在开始整合过程之前,您必须已经申请并核准了 Onshape Enterprise 帐户或试用版,并且拥有 Onshape Enterprise 域名。

Enterprise 域名的一个例子可能是:MyCompanyName.onshape.com。

请注意,您一次只能使用一个 SSO 提供程序。

如果没有为您的组织自定义的参数值,则此配置过程可能会失败。使用 Okta 单点登录并记录特定于您的组织的值。您需要这些值来进行以下过程。

Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书(例如,SAML 签名证书),ADFS 集成除外,因为 ADFS 会验证传入的 SAML 请求。请注意,Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息,请参阅 ADFS 概述

将 Onshape 添加到您的 Okta 单点登录帐户

要为贵公司启用单点登录,您必须先将 Onshape 添加到您的 Okta 帐户中:

  1. 登录到您的 Okta 帐户。
  2. 单击菜单功能区中的应用程序
  3. 单击添加应用程序按钮。
  4. 在搜索输入框中键入“Onshape”。
  5. 当 Onshape 出现时,单击添加按钮。
  6. 出现“添加 Onshape”页面。
  7. 为您的企业输入域名前缀。(例如,上面提到的 URL 中的 MyCompanyName。)
  8. 单击下一步

此时,您可以将 Onshape 分配给您帐户中的用户。在将 Onshape 分配给人员页面上,按照常规步骤将更多用户添加到 Onshape 应用程序。

下载单点登录文件

将用户添加到 Okta 帐户中的 Onshape 应用程序后,请下载身份提供程序元数据文件(在 Onshape 中称为配置文件):

  1. 从 Okta 帐户中的 Onshape 应用程序页面中,单击菜单功能区中的登录
  2. 在“SAML 签名证书”部分,单击有效 SHA-2 证书右侧的操作按钮。然后单击查看 IdP 元数据。当页面打开时,右击并将此信息另存为 .xml 文件。

上传 Onshape 中的配置文件

从 Okta 下载元数据文件后:

  1. 以管理员身份使用专门的域名登录您的 Onshape 企业帐户。
  2. 从“用户”菜单中选择公司/企业设置
  3. 从左侧菜单中选择身份验证
  4. 在单点登录 (SSO) 部分中:
    1. 单击上传配置文件
    2. 选择您之前下载的元数据文件,然后单击打开
    3. 在对话框中,输入 SSO 提供程序的名称并选中启用 SSO 提供程序复选框。
    4. 单击确定

  5. 您会看到“公司/Enterprise 设置”的“身份验证”部分,其中列出了新集成的单点登录

    “身份验证”对话框,显示了双重身份验证 (2FA) 和单点登录 (SSO) 设置

  6. 退出登录 Onshape 帐户。
  7. 针对 Onshape 帐户页面执行硬刷新;请注意,该页面的底部有一个新的登录链接(请参见以下通过 Okta 登录链接的示例):

    包含“通过 Okta 登录”按钮的 Onshape 登录页面的示例

    8. 要登录到 Onshape,管理员必须(在其单点登录帐户中)将其用户配置为使用 Onshape 应用程序。

需要通过 Okta 登录 Onshape

以管理员身份登录 Onshape 后,如果您希望要求用户仅通过身份提供程序登录,则可以返回到“公司/Enterprise 设置”>“身份验证”页面并选中“禁用 Onshape 密码登录”:

要为用户禁用典型的 Onshape 密码登录(并仅显示 SSO 提供程序登录),请选中“禁用 Onshape 密码登录”复选框。

创建 SSO 提供程序对话框

您可以为用户禁用典型的 Onshape 密码登录并仅为 Onshape URL 显示 SSO 提供程序登录提示。但是,目前请勿执行此步骤。请先确保您可以自行登录到 Onshape(以管理员身份),然后再禁用此附加登录选项。已验证通过 SSO 提供程序的登录可正常工作后,您可以稍后返回此处。

选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域,例如 cad.onshape.com。

禁用 Onshape 密码登录后,用户将不会看到 Onshape 登录信息,而只会看到 Okta 登录信息,如下所示:

包含“通过 Okta 登录”按钮的 Onshape 登录页面的示例