SSO do DocuSign: o provedor de identidade emissor não está registrado no DocuSign

Problema

A opção Login da empresa em https://account.docusign.com resulta na mensagem de erro "O provedor de identidade emissor não está registrado no DocuSign" e ocorre falha no login.

Causas possíveis

Incompatibilidade de certificado

O certificado x.509 que está sendo passado do seu Provedor de identidade no SAMLResponse não corresponde ao certificado x.509 carregado na sua configuração de SSO dentro do DocuSign.

Como um exemplo, o Azure Active Directory expira o certificado SAML/x.509 a cada 90 dias por padrão para um aplicativo SAML personalizado, o que faz o handshake de autenticação SAML falhar mesmo que o certificado não esteja expirado. Os clientes informaram que o Azure não permite dois certificados ativos ao mesmo tempo. Se um novo certificado for lançado, isso automaticamente invalidará os certificados existentes.

Problema do URI do serviço do consumidor de declaração

A DocuSign atualizou o formato do URI do serviço do consumidor de declaração (ACS) do provedor de serviço (ACS) para configurações de provedor de identidade recém-criadas. Essa atualização acrescenta um GUID do ID do provedor de identidade (IDPID) ao URI do ACS.
  • Formato legado: https://account.docusign.com/organizations/[OrganizationID]/saml2/login
  • Formato atual: https://account.docusign.com/organizations/[OrganizationID]/saml2/login/[IDPID]
Uma vez que o novo formato se aplica apenas a configurações de provedor de identidade recém-criadas, os pontos de extremidade para cada configuração do provedor de identidade no DocuSign Admin exibirá o formato correto para cada URI do ACS do provedor de identidade. Se o provedor de identidade estiver enviando a solicitação ao URI com formatação legada, mas a configuração do provedor de identidade exigir o novo formato, os usuários receberão a mensagem "O provedor de identidade emissor não está registrado no DocuSign" mesmo que haja correspondência do certificado x.509.

Solução de problemas

Para confirmar a causa raiz desse erro, você deverá utilizar o rastreamento de SAML do seu navegador e exibir o SAMLResponse. Dentro do SAMLResponse está o certificado que está sendo passado do seu Provedor de identidade como texto codificado. Salve o texto como arquivo de certificado para validar se os detalhes do certificado (emissor, impressão digital etc.) correspondem ao que foi carregado na sua configuração de SSO dentro do DocuSign. Você também pode revisar o valor de Destino da resposta na SAMLResponse para determinar se o valor/formato corresponde exatamente ao valor do URL do serviço do consumidor de declaração do provedor de serviço dos pontos de extremidade das configurações do seu provedor de identidade.


Soluções

Incompatibilidade de certificado

Um administrador do DocuSign com direitos totais para gerenciar a organização deve se conectar ao DocuSign e fazer upload de um certificado de SSO recém-gerado para o nosso sistema.

Isso exige as seguintes etapas:
  1. O administrador do DocuSign deve fazer login em https://account.docusign.com (não use o IdP/SSO para fazer login)
  2. Clique no ícone de waffle do alternador de aplicativo no canto superior esquerdo
  3. Selecione Admin
  4. Selecione Provedores de identidade
  5. Selecione Ações ao lado do Provedor de identidade em questão
  6. Selecione Editar
  7. Selecione Adicionar certificado
  8. Faça upload do certificado do local salvo no PC.
  9. Em seguida, clique em Salvar


Para clientes que usam o Azure/ADFS como Provedor de identidade

Nesse momento, o DocuSign não dá suporte ao recurso automático de trânsito de certificado oferecido pelo Azure para configurações personalizadas do SAML. Isso está sendo investigado para uma versão futura. Tenha certeza de que você configurou o Azure para usar o conector DocuSign para o Azure AD de acordo com o artigo abaixo para obter um certificado válido por três anos. Se você usar uma configuração SAML em vez disso, a expiração do certificado usará 90 dias por padrão, mas poderá ser configurada manualmente. Consulte a documentação do Azure para mais informações sobre a expiração do certificado do aplicativo SAML.

Problema do URI do serviço do consumidor de declaração

Um administrador do DocuSign com direitos totais para gerenciar a organização deve entrar no DocuSign e obter o URI do serviço do consumidor de declaração do provedor de serviço correto, então atualizar esse valor na configuração do DocuSign no provedor de identidade.

Isso exige as seguintes etapas:
  1. O administrador do DocuSign deve fazer login em https://account.docusign.com (não use o IdP/SSO para fazer login)
  2. Clique no ícone de waffle do alternador de aplicativo no canto superior esquerdo
  3. Selecione Admin
  4. Selecione Provedores de identidade
  5. Selecione Ações ao lado do Provedor de identidade em questão
  6. Selecione Pontos de extremidade
  7. Copie o valor no campo URL do serviço do consumidor de declaração do provedor de serviço
As etapas para atualizar esse valor no provedor de identidade variam conforme o provedor de identidade. Consulte a documentação do seu provedor de identidade ou a equipe de suporte para obter ajuda para atualizar esse valor no provedor de identidade.

    Relacionados

    Tutorial: Integração do Azure Active Directory com o DocuSign
    Guia de administração da organização do DocuSign (PDF)