击“是”以保存单点登录设置

    基于 SAML 的单点登录页面将会打开。

SAML 配置

  1. 在“用户属性和申请”子部分中,单击对话框右上角的编辑

    在基于 SAML 的登录页面上单击以编辑“用户属性和申请”

  2. 在打开的“用户属性和申请”页面中,双击 companyName 申请。

    在“用户属性和申请”页面上选择 CompanyName 申请

  3. 源属性输入框中输入域名前缀。例如,如果您的 Onshape Enterprise 名称前缀为 Fishbowl.onshape.com,则在输入框中输入 Fishbowl。输入后,您需要另外单击该输入框下方的条目(如下图中的光标所示)。

    管理申请的示例

  4. 单击保存

    从“管理申请”页面中保存申请的示例

  5. 单击右上角的 X 以关闭该页面。

    关闭“用户属性和申请”页面

  6. 如果系统询问是否测试单点登录,请选择不,稍后测试

    在基于 SAML 的登录页面上单击“不,稍后测试”按钮

  7. 基于 SAML 的单点登录页面会再次显示。您的页面应与下图类似。

    显示已完成申请的示例

  8. 将页面向下滚动到子部分 3 SAML 注册证书。在此子部分底部,单击“联合元数据 XML”下载链接。此 XML 文件稍后会在单点登录配置过程中使用。

    下载联合元数据 XML 文件

  9. 在成功下载此文件后,右上角会显示相应消息。单击 X 以关闭该消息。

    关闭已完成下载通知

设置用户和组

  1. 在左侧导航窗格中,选择用户和组

    从基于 SAML 的登录页面左侧的导航菜单中选择“用户和组”

  2. “用户和组”页面将会显示。单击添加用户/组

    从“用户和组”页面中单击“添加用户/组”按钮

  3. “添加分配”页面将会打开。在左侧,单击用户 - 未选择

    “用户”窗格将在右侧打开。进行搜索,然后选择要邀请的用户。每位用户都会移至下面的选定的项目窗格子部分。在此窗格中列出所有选定成员后,单击选择按钮。

    将用户分配到用户组/团队

  4. 单击分配

    在“添加分配”页面上单击“分配”按钮

  5. “用户和组”页面将显示新用户。

    将新用户添加到了“用户和组”页面

    At this point, you can leave the Microsoft Entra portal and open your Microsoft active directory application dashboard.

    Microsoft Active Directory 应用程序仪表板的示例

在 Onshape 中上传 XML 配置文件

  1. 以管理员身份使用专门的域名登录您的 Onshape 企业帐户。从帐户中选择 Enterprise 设置

    选择“我的帐户”>“企业设置”

  2. 从左侧导航菜单中选择身份验证

    从左侧导航面板中选择“身份验证”

  3. 在单点登录 (SSO) 子部分中,单击配置 SSO 提供程序按钮。

    在“身份验证”页面上单击“配置 SSO 提供程序”按钮

  4. “创建 SSO 提供程序”对话框将会打开。在名称输入框中,输入三个字母组成的名称,例如 MSA。在提供程序类型下拉列表中,选择 Microsoft Azure。然后单击上传配置文件按钮。

    创建 SSO 提供程序对话框

  5. 找到并选择之前下载的 XML 文件,然后单击打开

    打开 XML 元数据文件

  6. 单击确定

    单击“确定”以完成 SSO 提供程序的创建

  7. 将上传该文件。上传完成后,系统会显示通知。

    接收有关已成功上传 XML 文件的通知

    8. 您可以为用户禁用典型的 Onshape 密码登录并仅为 Onshape URL 显示 SSO 提供程序登录提示。但是,目前请勿执行此步骤。请先确保您可以自行登录到 Onshape(以管理员身份),然后再禁用此附加登录选项。已验证通过 SSO 提供程序的登录可正常工作后,您可以稍后返回此处。

    选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域,例如 cad.onshape.com。

  8. 退出登录 Onshape 和 Microsoft 帐户。请确保针对两个帐户页面执行硬刷新。再次到达 Onshape 登录页面时,该页面的底部有一个用于单点登录提供程序的新登录链接。

    使用“通过 Microsoft 登录”(SSO) 按钮登录到 Onshape

要登录到 Onshape,管理员必须(在其单点登录帐户中)将其用户配置为使用 Onshape 应用程序。

故障排除

如果您看到以下错误:

登录时可能出现的错误消息

关闭所有选项卡,完全退出,然后重新登录 Microsoft。

请再次登录 Onshape。

请注意,AD 管理员面板中的“测试连接”按钮将不起作用 。