在开始整合过程之前，您必须已经申请并核准了 Onshape Enterprise 帐户或试用版，并且拥有 Onshape Enterprise 域名。

Enterprise 域名的一个例子可能是：MyCompanyName.onshape.com。

请注意，您一次只能使用一个 SSO 提供程序。

This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书（例如，SAML 签名证书），ADFS 集成除外，因为 ADFS 会验证传入的 SAML 请求。请注意，Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息，请参阅 ADFS 概述。

将 Onshape 添加到您的 PingOne 单点登录帐户

要为您的公司启用单点登录，必须先将 Onshape 应用程序添加到您的 PingOne 单点登录帐户：

1. 以管理员身份登录到 PingOne 门户网站。单击左侧导航窗格上的连接图标。



2. 单击添加应用程序。

   

3. 单击“Web 应用程序”框。然后单击 SAML 连接类型右侧的配置按钮。

   

4. 在打开的创建应用程序配置文件选项卡中，输入应用程序名称和说明。然后单击窗格底部的下一步按钮。

   

5. 在打开的配置 SAML 选项卡中，在“ACS URL” 输入框中输入 https://cad.onshape.com/identity/saml2/sso。

上面的 ACS URL 必须为 “cad.onshape.com”，而不是您的 Onshape Enterprise 的 URL。



6. 在同一选项卡中，向下滚动并在图元 ID 输入框中输入 com.onshape.saml2.sp，在断言验证时长（秒）输入框中输入 300。然后单击存并继续按钮。

   

7. 在“映射属性”选项卡中，从 PingOne 用户属性下拉列表中选择电子邮件地址。

   

8. 在同一选项卡中，创建以下三个 SAML 属性：

   1. 单击添加属性链接，然后从下拉列表中选择静态属性。这会创建第一个静态属性。在静态键输入框中，输入 firstName，然后在静态值输入框中输入名字。

   2. 再次单击“添加属性”链接，然后从下拉列表中选择静态属性。这会创建第二个静态属性。在静态键输入框中，输入 lastName，然后在静态值输入框中输入姓氏。

   3. 再次单击“添加属性”链接，然后从下拉列表中选择静态属性。这会创建第三个静态属性。在静态键输入框中，输入 companyName，然后在静态值输入框中输入域名前缀。例如，如果您的 Onshape Enterprise 名称为 Fishbowl.onshape.com，则在该输入框中输入 Fishbowl。

   

9. 输入三个 SAML 属性后，它应如下图所示。单击保存并关闭按钮。

   

10. “应用程序”窗口将会打开。单击平均每日登录开关为应用程序启用单点登录。右上角会显示通知指明已成功保存应用程序。

    

11. 单击配置子部分。然后单击下载按钮以下载元数据文件。在成功下载此文件后，右上角会显示相应消息。单击 X 关闭该消息。

    

Configure the SSO Provider in Onshape

Once Onshape is configured in the identity provider and you have downloaded the identity provider's metadata file (referred to in Onshape as the configuration file), the SSO provider can be configured in Onshape.

The example images below shows a generic identity provider being configured, but the steps are the same for all identity providers.

1. Sign in to your Onshape Enterprise account, using your specialized domain name, as an administrator. Select Enterprise settings from your account:

   

2. Select Authentication from the left navigation menu:

   

3. In the Single sign-on (SSO) subsection, click the Configure SSO provider button:

   

4. The Create SSO provider dialog opens:

   

   1. In the Name field, enter name, such as Custom SSO

   2. In the Provider type dropdown, select your SSO provider from the list.

   3. Leave Enable SSO provider checked.

   4. Leave Disable Onshape password sign in unchecked for the moment.

      Disable Onshape password sign in disables the typical Onshape password sign in for you and your users. Only the SSO provider sign in prompt is displayed for the Onshape URL. Before checking this option, ensure you can sign in to Onshape yourself (as administrator). You can return here later and enable it once sign in through your SSO provider is verified to work correctly.

      选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域，例如 cad.onshape.com。

   5. Click the Upload configuration file button:

5. Locate and select the metadata configuration file you downloaded previously, and click Open:

   

6. Click OK:

   

7. The file is uploaded. A notification appears when the upload is completed:

   

8. Sign out of both your Onshape and SSO provider accounts. Be sure to do a hard refresh of both accounts. When you reach the Onshape sign-in page once again, the page has a new Sign in link at the bottom, for your SSO provider.

   

要登录到 Onshape，管理员必须（在其单点登录帐户中）将其用户配置为使用 Onshape 应用程序。

---