DocuSignシングルサインオン - このIDプロバイダーはDocuSignに登録されていません

問題

https://account.docusign.comでの[勤務先アドレスでのログイン]オプションでログインに失敗し、「このIDプロバイダーはDocuSignに登録されていません」というエラーメッセージが表示される。


User-added image

考えられる原因

SAMLResponseでIDプロバイダーから送信されるx.509証明書がDocuSignのシングルサインオン設定でアップロードされたx.509証明書とマッチしない。

たとえば、Azure Active DirectoryのSAML/x.509証明書は90日ごとに期限切れになります。これにより、SAML認証のハンドシェイクに失敗することがあります。Azureでは同時に2つの証明書をアクティブにできないため、新しい証明書のリリースにより既存の証明書が無効になります。

この問題の原因を特定するには、WebブラウザーからSAMLトレースを取得してSAML応答を確認します。SAML応答には、IDプロバイダーから送信された証明書がエンコードテキストとして記述されています。このテキストを証明書ファイルとして保存して、証明書の詳細情報(発行者、サムプリントなど)がDocuSignのシングルサインオン設定にアップロードしたものとマッチしているかどうかを確認します。

解決方法

シングルサインオンを管理するDocuSign組織管理者としてDocuSignにログインして、新しく生成されたSSO証明書をアップロードします。

以下の手順に従います。
  1. 組織管理者がhttps://account.docusign.comにログインします。IdPまたはシングルサインオンでログインしないことに注意してください。
  2. DocuSignアカウントページ右上のプロフィール画像をクリックします。
  3. [管理画面に移動]を選択します。
  4. [IDプロバイダー]を選択します。
  5. 使用しているIDプロバイダーの列の横にある[アクション]をクリックします。
  6. [編集]を選択します。
  7. [証明書の追加]をクリックします。
  8. 証明書をアップロードします。
  9. [保存]をクリックします。


IDプロバイダーとしてAzure/ADFSを使用している場合

カスタムSAML設定のAzureで提供されている証明書の自動ロールオーバー機能は、現在DocuSignでサポートされていません。今後のリリースでの対応が予定されています。以下のトピックを参照して、Azureで3年間有効な証明書が使用されるようにDocuSign Azure AD Connectorを正しく設定してください。DocuSign Azure AD Connectorの代わりにカスタムのSAML設定を使用する場合、証明書は6週間で期限切れになります。

関連情報

チュートリアル: Azure Active DirectoryとDocuSignの統合
DocuSign組織管理ガイド(PDF)