在开始整合过程之前,您必须已经申请并核准了 Onshape Enterprise 帐户或试用版,并且拥有 Onshape Enterprise 域名。

Enterprise 域名的一个例子可能是:MyCompanyName.onshape.com。

您一次只能使用一个 SSO(单点登录)提供程序。

如果没有为您的组织自定义的参数值,则此配置过程可能会失败。使用自定义单点登录仪表板将 Onshape 添加为应用程序并记录特定于您的组织的值。您需要这些值来进行以下过程。

Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书(例如,SAML 签名证书),ADFS 集成除外,因为 ADFS 会验证传入的 SAML 请求。请注意,Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息,请参阅 ADFS 概述

将 Onshape 添加到您的自定义单点登录帐户

每个身份提供程序 (IdP) 都有自己的专有设置过程。请查看身份提供程序的单点登录设置说明,以了解要遵循的确切过程。此部分中的说明仅用作一般准则。

Onshape 仅支持 SAML HTTP-POST 绑定。
Onshape 无法将其 SAML 配置表示为元数据 XML 文件。

在您的身份提供程序控制台中,通过以下配置创建一种新的信任关系(有时称为“信赖方”):

  1. 断言使用者服务 (ACS) URL:https://cad.onshape.com/identity/saml2/sso

  2. 实体 ID:com.onshape.saml2.sp

  3. 断言主体的 NameId 值。这是 SAML 断言所对应的用户的电子邮件地址。

  4. Onshape 要求提供的三个 SAML 断言属性(有时称为“声明”):

    • firstName - 断言主体的名字。

    • lastName - 断言主体的姓氏。

    • companyName - 断言主体的公司。在大多数情况下,公司名称与企业的域前缀相同。例如,如果您的 Onshape 企业名称为 fishbowl.onshape.com,请在此输入框中输入 fishbowl

  5. 找到 SAML IdP 元数据 XML 文件并将其复制到剪贴板。您在操作过程中稍后将需要此文件。

  6. 让新的信任关系可供您希望将 Onshape SSO 访问权限提供给的所有用户使用。

上传 Onshape 中的配置文件

  1. 以管理员身份使用专门的域名登录您的 Onshape 企业帐户。从帐户中选择 Enterprise 设置

    在我的用户帐户菜单下访问企业设置

  2. 从左侧导航菜单中选择身份验证

    在 Onshape 中配置 SSO 步骤 2

  3. 在单点登录 (SSO) 子部分中,单击配置 SSO 提供程序按钮。

    “Enterprise 设置”菜单项

  4. “创建 SSO 提供程序”对话框将会打开。在名称输入框中,输入名称,通常是身份提供程序的名称,此处标记为自定义 IDP。在提供程序类型下拉列表中,选择自定义 SSO。然后单击上传配置文件按钮。

    创建 SSO 提供程序,上传配置文件

  5. 找到并选择之前下载的元数据配置文件,然后单击打开

    Windows 的“打开”对话框

  6. 单击确定

  7. 将上传该文件。上传完成后,系统会显示通知。

    8. 您可以为用户禁用典型的 Onshape 密码登录并仅为 Onshape URL 显示 SSO 提供程序登录提示。但是,目前请勿执行此步骤。请先确保您可以自行登录到 Onshape(以管理员身份),然后再禁用此附加登录选项。已验证通过 SSO 提供程序的登录可正常工作后,您可以稍后返回此处。

    选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域,例如 cad.onshape.com。

  8. 退出登录 Onshape 和自定义身份提供程序帐户。请确保针对两个帐户页面执行硬刷新。再次到达 Onshape 登录页面时,该页面的底部有一个用于单点登录提供程序的新登录链接。

    Onshape 登录屏幕