DocuSign Single Sign-on – Der ausstellende Identitätsanbieter ist nicht für DocuSign registriert

Problem

Wenn Sie für die Unternehmensanmeldung unter https://account.docusign.com die Fehlermeldung „Der ausstellende Identitätsanbieter ist nicht für DocuSign registriert” sehen, kann sich mit dieser Option nicht angemeldet werden.


Abbildung der Benutzeroberfläche

Mögliche Ursachen

Das x.509-Zertifikat von Ihrem Identitätsanbieter in der SAML-Antwort stimmt nicht mit dem x.509-Zertifikat überein, dass für die Single-Sign-on-Konfiguration in DocuSign hochgeladen wurde.

Beispiel: Für Azure Active Directory läuft das SAML/x.509-Zertifikat alle 90 Tage ab, wodurch der SAML-Authentifizierungs-Handshake fehlschlägt, selbst wenn das Zertifikat nicht abgelaufen ist. Von unseren Kunden wissen wir, dass bei Azure keine zwei aktiven Zertifikate gleichzeitig möglich sind, wenn ein neues Zertifikat ausgestellt wurde. Durch die Neuausstellung werden bestehende Zertifikate automatisch ungültig.

Damit Sie die Ursache für den Fehler finden, rufen Sie am besten eine SAML-Nachverfolgung von Ihrem Browser ab, um die SAML-Antwort einzusehen. In der SAML-Antwort sehen Sie das vom Identitätsanbieter übergebende Zertifikat als verschlüsselten Text. Speichern Sie den Text als Zertifikatsdatei. So können Sie überprüfen, ob die Zertifikatsdetails wie Aussteller und Fingerabdruck mit den hochgeladenen Angaben in Ihrer Single-Sign-on-Konfiguration in DocuSign übereinstimmen.

Lösung

Ein DocuSign-Organisationsadministrator für Single Sign-on muss sich beim DocuSign-Konto anmelden und ein neu generiertes Single-Sign-on-Zertifikat ins DocuSign-System hochladen.

Folgen Sie hierzu dieser Anleitung:
  1. Melden Sie sich als Organisationsadministrator unter https://account.docusign.com an. (Verwenden Sie hierbei nicht die Identitätsanbieter- oder Single-Sign-on-Anmeldung!)
  2. Klicken Sie oben rechts auf das Drop-down-Menü.
  3. Wählen Sie Zur Admin-Umgebung wechseln.
  4. Wählen Sie Identitätsanbieter.
  5. Wählen Sie für den entsprechenden Identitätsanbieter Aktionen.
  6. Wählen Sie Bearbeiten.
  7. Wählen Sie Zertifikat hinzufügen.
  8. Laden Sie das Zertifikat, das auf Ihrem Computer gespeichert ist, hoch.
  9. Klicken Sie auf Speichern.


Für Kunden mit dem Identitätsanbieter Azure/ADFS

Derzeit unterstützt DocuSign noch nicht das automatische Zertifikat-Rollover für benutzerdefinierte SAML-Konfigurationen von Azure. DocuSign erwägt jedoch dies für zukünftige Releases anzubieten. Konfigurieren Sie Azure so, dass der DocuSign-Azure-AD-Konnektor verwendet wird, damit ein Zertifikat genutzt werden kann, was 3 Jahre lang gültig ist. Eine Anleitung dazu finden Sie im nachstehenden Artikel. Wenn Sie anstelle dessen eine benutzerdefinierte SAML-Konfiguration einsetzen, läuft das Zertifikat in 6 Wochen ab.
 

Weitere Informationen

Tutorial: Azure Active Directory-Integration mit DocuSign
DocuSign-Organisationsadministration – Leitfaden (PDF)