DocuSign管理者がジャストインタイムプロビジョニングを使用するには

ジャストインタイムプロビジョニングとは

ジャストインタイムプロビジョニングは、DocuSignのシングルサインオンで提供されるアクセス管理機能の1つです。ジャストインタイムプロビジョニング機能では、組織に関連付けられたIDプロバイダーの情報に基づいてDocuSignユーザーが自動的に設定されます。DocuSign組織内にアクティブなメンバーシップを持たないユーザーがシングルサインオンでのログインを行うと、IDプロバイダーからログイン要求(SAMLResponse)が送信され、デフォルトのアカウント設定および権限プロファイルを持つ新しいDocuSignユーザーが作成されます。これにより、IDプロバイダーによりDocuSignへのアクセスが許可されたすべてのユーザーがDocuSignにログインして使用できるようになります。事前にアカウントをアクティブ化しておく必要はありません。ジャストインタイムプロビジョニング機能では、DocuSignへのすべてのアクセスがIDプロバイダーにより制御されます。

ジャストインタイムプロビジョニングのしくみ

ジャストインタイムプロビジョニング機能では、SAMLResponseでDocuSign側に提供されたユーザー属性が検証され、既存のアクティブユーザーと照合されます。組織内に一致するアクティブユーザーが見つからない場合、新しいユーザーが作成されて自動的にアクティブになります。この機能では、以下のユーザー属性が使用されます。
  • nameidentifier: 「フェデレーションID」または「名前ID」とも呼ばれます。シングルサインオンを使ってDocuSignにアクセスしたことがあるユーザーには、nameidentifier属性が設定されます。この属性は、シングルサインオンでログインするユーザーの主要識別子です。組織に関連付けられたドメインのユーザーがログインしたときにnameidentifier属性が一致するアクティブユーザーが見つかると、そのユーザーとしてのログインが許可されます。SAMLResponseのemailaddress属性がDocuSignユーザーのメールアドレスと異なる場合は、そのユーザーのメールアドレスが更新されます。
  • emailaddress: SAMLResponseで受け取ったnameidentifier属性がアクティブなDocuSignユーザーと一致しない場合は、emailaddress、givenname、およびsurnameのすべての属性が一致するユーザーが検索されます。これらの3つの属性が一致するアクティブユーザーが見つからない場合、新しいユーザーがプロビジョニングされます。
  • givenname: nameidentifier属性が一致するユーザーが見つからない場合、givenname属性がemailaddress属性およびsurname属性と一緒に使用され、アクティブなDocuSignユーザーが検索されます。これらの3つの属性が一致するアクティブユーザーが見つからない場合、新しいユーザーがプロビジョニングされます。
  • surname: nameidentifier属性が一致するユーザーが見つからない場合、surname属性がemailaddress属性およびgivenname属性と一緒に使用され、アクティブなDocuSignユーザーが検索されます。これらの3つの属性が一致するアクティブユーザーが見つからない場合、新しいユーザーがプロビジョニングされます。
ジャストインタイムプロビジョニング機能のデフォルトでは、組織のデフォルトのアカウントおよび権限プロファイルが新しいユーザーに適用されます。ほかのアカウントや権限プロファイルを割り当てるには、SAMLResponseに以下の2つの属性を追加する必要があります。
  • AccountID
  • permissionprofileid
これらの属性についての詳細および使用方法については、「SSOのセットアップ: IDプロバイダー - DocuSign管理者ガイド」を参照してください。

詳細情報