DocuSign Single Sign-on (Version 2) – Identitätsanbieter-Einstellungen

Problem

Beim DocuSign-Konto wurde der falsche Identitätsanbieter für Single Sign-on konfiguriert oder der Identitätsanbieter fehlt für Single Sign-on.

Abbildung der Benutzeroberfläche 

Mögliche Ursachen

Der Organisationsadministrator eines DocuSign-Kontos löscht die Informationen des Identitätsanbieters bei einer möglichen Fehlersuche oder der Identitätsanbieter wird geändert, wodurch die Einstellungen angepasst werden müssen. Nachfolgend finden Sie eine Anleitung zum Wiederherstellen der Daten für allgemeine Identitätsanbieter in DocuSign.

Lösungen

Hinweis: Wenn Sie Fragen zu den Daten Ihres Identitätsanbieters haben und nicht genau wissen, wo diese Daten zu finden sind, oder Informationen zu der genauen Konfiguration benötigen, wenden Sie sich an den Organisationsadministrator des Kontos. Der DocuSign-Support kann Ihnen dabei leider nicht helfen.

Die Einstellungen für einen Identitätsanbieter in DocuSign hängen von den jeweiligen Anforderungen des Identitätsanbieters ab. Weiter unten haben wir für Sie allgemeine Konfigurationen aufgelistet, die auf der DocuSign-Seite zum Einstellen des Identitätsanbieters erforderlich sind. Die Daten für diese Konfigurationen erhalten Sie von Ihrem Identitätsanbieter, nicht vom DocuSign-Support. In diesem Hilfeartikel finden Sie eine Orientierungshilfe, die Ihnen aufzeigt, welche Art von Informationen Sie benötigen.

Auf der Seite mit den Identitätsanbieter-Einstellungen lassen sich folgende Optionen bearbeiten:

  • Name (erforderlich) – ein eindeutiger Name (ohne Leerstellen), anhand dessen sich der Identitätsanbieter gut erkennen lässt
  • Identitätsanbieter-Aussteller (erforderlich) – eine eindeutige URL-Kennung für die Identitätsanbieter-Instanz
  • Anmelde-URL des Identitätsanbieters (erforderlich) – dies ist die Weiterleitungs-URL zum Initiieren des Handshakes für die Authentifizierung während der Anmeldung via Single Sign-on
  • Abmelde-URL des Identitätsanbieters – ähnlich wie bei der Anmelde-URL wird diese URL bei der Abmeldeanforderung verwendet und über eine bestimmte URL verarbeitet
  • Metadaten-URL des Identitätsanbieters – mit dieser URL wird die Formatierung der SAML-Anfrage ermittelt, die vom Identitätsanbieter generiert wird
  • Signier-AuthN-Anforderung – Option nur auswählen, wenn der Identitätsanbieter signierte SAML-Anfragen erfordert
  • Signier-Abmeldeanforderung – Option nur auswählen, wenn der Identitätsanbieter signierte SAML-Anfragen erfordert
  • Sende-AuthN-Anforderung mit: GET oder POST – gemäß den Anforderungen des Identitätsanbieters auswählen
  • Sende-Abmeldeanforderung mit: GET oder POST – gemäß den Anforderungen des Identitätsanbieters auswählen
  • Benutzerdefinierte Attributzuordnung – Vom DocuSign-System werden bestimmte Attribute in der gesendeten SAML-Anfrage erwartet. Die Namenskonventionen hängen vom jeweiligen Anbieter ab. Mit dieser Option können Sie einem Namen ein Attribut zuweisen, der vom DocuSign-System erwartet wird. Beispiel: Bei einem Identitätsanbieter heißt das Attribut FirstName, aber im DocuSign-System wird dies GivenName genannt. Um Probleme zu vermeiden, wird FirstName dem GivenName zugewiesen.
  • Identitätsanbieter-Zertifikat (erforderlich) – (nicht in Abbildung dargestellt) Dabei handelt es sich um einen hash-codierten Fingerabdruck, der belegt, dass die SAML-Anfrage vom Identitätsanbieter authentisch ist. Der Kunde lädt dies in DocuSign hoch, sodass kein anderer SAML-Anfragen zum Authentifizieren senden kann.
 

ADFS (Active Directory Federation Services)

Beim ADFS werden in der Regel die folgenden Informationen zum Authentifizieren verwendet:
  • Identitätsanbieter-Aussteller (erforderlich) – http://{adfs hostname}/adfs/services/trust
  • Anmelde-URL des Identitätsanbieters (erforderlich) – https://{ADF-Hostname}/adfs/ls/
  • Metadaten-URL des Identitätsanbieters – https://{ADF-Hostname}/FederationMetadata/2007-06/FederationMetadata.xml
  • Signier-AuthN-Anforderung – aktivieren Sie diese Option
  • Sende-AuthN-Anforderung mit – richten Sie POST ein
  • Identitätsanbieter-Zertifikate (erforderlich) – befindet sich in der Regel im Active Directory unter „ADFS-Verwaltung > Zertifikate > Tokensignaturzertifikat“
 

AzureAD (Azure Active Directory)

