DocuSignシングルサインオン - このIDプロバイダーはDocuSignに登録されていません

問題

https://account.docusign.comでの［勤務先アドレスでのログイン］オプションでログインに失敗し、「このIDプロバイダーはDocuSignに登録されていません」というエラーメッセージが表示される。

考えられる原因

証明書の不一致

SAMLResponseでIDプロバイダーから送信されるx.509証明書がDocuSignのシングルサインオン設定でアップロードされたx.509証明書とマッチしない。

たとえば、Azure Active DirectoryのSAML/x.509証明書は、カスタムSAMLアプリケーションのデフォルトとして90日ごとに期限切れになります。これにより、SAML認証のハンドシェイクに失敗することがあります。Azureでは同時に2つの証明書をアクティブにできないため、新しい証明書のリリースにより既存の証明書が無効になります。

アサーションコンシューマーサービスURIの問題

新しく作成されたIDプロバイダーのサービスプロバイダーアサーションコンシューマーサービス（ACS）のURIには、新しい形式が適用されています。この変更では、ACS URIの末尾にIDプロバイダーのID（IDPID）GUIDが追加されています。

従来の形式: https://account.docusign.com/organizations/[OrganizationID]/saml2/login
新しい形式: https://account.docusign.com/organizations/[OrganizationID]/saml2/login/[IDPID]

新しい形式が適用されるのは新しく作成されるIDプロバイダー設定のみであり、DocuSign eSignature管理画面では各IDプロバイダーのエンドポイントに正しい形式のACS URIが表示されます。使用するIDプロバイダーが要求を従来形式のURIに送信し、IDプロバイダー設定で新しい形式のURIが使用されている場合、x.509証明書が一致しても「このIDプロバイダーはDocuSignに登録されていません」というエラーが表示されます。

トラブルシューティング

この問題の原因を特定するには、WebブラウザーからSAMLトレースを取得してSAML応答を確認します。SAML応答には、IDプロバイダーから送信された証明書がエンコードテキストとして記述されています。このテキストを証明書ファイルとして保存して、証明書の詳細情報（発行者、サムプリントなど）がDocuSignのシングルサインオン設定にアップロードしたものとマッチしているかどうかを確認します。また、SAMLResponse属性のResponse Destination値をチェックして、IDプロバイダー設定のエンドポイントからのACS URI値に完全に一致しているかどうかを確認します。

WebブラウザーでSAML応答を確認するには

解決方法

証明書の不一致

組織に対する完全な管理権限を持つDocuSign組織管理者としてDocuSignにログインして、新しく生成されたSSO証明書をアップロードします。

以下の手順に従います。

DocuSign管理者がhttps://account.docusign.comにログインします。シングルサインオンでログインしないことに注意してください。
左上のアプリを切り替えるためのアイコンをクリックします。
［管理者］を選択します。
［IDプロバイダー］を選択します。
使用しているIDプロバイダーの列の横にある［アクション］をクリックします。
［編集］をクリックします。
［証明書の追加］をクリックします。
証明書をアップロードします。
［保存］をクリックします。

IDプロバイダーとしてAzure/ADFSを使用している場合

カスタムSAML設定のAzureで提供されている証明書の自動ロールオーバー機能は、現在DocuSignでサポートされていません。今後のリリースでの対応が予定されています。以下のトピックを参照して、Azureで3年間有効な証明書が使用されるようにDocuSign Azure AD Connectorを正しく設定してください。カスタムのSAML設定を使用する場合は、デフォルトの有効期限の90日を変更することができます。カスタムSAMLアプリでの証明書の有効期限について詳しくは、Azureの資料を参照してください。