在开始整合过程之前，您必须已经申请并核准了 Onshape Enterprise 帐户或试用版，并且拥有 Onshape Enterprise 域名。

Enterprise 域名的一个例子可能是：MyCompanyName.onshape.com。

请注意，您一次只能使用一个 SSO 提供程序。

This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书（例如，SAML 签名证书），ADFS 集成除外，因为 ADFS 会验证传入的 SAML 请求。请注意，Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息，请参阅 ADFS 概述。

将 Onshape 添加到您的 Entra ID（前身为 Azure AD）单点登录帐户

若要为公司启用单点登录，必须先将 Onshape 应用程序添加到您的 Entra ID（前身为 Azure AD）单点登录帐户：

1. 登录 Microsoft Entra ID（前身为 Azure AD）门户。您将被带到主页。

   

2. 在搜索栏中，输入企业应用程序，然后选择企业应用程序。

   

3. 在“所有应用程序”页面顶部，单击新建应用程序。

   

4. 在“浏览 Microsoft Entra Gallery”页面上，在“搜索应用程序输入框中搜索 Onshape。然后单击 OnShape 按钮。

   

5. Onshape 应用程序窗格将在右侧打开。单击该窗格底部的创建按钮。

   

   Microsoft Entra 为您创建了新的应用程序。请注意，这可能需要几秒钟才能完成设置。

6. 创建应用程序后，单击2. 设置单点登录按钮。

   

7. 由于 Onshape 仅支持 SAML 身份验证，因此单击 SAML 复选框。

   

   如果打开“保持单点登录设置”，请单击是。

   

   基于 SAML 的单点登录页面将会打开。

SAML 配置

1. 在“用户属性和申请”子部分中，单击对话框右上角的编辑。

   

2. 在打开的“用户属性和申请”页面中，双击 companyName 申请。

   

3. 在源属性输入框中输入域名前缀。例如，如果您的 Onshape Enterprise 名称前缀为 Fishbowl.onshape.com，则在输入框中输入 Fishbowl。输入后，您需要另外单击该输入框下方的条目（如下图中的光标所示）。

   

4. 单击保存。

   

5. 单击右上角的 X 以关闭该页面。

   

6. 如果系统询问是否测试单点登录，请选择不，稍后测试。

   

7. 基于 SAML 的单点登录页面会再次显示。您的页面应与下图类似。

   

8. 将页面向下滚动到子部分 3 SAML 注册证书。在此子部分底部，单击“联合元数据 XML”下载链接。此 XML 文件稍后会在单点登录配置过程中使用。

   

9. 在成功下载此文件后，右上角会显示相应消息。单击 X 以关闭该消息。

   

设置用户和组

1. 在左侧导航窗格中，选择用户和组。

   

2. “用户和组”页面将会显示。单击添加用户/组。

   

3. “添加分配”页面将会打开。在左侧，单击用户 - 未选择。

   “用户”窗格将在右侧打开。进行搜索，然后选择要邀请的用户。每位用户都会移至下面的选定的项目窗格子部分。在此窗格中列出所有选定成员后，单击选择按钮。

   

4. 单击分配。

   

5. “用户和组”页面将显示新用户。

   

   此时，您可以离开 Microsoft Entra 门户，打开您的 Microsoft Active Directory 应用程序控制面板。

   

Configure the SSO Provider in Onshape

Once Onshape is configured in the identity provider and you have downloaded the identity provider's metadata file (referred to in Onshape as the configuration file), the SSO provider can be configured in Onshape.

The example images below shows a generic identity provider being configured, but the steps are the same for all identity providers.

1. Sign in to your Onshape Enterprise account, using your specialized domain name, as an administrator. Select Enterprise settings from your account:

   

2. Select Authentication from the left navigation menu:

   

3. In the Single sign-on (SSO) subsection, click the Configure SSO provider button:

   

4. The Create SSO provider dialog opens:

   

   1. In the Name field, enter name, such as Custom SSO

   2. In the Provider type dropdown, select your SSO provider from the list.

   3. Leave Enable SSO provider checked.

   4. Leave Disable Onshape password sign in unchecked for the moment.

      Disable Onshape password sign in disables the typical Onshape password sign in for you and your users. Only the SSO provider sign in prompt is displayed for the Onshape URL. Before checking this option, ensure you can sign in to Onshape yourself (as administrator). You can return here later and enable it once sign in through your SSO provider is verified to work correctly.

      选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域，例如 cad.onshape.com。

   5. Click the Upload configuration file button:

5. Locate and select the metadata configuration file you downloaded previously, and click Open:

   

6. Click OK:

   

7. The file is uploaded. A notification appears when the upload is completed:

   

8. Sign out of both your Onshape and SSO provider accounts. Be sure to do a hard refresh of both accounts. When you reach the Onshape sign-in page once again, the page has a new Sign in link at the bottom, for your SSO provider.

   

要登录到 Onshape，管理员必须（在其单点登录帐户中）将其用户配置为使用 Onshape 应用程序。

故障排除

如果您看到以下错误：

关闭所有选项卡，完全退出，然后重新登录 Microsoft。

请再次登录 Onshape。

请注意，AD 管理员面板中的“测试连接”按钮将不起作用 。

---