DocuSign SSOv2 - Configurações do provedor de identidade

Problema


Uma conta do DocuSign tem uma configuração imprecisa ou ausente do Provedor de identidade em sua configuração de SSO.

Imagem adicionada pelo usuário
Causas possíveis
Ocasionalmente, durante a solução de problemas, um administrador organizacional de uma conta DocuSign pode excluir as informações do Provedor de identidade ou a empresa pode ter comutado o provedor de identidade usado e atualizar as configurações. Este artigo foi criado para ajudar a fornecer instruções para recriar os dados do IdP no DocuSign para provedores de identidade comuns.

Solução 
Nota: O suporte da DocuSign não é responsável por conhecer suas informações de IdP, onde localizar essas informações dentro do IdP ou a configuração exata das configurações exigidas pelo IdP. O administrador da organização da conta deve estar ciente desses requisitos.

Vários Identity Providers (IdPs) terão requisitos diferentes ao configurar suas informações no DocuSign. Abaixo estão as configurações de configuração mais comuns necessárias na página Configurações do DocuSign Identity Provider. Por favor, tenha em mente que os dados abaixo são fornecidos pelo seu IdP e não são algo que pode ser fornecido por um representante do Suporte da DocuSign. Entendemos que alguns administradores podem não saber onde encontrar essas informações. Este artigo pretende ser um ponto de referência para fornecer orientação geral e expectativas de quais informações são necessárias.

As opções que podem ser editadas nesta página de Configurações do Provedor de Identidade são:

 
  • Nome (obrigatório) - deve ser um nome exclusivo (menos espaços) para ajudar a identificar o provedor de identidade sendo usado.
  • Emissor do Provedor de Identidade (Obrigatório) - Um identificador de URL exclusivo específico para a instância do Provedor de identidade.
  • URL de login do provedor de identidade (obrigatório) - este é o URL de redirecionamento para iniciar o handshake para autenticação para login via SSO.
  • URL de Logoff do Provedor de Identidade - Semelhante ao URL de login, isso é usado nos casos em que uma solicitação de logout também é processada e pode ser manipulada por meio de um URL específico.
  • URL de metadados do provedor de identidade - este é um URL que identifica a formatação da solicitação SAML gerada pelo IdP.
  • Assinar a solicitação AuthN - selecione somente se o seu IdP exigir solicitações SAML assinadas.
  • Solicitação de logout de sinal - Selecione somente se o seu IdP exigir solicitações SAML assinadas.
  • Enviar solicitação AuthN por: GET ou POST - Selecione de acordo com as expectativas do IdP.
  • Enviar solicitação de logout por: GET ou POST - Selecione de acordo com as expectativas do IdP.
  • Mapeamento de Atributo Personalizado - O DocuSign espera que determinados atributos sejam enviados na solicitação SAML. Convenções de nomenclatura para estes podem diferir de provedor para provedor. Esse recurso permite mapear um atributo para um nome que o DocuSign espera. Exemplo: Um IdP chama o atributo FirstName, mas o DocuSign espera o termo GivenName; nós mapearíamos FirstName para GivenName para evitar problemas.
  • Certificados do Provedor de Identidade (Obrigatório) - Esta é uma impressão digital com hash que prova que a solicitação SAML proveniente do IdP é autêntica. O cliente carrega isso no DocuSign para que ninguém mais possa enviar solicitações de SAML para autenticação.

ADFS (Serviços de Federação do Active Directory)

O ADFS geralmente usa as seguintes informações para autenticação:
  • Emissor do Fornecedor de Identidade (Necessário) - http: // {adfs hostname} / adfs / services / trust
  • URL de login do provedor de identidade (obrigatório) - https: // {adfs hostname} / adfs / ls /
  • URL de metadados do provedor de identidade - https: // {adfs hostname} /FederationMetadata/2007-06/FederationMetadata.xml
  • Sign AuthN request - Este item deve ser verificado.
  • Enviar solicitação AuthN por - Isso deve ser definido como POST.
  • Certificados do Provedor de Identidade (Obrigatório) - Geralmente, eles podem estar localizados no certificado ADFS Management> Certificates> Token-Signing no Active Directory.

