在開始整合的過程之前,您必須先要求且經核准使用或試用 Onshape Enterprise 帳戶,並且有 Onshape Enterprise 網域名稱。

Enterprise 網域名稱的範例會像是:MyCompanyName.onshape.com。

請注意,您一次僅能使用一個 SSO 提供者。

如果沒有為您組織自訂的參數值,這個組態設定的過程可能會失敗。請使用您自訂的 SSO 識別提供者 (例如:Okta、PingOne、或 ClassLink) 儀表板來將 Onshape 加入為應用程式,並記下給您組織的特定值。您在下列的步驟中將會需要這些值。

Onshape 會簽署所有傳出的 SAML 憑證要求。您不需要上傳任何的憑證 (例如,SAML 簽署憑證)。ADFS 的整合會是例外的情況,因為 ADFS 會驗證連入的 SAML 要求。請注意,Microsoft 同時建議從 ADFS 的最新版本移轉到 Microsoft Entra ID。詳細資訊請參考 ADFS 概要

Google SSO cannot be used with Government Enterprise subscriptions. Integrate with a custom identity provider via SAML 2.0 instead.

步驟

  1. 導覽至您的「帳戶設定」,然後選擇 [Enterprise 設定]。

  2. 在左側窗格中選擇「驗證」。

  3. 當「驗證」頁面開啟時,選擇「單一登入 (SSO)」標題下方的「設定 SSO 提供者」。下列的對話方塊隨即開啟:

    「建立 SSO 提供者」對話方塊

  4. 設定一個組態名稱,像是 "Google SSO"。

  5. 選擇 Google 的提供者類型。

  6. 如果您希望透過特定網域名稱 (例如,@companyname.com 或 @schoolname.edu) 來佈建使用者,請在「網域白名單」欄位中輸入不含 @ 符號的該網域 (請注意,取決於 Enterprise SSO 自動佈建的設定,以這種方式來佈建使用者會自動將其分配完全或輕量使用者。請參考企業設定 - 喜好設定並瀏覽至單一登入 (SSO) 使用者自動佈建的下拉清單來獲得更多的資訊)。

    「建立 SSO 提供者」對話方塊顯示透過特定網域名稱來佈建使用者

    使用網域白名單代表在該網域擁有有效電子郵件地址的任何使用者皆被授予以完全使用者存取 Onshape Enterprise 帳戶的權限。在透過像是 @gmail.com 的一般網域佈建時請小心。

    如果您不想對特定網域中的所有使用者授予進入許可,您可以將該欄位留為空白,之後再由管理員傳送電子郵件來將使用者新增為 Enterprise 帳戶的成員。要注意的是,電子郵件必須要與使用者的 Google SSO 電子郵件一致。如果使用者已經有 Google 帳戶,他們可以在收到電子郵件之後馬上登入。如果使用者並沒有帳戶,或帳戶尚在處理中,Onshape 會啟動使用者的 Enterprise 帳戶,並將其名字/姓氏設定成可在 Google 個人資料中找到的詳細資料上。

  7. 核取方塊來「啟用 SSO 提供者」。

  8. 如果您要強制所有使用者僅能藉由 SSO 提供者來登入至 Onshape,請核取「停用 Onshape 密碼登入」旁的方塊。當您停用 Onshape 密碼登入時,使用者只會看到 Google 的登入,而非 Onshape 的登入。

    使用者的 Onshape 密碼將會失效。

    系統將強制要求管理員必須透過 Google SSO 才能登入至 Onshape 中。為求安全起見,極力建議管理員將密碼登入 URL 複製並儲存在安全處,以在需要直接從 Onshape 中登入時使用:
    顯示管理員密碼登入 URL 的範例

    選擇強制經單一登入 (SSO) 來登入 Onshape 同時會導致使用者無法直接登入至非 Enterprise 網域中,例如 cad.onshape.com。