在開始整合的過程之前,您必須先要求且經核准使用或試用 Onshape Enterprise 帳戶,並且有 Onshape Enterprise 網域名稱。

Enterprise 網域名稱的範例會像是:MyCompanyName.onshape.com。

請注意,您一次僅能使用一個 SSO 提供者。

如果沒有為您組織自訂的參數值,這個組態設定的過程可能會失敗。請使用您自訂的 SSO 識別提供者 (例如:Okta、PingOne、或 ClassLink) 儀表板來將 Onshape 加入為應用程式,並記下給您組織的特定值。您在下列的步驟中將會需要這些值。

Onshape 會簽署所有傳出的 SAML 憑證要求。您不需要上傳任何的憑證 (例如,SAML 簽署憑證)。ADFS 的整合會是例外的情況,因為 ADFS 會驗證連入的 SAML 要求。請注意,Microsoft 同時建議從 ADFS 的最新版本移轉到 Microsoft Entra ID。詳細資訊請參考 ADFS 概要

將 Onshape 加入至您自訂的單一登入帳戶中

每個識別提供者 (IdP) 都有自己專用的設定步驟。請參考您識別提供者單一登入設定的說明來根據明確的指示操作。這個部分的說明指示僅供一般參考操作。

Onshape 僅支援 SAML HTTP-POST 繫結。
Onshape 無法將其 SAML 組態表達為中繼資料 XML 檔案。

在您的識別提供者的主控台中建立一個有下列組態的新信任關係 (有時稱為「信賴憑證者」):

  1. Asssertion consumer service (ACS) URL: https://cad.onshape.com/identity/saml2/sso. If integrating with a Government Enterprise, use https://cad.usgov.onshape.com/identity/saml2/sso instead.

  2. Entity ID: com.onshape.saml2.sp.

  3. 判斷提示主題的 NameId 值。這是 SAML 判斷提示對應的使用者電子郵件地址。

  4. Onshape 所要求的三個 SAML 判斷提示屬性 (有時稱為「宣告」):

    • firstName - 判斷提示主體的名字

    • lastName - 判斷提示主體的姓氏。

    • companyName - 判斷提示主體的公司。在大多數的情況中,公司名稱會與您企業的網預前置相同。例如,如果您的 Onshape Enterprise 名稱是 fishbowl.onshape.com,則請在這個欄位中輸入 fishbowl

  5. 找出並將 SAML IdP 中繼資料 XML 檔案複製到剪貼簿中,您會在之後的過程中需要這個檔案。

  6. 將新的信任關係設定為對所有您要提供 Onshape SSO 存取的使用者皆為可使用的。

在 Onshape 中設定 SSO 提供者

一旦在識別提供者中設定了 Onshape,且您也下載了識別提供者的中繼資料檔案 (在 Onshape 中稱為組態設定檔案) ,就可以在 Onshape 中設定 SSO 提供者。

下方的影像範例顯示對一個通用識別提供者的設定, 但這些步驟對所有的識別提供者都是一樣的。

  1. 以管理員的身分使用您特定的網域名稱登入至 Onshape Enterprise 帳戶。從您的帳戶中選擇 Enterprise 設定

    前往至我的帳戶功能表,然後按一下 [Enterprise 設定]

  2. 從左側的瀏覽功能表中選擇驗證

    從左側的瀏覽功能表中選擇 [驗證]

  3. 單一登入 (SSO) 的分區中,按一下設定 SSO 提供者按鈕:

    按一下「單一登入 (SSO)」設定之下的 [設定 SSO 提供者]

  4. 建立 SSO 提供者對話方塊開啟:

    「建立 SSO 提供者」對話方塊

    1. 名稱欄位中輸入像是 Custom SSO 之類的名稱。

    2. 提供者類型下拉清單中選擇您的 SSO 提供者。

    3. 啟用 SSO 提供者保留為核取。

    4. 目前先將停用 Onshape 密碼登入保留為不核取。

      停用 Onshape 密碼登入會為您與您的使用者停用一般的 Onshape 密碼登入。僅會為 Onshape URL 顯示 SSO 提供者的登入提示。在核取這個選項ˊ之前,請確定您自己可以登入至 Onshape (以管理員的身份)。在確認可透過您的 SSO 提供者正常登入之後,您可以於稍後回到此處並再次啟用這個選項。

      選擇強制經單一登入 (SSO) 來登入 Onshape 同時會導致使用者無法直接登入至非 Enterprise 網域中,例如 cad.onshape.com。

    5. 按一下上傳組態檔案按鈕:

  5. 找出並選擇您先前下載的中繼資料組態檔案,然後按一下開啟

    開啟之前下載的 XLM metadata 檔案

  6. 按一下確定

    按一下 [確定] 來完成建立 SSO 提供者

  7. 檔案隨即上傳。上傳完成時會有通知出現:

    Notification 顯示成功上傳 SSO 組態檔案的通知

  8. 同時登出您的 Onshape 與 SSO 提供者的帳戶,並請確定強制重新整理這兩個帳戶。當您再次抵達 Onshape 登入頁面時,會在底部有您 SSO 提供者的新登入連結。

    Onshape「 登入」螢幕

若要登入至 Onshape 中,管理員必須佈建使用者 (在其單一登入帳戶中) 才能使用 Onshape 應用程式。