Bei AzureAD laufen die Zertifikate für SAML/Single Sign-on alle 90 Tage ab. Daher muss regelmäßig die Einstellung des Identitätsanbieters überprüft und ein neues Zertifikat hochgeladen werden. Auf der Azure-Website gibt es zum Hinzufügen von Single Sign-on für DocuSign eine Anleitung unter Azure-Active-Directory-Integration von DocuSign. Derzeit unterstützt DocuSign noch nicht das automatische Zertifikat-Rollover für benutzerdefinierte SAML-Konfigurationen von Azure. DocuSign erwägt jedoch dies für zukünftige Releases anzubieten. Für Azure sind in der Regel die folgenden Einstellungen auf der DocuSign-Seite mit den Identitätsanbieter-Einstellungen erforderlich:
  • Identitätsanbieter-Aussteller (erforderlich) – kopieren Sie für dieses Feld im klassischen Azure-Portal die Aussteller-URL
  • Anmelde-URL des Identitätsanbieters (erforderlich) – kopieren Sie für dieses Feld im klassischen Azure-Portal die Remote-Anmelde-URL
  • Abmelde-URL des Identitätsanbieters – kopieren Sie für dieses Feld im klassischen Azure-Portal die Remote-Abmelde-URL
  • Signier-AuthN-Anforderung  – wählen Sie diese Option aus
  • Sende-AuthN-Anforderung mit – richten Sie POST ein
  • Sende-Abmeldeanforderung mit: – richten Sie GET ein
 

Okta

Melden Sie sich zum Konfigurieren bei Okta Admin und navigieren Sie zu „Applications > DocuSign > Sign On > SAML 2.0 > View Setup Instructions“ (Anwendungen > DocuSign > Anmelden > SAML 2.0 > Setup-Anleitung anzeigen). Sie finden die relevanten Variablen für Umgebungen im Leitfaden.
  • Identitätsanbieter-Aussteller (erforderlich) – eine alphanumerische Zeichenfolge, die für Ihre Instanz eindeutig ist
  • Anmelde-URL des Identitätsanbieters (erforderlich) – https://{Okta-Anmelde-Basis-URL}/app/docusign/{Aussteller}/sso/saml
  • Abmelde-URL des Identitätsanbieters – Ihre Basis-URL für den Okta-Zugriff
 

G Suite

Wenn Sie als DNS-Registrierungsstelle G Suite nutzen, kann der Domänen-Validierungs-Token einem TXT-Datensatz in der G-Suite-Admin-Konsole (https://admin.google.com) unter „Domains > Advanced DNS Settings“ (Domänen > Erweiterte DNS-Einstellungen“) hinzugefügt werden. Sobald Sie Ihre Domäne beansprucht haben, folgen Sie der Anleitung, um G Suite als Ihren DocuSign-Identitätsanbieter zu konfigurieren.
  1. Für G-Suite-Admin: Fügen Sie unter „Apps > SAML-Apps“ eine neue SAML-App hinzu. Hier finden Sie auch die vorkonfigurierte Option „DocuSign“.
  2. Für G-Suite-Admin: Kopieren Sie die Single-Sign-on-URL (SSO URL) und Entitäts-ID (Entity ID) und laden Sie das Domänenzertifikat herunter.
  3. Für DocuSign-Admin: Erstellen Sie einen neuen Identitätsanbieter unter „Identity Providers > Add Identity Provider“ (Identitätsanbieter > Identitätsanbieter erstellen) mit den folgenden Daten:
  • Name: Ihre G-Suite-Domäne (d. h. docusign-demo.com)
  • Identitätsanbieter-Aussteller: Entitäts-ID
  • Anmelde-URL des Identitätsanbieters: Single-Sign-on-URL von G Suite (Informationen oben)
  • Zertifikat hinzufügen: Laden Sie das Zertifikat, das vom Google-Identitätsanbieter heruntergeladen wurde, hoch.
  • Speichern Sie abschließend Ihre Einstellungen.
  1. Für G-Suite-Admin: Geben Sie die folgenden Details für die Endpunkte-Liste für DocuSign-Admin (Identitätsanbieter > Aktionen > Endpunkte) unter „Apps > SAML Apps > DocuSign > Service Provider Details“ (Apps > SAML-Apps > DocuSign > Serviceanbieterdetails) ein:
  • Anwendungsname: DocuSign
  • Beschreibung: Die einzige von Google empfohlene E-Signatur-Lösung
  • ACS-URL: [Der Wert für „Serviceanbieter-URL für Verbraucherservice“]
  • Entitäts-ID: [Der Wert für „Aussteller-URL des Serviceanbieters“]
  • Start-URL: [Der Wert für „Anmelde-URL des Serviceanbieters“]
  • Namens-ID: grundlegende Information: primäre E-Mail-Adresse
  • Namens-ID-Format: E-MAIL
  • Attributzuordnung:
    • name: grundlegende Information: Vorname
    • emailaddress: grundlegende Information: primäre E-Mail-Adresse
    • surname: grundlegende Information: Nachname
    • givenname: grundlegende Information: Vorname