在開始整合的過程之前,您必須先要求且經核准使用或試用 Onshape Enterprise 帳戶,並且有 Onshape Enterprise 網域名稱。

Enterprise 網域名稱的範例會像是:MyCompanyName.onshape.com。

請注意,您一次僅能使用一個 SSO 提供者。

如果沒有為您組織自訂的參數值,這個組態設定的過程可能會失敗。請使用您自訂的 SSO 識別提供者 (例如:Okta、PingOne、或 ClassLink) 儀表板來將 Onshape 加入為應用程式,並記下給您組織的特定值。您在下列的步驟中將會需要這些值。

Onshape 會簽署所有傳出的 SAML 憑證要求。您不需要上傳任何的憑證 (例如,SAML 簽署憑證)。ADFS 的整合會是例外的情況,因為 ADFS 會驗證連入的 SAML 要求。請注意,Microsoft 同時建議從 ADFS 的最新版本移轉到 Microsoft Entra ID。詳細資訊請參考 ADFS 概要

通常是為一個 Enterprise 設定一個 SSO 提供者。如果使用 SAML 2.0 來設定多租戶的組態 (有多個 Enterprise 的 SSO 提供者),則管理員必須使用 com.onshape.saml2.sp.<網域前置碼>來做為 Onshape Entity ID,並核取 使用有公司網域前置碼的 entityId方塊。請見下方「在 Onshape 中設定 SSO 提供者」的部分。

在 ADFS 管理應用程式中建立 "relying party trust (信賴憑證者信任)"

  1. 在您的 ADFS 入口網站中導覽至 "Relying Party Trusts (信賴憑證者信任)",然後選擇 "Add Relying Party Trust… (新增信賴憑證者信任...)"。
  2. 選擇 "Claims aware (宣告感知)"。
  3. 選擇 "Enter data about relying party manually"。
  4. 選擇 "Enable support for SAML 2.0 WebSSO protocol"。
  5. 將 "Relying party SAML 2.0 SSO service URL (信賴憑證者 SAML 2.0 SSO 服務 URL)" 設定為 https://cad.onshape.com/identity/saml2/sso
  6. 將 "Relying party trust identifier (信賴憑證者信任)" 設定為 com.onshape.saml2.sp

設定 SP cert 與雜湊演算法

  1. 連按兩下根據上方指示建立的信賴憑證者信任 (RP trust)。
  2. 在 "Signature" 分頁中加入適當的憑證。
  3. 在 "Advanced" 分頁中,將雜湊演算法設定為 SHA-1。

設定宣告

  1. 在信賴憑證者信任 (RP trust) 上按右鍵,然後選擇 "Edit Claims Issuance Policy (編輯宣告發行原則)"。
  2. 加入下方所示的三條規則 (在規則 #3 中使用企業的 DNS 首碼)
    1. 規則 #1 範本:"Send LDAP Attributes as Claims (以宣告方式傳送 LDAP 屬性)"
    2. 規則 #2 範本:"Pass Through or Filter an Incoming Claim (傳遞或篩選傳入宣告)"。
    3. 規則 #3 範本:"Send Claims Using a Custom Rule (傳送使用自訂規則的宣告)"

「設定宣告」對話方塊

「編輯規則」對話方塊

「編輯規則 - Name ID Passthrough」對話方塊的範例

「編輯規則 - Company Name」對話方塊的範例

從此處下載 ADFS 中繼資料檔案:
https://<server>/federationmetadata/2007-06/federationmetadata.xml
並將其上傳至 Onshape 中。
請確定用您的 ADFS 伺服器的主機名稱取代 <server>。
請確定用您的 companyName 值來取代上方所示的 "Onshape DNS prefix here"。例如,如果您的 Onshape 網域是 acme.Onshape.com,則請使用 "acme" 來做為這個欄位的值。

在 Onshape 中設定 SSO 提供者

一旦在識別提供者中設定了 Onshape,且您也下載了識別提供者的中繼資料檔案 (在 Onshape 中稱為組態設定檔案) ,就可以在 Onshape 中設定 SSO 提供者。

下方的影像範例顯示對一個通用識別提供者的設定, 但這些步驟對所有的識別提供者都是一樣的。

  1. 以管理員的身分使用您特定的網域名稱登入至 Onshape Enterprise 帳戶。從您的帳戶中選擇 Enterprise 設定

    前往至我的帳戶功能表,然後按一下 [Enterprise 設定]

  2. Select Authentication from the left navigation menu.

  3. 單一登入 (SSO) 的分區中,按一下設定 SSO 提供者按鈕:

    按一下「單一登入 (SSO)」設定之下的 [設定 SSO 提供者]

  4. 建立 SSO 提供者對話方塊開啟:

    「建立 SSO 提供者」對話方塊

    1. 名稱欄位中輸入像是 Custom SSO 之類的名稱。

    2. 提供者類型下拉清單中選擇您的 SSO 提供者。

    3. 啟用 SSO 提供者保留為核取。

    4. 目前先將停用 Onshape 密碼登入保留為不核取。

      5. 停用 Onshape 密碼登入會為您與您的使用者停用一般的 Onshape 密碼登入。僅會為 Onshape URL 顯示 SSO 提供者的登入提示。在核取這個選項ˊ之前,請確定您自己可以登入至 Onshape (以管理員的身份)。在確認可透過您的 SSO 提供者正常登入之後,您可以於稍後回到此處並再次啟用這個選項。

      選擇強制經單一登入 (SSO) 來登入 Onshape 同時會導致使用者無法直接登入至非 Enterprise 網域中,例如 cad.onshape.com。

    5. 如果您有多租戶的設定 (有多個 Enterprise 的 SSO 提供者),請核取使用有公司網域前置碼的 entityId

      6. 通常是為一個 Enterprise 設定一個 SSO 提供者。如果使用 SAML 2.0 來設定多租戶的組態 (有多個 Enterprise 的 SSO 提供者),則管理員必須使用 com.onshape.saml2.sp.<網域前置碼> 來做為 Onshape Entity ID,並核取 使用有公司網域前置碼的 entityId 方塊。

    6. 按一下上傳組態檔案按鈕:

  5. 找出並選擇您先前下載的中繼資料組態檔案,然後按一下開啟

    開啟之前下載的 XLM metadata 檔案

  6. 按一下確定

    按一下 [確定] 來完成建立 SSO 提供者

  7. 檔案隨即上傳。上傳完成時會有通知出現:

    Notification 顯示成功上傳 SSO 組態檔案的通知

  8. 同時登出您的 Onshape 與 SSO 提供者的帳戶,並請確定強制重新整理這兩個帳戶。當您再次抵達 Onshape 登入頁面時,會在底部有您 SSO 提供者的新登入連結。

    Onshape「 登入」螢幕

若要登入至 Onshape 中,管理員必須佈建使用者 (在其單一登入帳戶中) 才能使用 Onshape 應用程式。