DocuSignシングルサインオン - このIDプロバイダーはDocuSignに登録されていません

問題

https://account.docusign.comでの[勤務先アドレスでのログイン]オプションでログインに失敗し、「このIDプロバイダーはDocuSignに登録されていません」というエラーメッセージが表示される。

考えられる原因

証明書の不一致

SAMLResponseでIDプロバイダーから送信されるx.509証明書がDocuSignのシングルサインオン設定でアップロードされたx.509証明書とマッチしない。

たとえば、Azure Active DirectoryのSAML/x.509証明書は、カスタムSAMLアプリケーションのデフォルトとして90日ごとに期限切れになります。これにより、SAML認証のハンドシェイクに失敗することがあります。Azureでは同時に2つの証明書をアクティブにできないため、新しい証明書のリリースにより既存の証明書が無効になります。

アサーションコンシューマーサービスURIの問題

新しく作成されたIDプロバイダーのサービスプロバイダーアサーションコンシューマーサービス(ACS)のURIには、新しい形式が適用されています。この変更では、ACS URIの末尾にIDプロバイダーのID(IDPID)GUIDが追加されています。
  • 従来の形式: https://account.docusign.com/organizations/[OrganizationID]/saml2/login
  • 新しい形式: https://account.docusign.com/organizations/[OrganizationID]/saml2/login/[IDPID]
新しい形式が適用されるのは新しく作成されるIDプロバイダー設定のみであり、DocuSign eSignature管理画面では各IDプロバイダーのエンドポイントに正しい形式のACS URIが表示されます。使用するIDプロバイダーが要求を従来形式のURIに送信し、IDプロバイダー設定で新しい形式のURIが使用されている場合、x.509証明書が一致しても「このIDプロバイダーはDocuSignに登録されていません」というエラーが表示されます。

トラブルシューティング

この問題の原因を特定するには、WebブラウザーからSAMLトレースを取得してSAML応答を確認します。SAML応答には、IDプロバイダーから送信された証明書がエンコードテキストとして記述されています。このテキストを証明書ファイルとして保存して、証明書の詳細情報(発行者、サムプリントなど)がDocuSignのシングルサインオン設定にアップロードしたものとマッチしているかどうかを確認します。また、SAMLResponse属性のResponse Destination値をチェックして、IDプロバイダー設定のエンドポイントからのACS URI値に完全に一致しているかどうかを確認します。


解決方法

証明書の不一致

組織に対する完全な管理権限を持つDocuSign組織管理者としてDocuSignにログインして、新しく生成されたSSO証明書をアップロードします。

以下の手順に従います。
  1. DocuSign管理者がhttps://account.docusign.comにログインします。シングルサインオンでログインしないことに注意してください。
  2. 左上のアプリを切り替えるためのアイコンをクリックします。
  3. [管理者]を選択します。
  4. [IDプロバイダー]を選択します。
  5. 使用しているIDプロバイダーの列の横にある[アクション]をクリックします。
  6. [編集]をクリックします。
  7. [証明書の追加]をクリックします。
  8. 証明書をアップロードします。
  9. [保存]をクリックします。


IDプロバイダーとしてAzure/ADFSを使用している場合

カスタムSAML設定のAzureで提供されている証明書の自動ロールオーバー機能は、現在DocuSignでサポートされていません。今後のリリースでの対応が予定されています。以下のトピックを参照して、Azureで3年間有効な証明書が使用されるようにDocuSign Azure AD Connectorを正しく設定してください。カスタムのSAML設定を使用する場合は、デフォルトの有効期限の90日を変更することができます。カスタムSAMLアプリでの証明書の有効期限について詳しくは、Azureの資料を参照してください。

アサーションコンシューマーサービスURIの問題

組織に対する完全な管理権限が割り当てられたDocuSign管理者としてDocuSignにサインインし、正しいアサーションコンシューマーサービスURIを取得します。次に、それを適切なIDプロバイダーのDocuSign設定で使用します。

以下の手順に従います。
  1. DocuSign管理者がhttps://account.docusign.comにログインします。シングルサインオンでログインしないことに注意してください。
  2. 左上のアプリを切り替えるためのアイコンをクリックします。
  3. [管理者]を選択します。
  4. [IDプロバイダー]を選択します。
  5. 使用しているIDプロバイダーの列の横にある[アクション]をクリックします。
  6. [エンドポイント]を選択します。
  7. [サービスプロバイダーのアサーションコンシューマーサービスのURL]ボックスの値をコピーします。
IDプロバイダーの設定にこの値を適用するための手順はIDプロバイダーにより異なります。詳しくは、 IDプロバイダーのマニュアルを参照するかそのプロバイダーのサポートに問い合わせてください。

    関連情報

    チュートリアル: Azure Active DirectoryとDocuSignの統合
    DocuSign組織管理ガイド(PDF)