DocuSign SSOv2 - Paramètres du fournisseur d’identités

Problème

Un compte DocuSign a une configuration de fournisseur d’identité inexacte ou manquante dans sa configuration SSO.

Image ajoutée par l’utilisateur  

Causes possibles

Parfois, pendant le diagnostic, l’administrateur d’organisation d’un compte DocuSign peut supprimer les informations du fournisseur d’identité ou alors l’entreprise peut avoir changé le fournisseur d’identité qu’elle utilise et doit donc mettre à jour ses paramètres. Cet article a été créé pour décrire les étapes à suivre pour recréer les données IdP dans DocuSign pour les fournisseurs d’identité les plus communs.

Solution(s)

Remarque : l’assistance DocuSign n’est pas responsable de connaître les informations de votre IdP, de trouver ces informations au sein de l’IdP, ou la configuration exacte des paramètres exigés par le IdP. L’administrateur du compte de l’organisation doit être conscient de ces exigences.

Les différents fournisseurs d’identité (IdP) auront des exigences différentes lors de la configuration de leurs informations dans DocuSign. Voici les configurations d’installations requises les plus courantes dans la page DocuSign « Paramètres du fournisseur d’identités ». Veuillez garder en tête que les données ci‑dessous sont fournies par votre IdP et qu’elles ne peuvent être fournies par un représentant de l’Assistance DocuSign. Nous comprenons que certains administrateurs ne sachent pas où trouver cette information. Cet article fournit des conseils généraux et décrit quelles seront les informations nécessaires.

Les options qui peuvent être éditées sur la page des paramètres du fournisseur d’identité sont :

  • Nom (requis) - cela doit être un nom unique (sans espaces) pour aider à identifier le fournisseur d’identité utilisé.
  • Émetteur du fournisseur d’identités (requis) - un identificateur d’URL unique et spécifique à l’instance de votre fournisseur d’identité.
  • URL d’ouverture de session du fournisseur d’identités (obligatoire) - il s’agit de l’URL de redirection pour lancer la négociation d’authentification pour s’identifier via SSO.
  • URL de déconnexion du fournisseur d’identités - similaire à l’URL d’ouverture de session, elle est utilisée dans les cas où une demande de déconnexion est également traitée ce qui peut être gérée via une URL spécifique.
  • URL des métadonnées du fournisseur d’identités - il s’agit d’une URL qui identifie le formatage de la requête SAML générée par le IdP
  • Signer la demande AuthN - sélectionnez uniquement si votre IdP requiert des demandes SAML signées
  • Demande de déconnexion - sélectionnez uniquement si votre IdP requiert des demandes SAML signées
  • Envoyer la demande d’authentification AuthN par : GET ou POST - sélectionnez selon les attentes de l’IdP
  • Envoyer la demande de déconnexion par : GET ou POST - sélectionnez selon les attentes de l’IdP
  • Mappage des attributs personnalisés - DocuSign s’attend à ce que certains attributs soient envoyés dans la demande SAML. Les conventions d’appellation peuvent différer d’un fournisseur à l’autre. Cette fonctionnalité permet de mapper un attribut vers un nom auquel DocuSign s’attend. Exemple : un IdP appelle l’attribut FirstName mais DocuSign attend le terme GivenName ; vous aurez donc à mapper FirstName vers GivenName pour éviter tout problème.
  • Certificats du fournisseur d’identités (obligatoire) - c’est une empreinte hachée qui prouve que la requête SAML provenant de l’IdP est authentique. Le client la charge sur DocuSign pour que personne d’autre ne puisse soumettre des demandes SAML pour authentifier.
 

ADFS (Active Directory Federation Services)

ADFS utilise généralement les renseignements suivants pour l’authentification :
  • Nom du fournisseur d’identités (obligatoire) - http://{adfs hostname}/adfs/services/trust
  • URL d’ouverture de session du fournisseur d’identités (obligatoire) - https://{adfs hostname}/adfs/ls/
  • URL des métadonnées du fournisseur d’identités - https://{adfs hostname}/FederationMetadata/2007-06/FederationMetadata.xml
  • Signer la demande AuthN - cet élément devrait être coché.
  • Envoyer une demande AuthN par - doit être défini sur POST.
  • Certificats du fournisseur d’identité (obligatoire) - ceux‑ci peuvent généralement se trouver dans Gestion ADFS > Certificats > Certificat de signature de jetons dans Active Directory.
 

