DocuSign SSO - Le fournisseur d’identité émetteur n’est pas enregistré avec DocuSign

Problème

L’option Identifiant de l’entreprise sur https://account.docusign.com, se traduit par le message d’erreur « Le fournisseur d’identité émetteur n’est pas enregistré avec DocuSign » et la connexion échoue.


Causes possibles

Erreur de correspondance du certificat

Le certificat x.509 transmis par votre fournisseur d’identité dans la réponse SAML (SAMLResponse) ne correspond pas au certificat x.509 chargé dans votre configuration SSO dans DocuSign.

Par exemple, Azure Active Directory expire son certificat SAML/x.509 tous les 90 jours par défaut pour une application SAML personnalisée, ce qui provoque l’échec de l’établissement de la liaison d’authentification SAML même si ce certificat n’a pas expiré. Des clients nous ont informés que Azure ne permet pas à deux certificats d’être actifs à la fois : si un nouveau certificat est publié, cela invalide automatiquement tous les certificats existants.

Problème d’URL du service consommateur d’assertions

DocuSign a mis à jour le format de l’URI ACS (Service Provider Assertion Consumer Service) pour les configurations de fournisseur d’identité nouvellement créées. Cette mise à jour ajoute un GUID « ID du fournisseur d’identité » (IDPID) à l’URI ACS.
  • Ancien format : https://account.docusign.com/organizations/[OrganizationID]/saml2/login
  • Format actuel : https://account.docusign.com/organizations/[OrganizationID]/saml2/login/[IDPID]
Comme le nouveau format ne s’applique qu’aux configurations de fournisseur d’identités nouvellement créées, les points de terminaison pour chaque configuration de fournisseur d’identités dans DocuSign Admin afficheront le format correct pour l’URI ACS de chaque fournisseur d’identités. Si votre fournisseur d’identité envoie la demande à l’URI dans l’ancien format mais que la configuration de votre fournisseur d’identité nécessite le nouveau format, les utilisateurs recevront « Le fournisseur d’identité émetteur n’est pas enregistré avec DocuSign » même si le certificat x.509 correspond.

Diagnostic

Pour confirmer la cause de cette erreur, vous devez récupérer une trace SAML depuis votre navigateur et consulter la SAMLResponse. Au sein de la SAMLResponse se trouve le certificat transmis par votre fournisseur d’identité sous forme de texte codé. Enregistrer le texte dans un fichier certificat pour valider si les détails du certificat (émetteur, empreinte, etc.) correspondent à ce qui a été chargé dans votre configuration SSO dans DocuSign. Vous pouvez également revoir la valeur de la réponse de destination dans SAMLResponse pour déterminer si la valeur / le format correspond exactement à la valeur de l’URL du service consommateurs d’assertion du prestataire de services à partir des points de terminaison de vos configurations de fournisseur d’identités.


Solutions

Erreur de correspondance du certificat

Un administrateur DocuSign disposant de tous les droits pour gérer l’organisation doit s’identifier sur DocuSign et charger un certificat SSO nouvellement généré dans notre système.

Ceci nécessite de suivre les étapes suivantes :
  1. L’administrateur DocuSign doit ouvrir une session sur https://account.docusign.com (N’utilisez pas de fournisseur d’identité / SSO pour vous identifier)
  2. Cliquez sur l’icône de sélection d’applications dans le coin supérieur gauche
  3. Sélectionnez Admin
  4. Sélectionnez Fournisseur d’identité
  5. Sélectionnez Actions à côté du fournisseur d’identité en question
  6. Sélectionnez Modifier
  7. Sélectionnez Ajouter le certificat
  8. Chargez le certificat depuis l'emplacement enregistré sur le PC.
  9. Cliquez ensuite sur Enregistrer


Pour les clients utilisant Azure/ADFS comme fournisseur d’identité

Pour le moment DocuSign ne prend pas en charge la fonctionnalité de substitution automatique de certificat offerte par Azure pour les configurations personnalisées SAML. Ceci à l’étude pour une future version. Veuillez vous assurer que vous avez configuré Azure pour qu’il utilise le connecteur DocuSign Azure AD comme décrit dans l’article ci‑dessous pour obtenir un certificat qui sera valide pendant 3 ans. Si vous utilisez à la place une configuration SAML personnalisée, l’expiration du certificat est définie par défaut sur 90 jours mais peut être configurée manuellement. Reportez-vous à la documentation Azure pour plus d’informations sur l’expiration de certificats d’applications SAML personnalisées.

Problème d’URI du service consommateur d’assertions

Un administrateur DocuSign disposant de tous les droits pour gérer l’organisation doit s’identifier sur DocuSign et obtenir l’URI correct du service consommateur d’assertion du fournisseur de services, puis mettre à jour cette valeur dans la configuration DocuSign au sein de son fournisseur d’identité.

Ceci nécessite de suivre les étapes suivantes :
  1. L’administrateur DocuSign doit ouvrir une session sur https://account.docusign.com (N’utilisez pas de fournisseur d’identité / SSO pour vous identifier)
  2. Cliquez sur l’icône de sélection d’applications dans le coin supérieur gauche
  3. Sélectionnez Admin
  4. Sélectionnez Fournisseur d’identité
  5. Sélectionnez Actions à côté du fournisseur d’identité en question
  6. Sélectionnez Points de terminaison
  7. Copiez la valeur dans le champ « URL du service consommateurs d’assertion du prestataire de services »
Les étapes pour mettre à jour cette valeur dans le fournisseur d’identités varient selon chaque fournisseur d’identités. Reportez-vous à la documentation ou à l’équipe d’assistance de votre fournisseur d’identité pour obtenir de l’aide sur la mise à jour de cette valeur dans le fournisseur d’identité.

    Articles connexes

    Didacticiel : Intégration d’Azure Active Directory avec DocuSign
    Guide DocuSign Org Admin (PDF)