AzureAD (Active Directory do Azure)

O AzureAD expira seus certificados de SAML / SSO a cada 90 dias. Isso significa que precisar revisar as configurações do IdP e precisar carregar um novo certificado será uma ocorrência freqüente. O Azure também forneceu um guia especificamente para adicionar o SSO ao DocuSign. A DocuSign está atualmente investigando uma maneira de usar o rollover de certificado inteligente disponível via AzureAD, mas a partir de agora, o recurso não é suportado. Abaixo, uma recapitulação das configurações necessárias do Azure a serem inseridas na página Configurações do Provedor de Identidade no DocuSign:
  • Emissor do Fornecedor de Identidade (Necessário) - No portal clássico do Azure, copie o URL do Emissor para este campo
  • URL de login do provedor de identidade (obrigatório) - no portal clássico do Azure, copie a URL de login remoto para esse campo.
  • URL de logoff do provedor de identidade - no portal clássico do Azure, copie a URL de logoff remoto desse campo.
  • Assinar pedido de AuthN - Selecione esta opção.
  • Enviar solicitação AuthN por - Isso deve ser definido como POST.
  • Enviar solicitação de logout por - Isso deve ser definido como GET.


Okta

Ao configurar, efetue login no painel do Okta Admin e navegue até Aplicativos> DocuSign> Conectar> SAML 2.0> Exibir instruções de configuração. Isso gerará um guia que contém as variáveis ​​específicas do ambiente relevantes.
  • Emissor do Provedor de Identidade (Obrigatório) - Uma cadeia alfanumérica exclusiva da sua instância
  • URL de login do provedor de identidade (obrigatório) - https: // {URL base de login do okta} / app / docusign / {issuer} / sso / saml
  • URL de logoff do provedor de identidade - o URL base para acessar o Okta


G Suite

Se o G Suite for seu registrador de DNS, seu token de validação de domínio poderá ser adicionado a um registro TXT no Admin Console do G Suite (https://admin.google.com), em 'Domínios' -> 'Configurações avançadas de DNS'. Depois que seu domínio é reivindicado, as etapas a seguir mostram como configurar o G Suite como seu provedor de identidade DocSign.
(No G Suite Admin) Em Aplicativos -> Aplicativos SAML, adicione um novo aplicativo SAML. Deve haver uma opção 'DocuSign' pré-configurada.
(No G Suite Admin) Copie o URL do SSO e o ID da entidade e faça o download do certificado de domínio.
(No DocuSign Admin) Em Provedores de identidade -> Adicionar provedor de identidade, crie um novo IDP com os seguintes dados.
  • Nome: seu domínio do G Suite (por exemplo, docusign-demo.com)
  • Emissor do Provedor de Identidade: 'ID da Entidade'
  • URL de login do provedor de identidade: "URL de SSO" do G Suite (veja acima)
  • Adicionar certificado: faça o upload do certificado baixado do Google IDP.
    Salve isso!
    (No Admin do G Suite) Em Aplicativos -> Aplicativos SAML -> DocuSign -> Detalhes do provedor de serviços, insira os seguintes detalhes da lista de pontos de extremidade do DocuSign Admin (Provedores de identidade -> Ações -> Pontos de extremidade)
  • Nome da aplicação: DocuSign
  • Descrição: a única solução de e-assinatura recomendada pelo Google
  • URL do ACS: [O valor em 'URL do serviço de consumidor de asserção do provedor de serviços']
  • ID da entidade: [O valor em 'URL do emissor do provedor de serviços']
  • URL de início: [O valor em 'URL de login do provedor de serviços']
  • Nome ID: Informações Básicas: Email Principal
  • Formato do ID do nome: EMAIL
  • Mapeamento de Atributos:
    • nome: Informação básica: Primeiro nome
    • emailaddress: Informações Básicas: Email Principal
    • sobrenome : Informações básicas: último Nome
    • givenname : Informações básicas: primeiro Nome