AzureAD (Azure Active Directory)

AzureAD expire ses certificats SAML/SSO tous les 90 jours. Cela signifie que vous devrez fréquemment revoir les paramètres du fournisseur d'identité et charger un nouveau certificat. Azure fournit également un guide spécifiquement pour l’ajout de SSO pour DocuSign. DocuSign se renseigne actuellement sur un moyen d’utiliser la substitution de certificat intelligente disponible via AzureAD, mais cette fonctionnalité n’est pour le moment pas prise en charge. Voici ci‑dessous un récapitulatif des paramètres d’Azure qui doivent être nécessairement saisis dans la page Paramètres du fournisseur d’identités dans DocuSign :
  • Émetteur du fournisseur d’identités (obligatoire) - dans le portail classique Azure, copiez l’URL de l’émetteur pour ce champ.
  • URL d’ouverture de session du fournisseur d’identités (obligatoire) - dans le portail classique Azure, copiez l’URL d’ouverture de session à distance pour ce champ.
  • URL de déconnexion du fournisseur d’identités - dans le portail classique Azure, copiez l’URL de déconnexion à distance pour ce champ.
  • Signer la demande AuthNn - sélectionnez cette option.
  • Envoyer une demande AuthN par - doit être défini sur POST.
  • Envoyer la demande de déconnexion par - doit être défini sur GET.
 

Okta

Lors de la configuration, ouvrez une session sur le panneau d’administration Okta puis accédez à Applications > DocuSign > S’identifier > SAML 2.0 > Voir les instructions d’installation. Ceci va générer un guide contenant les variables spécifiques et pertinentes à l’environnement.
  • Émetteur du fournisseur d’identités (obligatoire) - une chaîne alphanumérique unique à votre instance
  • URL d’ouverture de session du fournisseur d’identités (obligatoire) - https://{okta login base URL}/app/docusign/{issuer}/sso/saml
  • URL de déconnexion du fournisseur d’identités - votre URL de base pour accéder à Okta
 

G Suite

Si G Suite est votre bureau d’enregistrement DNS, votre jeton de validation de domaine peut être ajouté à un enregistrement TXT dans la console d’administration de G Suite (https://admin.google.com), sous « Domaines »-->« Paramètres DNS avancés ». Une fois votre domaine revendiqué, les étapes suivantes montrent comment configurer G Suite comme votre fournisseur d’identité DocuSign.
  1. (dans la console d’administration de G Suite) Sous Apps-->Apps SAML, ajoutez une nouvelle app SAML. Il devrait y avoir une option « DocuSign » préconfigurée.
  2. (dans la console d’administration de G Suite) Copiez l’URL SSO et l’ID de l’entité puis téléchargez le certificat de domaine.
  3. (Dans DocuSign Admin) Sous Fournisseurs d’identité-->Ajouter un fournisseur d’identité, créez un nouveau IDP avec les données suivantes.
  • Nom : votre domaine G Suite (par ex. docusign-demo.fr)
  • Émetteur du fournisseur d’identités : «Identifiant de l’entité»
  • URL d’ouverture de session du fournisseur d’identités : «URL SSO» de G Suite (voir ci‑dessus)
  • Ajouter le certificat : chargez le certificat téléchargé à partir de Google IDP.
  • Enregistrez !
  1. (dans la console d’administration de G Suite) Dans Apps-->Apps SAML-->DocuSign-->Détails du fournisseur de service, saisissez les informations suivantes trouvées dans l’inscription « Points de terminaison »  de votre DocuSign Admin (Fournisseurs d’identité--> Actions--> Points de terminaison)
  • Nom de l’application : DocuSign
  • Description : la seule solution de signature électronique préconisée par Google
  • URL ACS : [La valeur dans « URL du service consommateurs d’assertion du prestataire de services »]
  • Identifiant de l’entité : [La valeur dans « URL de l’émetteur du prestataire de services »]
  • URL de départ : [La valeur dans « URL de connexion du prestataire de services »]
  • ID de nom : informations de base : e‑mail principal
  • Format de l’ID du nom : E‑MAIL
  • Mappage des attributs :
    • name : informations de base : prénom
    • emailaddress : informations de base : e‑mail principal
    • surname : informations de base : nom de famille
    • givenname : informations de base : prénom