DocuSignシングルサインオンv2 - IDプロバイダーの設定
問題
シングルサインオン環境で、DocuSignアカウントでのIDプロバイダー設定が不正確または欠落している。
考えられる原因
DocuSignアカウントの組織管理者がIDプロバイダー情報を誤って削除した。または、使用するIDプロバイダーの変更により設定を更新する必要がある。ここでは、一般的なIDプロバイダーのIdPデータを再作成する方法について説明します。
解決方法
注: 使用するIDプロバイダー情報の内容、その情報の確認場所、および必要な設定内容の詳細など、ここで説明する内容が実際と異なる場合があります。詳しくは、組織の管理者に問い合わせてください。
DocuSignで設定するIDプロバイダー情報は、使用するIDプロバイダーにより異なります。ここでは、最も一般的な設定について説明します。これらの設定は、[IDプロバイダーの設定]ページで行います。ここでの内容はIDプロバイダーにより提供されるものであり、DocuSignサポート担当者が提供できるものではないことに注意してください。一部の管理者が、これらの情報の確認場所を知らない場合があります。ここでは、設定時に必要な情報を一般的なガイダンスとして提供します。
[IDプロバイダーの設定]ページでは、以下のオプションを設定します。
- 名前(必須): わかりやすいIDプロバイダー名を入力します。スペースは使用できません。また、DocuSignシステム内で重複しない名前を使用してください。
- IDプロバイダーの発行者(必須): IDプロバイダー固有のURL識別子です。
- IDプロバイダーのログインURL(必須): シングルサインオンのログイン認証でハンドシェイクを行うためのリダイレクトURLです。
- IDプロバイダーのログアウトURL: 上記ログインURLと同様に、ログアウト要求を処理する場合のURLです。
- IDプロバイダーのメタデータURL: SAML要求の書式を識別するURLです。サービスプロバイダーによるログインで必要になります。
- 認証要求に署名する: IDプロバイダーで署名付きSAMLが必要な場合はこのチェックボックスをオンにします。
- ログアウト要求に署名する: IDプロバイダーで署名付きSAMLが必要な場合はこのチェックボックスをオンにします。
- 認証要求の送信 - GETまたはPOST: IDプロバイダーで必要な送信方法を選択します。
- ログアウト要求の送信 - GETまたはPOST: IDプロバイダーで必要な送信方法を選択します。
- カスタム属性マッピング: 送信されるSAML要求には特定の属性が含まれている必要があります。これらの属性の命名規則は、プロバイダーによって異なります。カスタム属性マッピングでは、任意の属性にDocuSignで認識できる名前を割り当てることができます。たとえば、IDプロバイダーでFirstName属性がコールされ、DocuSign側で認識できる名前が「givenname」の場合は、「FirstName」を「givenname」にマップします。
- IDプロバイダー証明書(必須): IDプロバイダーからのSAML要求が本物であることを示すハッシュ化サムプリントです。ユーザーがこの証明書をDocuSignにアップロードして、ほかのユーザーが認証用のSAML要求を送信できないようにします。
ADFS(Active Directoryフェデレーションサービス)
ADFSでは、一般的に以下の情報が使用されます。
- IDプロバイダーの発行者(必須): http://{ADFSホスト名}/adfs/services/trust
- IDプロバイダーのログインURL(必須): https://{ADFSホスト名}/adfs/ls/
- IDプロバイダーのメタデータURL: https://{ADFSホスト名}/FederationMetadata/2007-06/FederationMetadata.xml
- 認証要求に署名する: このチェックボックスをオンにします。
- 認証要求の送信: [POST]を選択します。
- IDプロバイダー証明書(必須): 通常、Active DirectoryのADFS Management > Certificates > Token-Signing certにあります。
AzureAD(Azure Active Directory)
AzureADでは、カスタムSAMLアプリケーションの証明書がデフォルトで90日ごとに期限切れになります。ただし、この有効期限はカスタマイズが可能です。このため、頻繁にIDプロバイダー設定を更新して新しい証明書をアップロードする必要があります。また、AzureによるDocuSignへのシングルサインオンについての資料が公開されています。ここでは、90日ではなく3年間有効な証明書が使用されています。AzureADでのスマート証明書ロールオーバー機能の使用方法については、現在調査中です。現在はまだサポートされていません。Azureで必要な[IDプロバイダーの設定]ページの設定は、以下のとおりです。
- IDプロバイダーの発行者(必須): Azureクラシックポータルから発行者のURLをコピーします。
- IDプロバイダーのログインURL(必須): AzureクラシックポータルからリモートログインURLをコピーします。
- IDプロバイダーのログアウトURL: AzureクラシックポータルからリモートログアウトURLをコピーします。
- 認証要求に署名する: このチェックボックスをオンにします。
- 認証要求の送信: [POST]を選択します。
- ログアウト要求の送信: [GET]を選択します。
Okta
Oktaの管理者パネルにログインして、Applications > DocuSign > Sign On > SAML 2.0 > View Setup Instructionsの順に選択します。これにより、その環境用の変数を示すガイドが生成されます。
- IDプロバイダーの発行者(必須): インスタンス固有の英数文字列です。
- IDプロバイダーのログインURL(必須): https://{OktaログインベースURL}/app/docusign/{発行者}/sso/saml
- IDプロバイダーのログアウトURL: OktaにアクセスするときのベースURLです。
G Suite
G SuiteがDNS登録機関である場合は、G Suite管理コンソール(https://admin.google.com)のTXTレコードにドメインの検証トークンを追加できます([Domains]>[Advanced DNS Settings])。自分のドメインを申請したら、以下の手順でG SuiteをDocuSignのIDプロバイダーとして設定します。
- (G Suite管理コンソールで)[アプリ]>[SAML]の順に選択し、新しいSAMLアプリを追加します。事前設定の[DocuSign]オプションを使用します。
- (G Suite管理コンソールで)SSOのURLとエンティティIDをコピーして、ドメイン証明書をダウンロードします。
- (DocuSign管理画面で)[IDプロバイダー]>[IDプロバイダーの追加]の順に選択し、以下の情報を指定してIDプロバイダーを追加します。
- 名前: 自分のG Suiteドメイン(「docusign-demo.com」など)です。
- IDプロバイダーの発行者: エンティティIDを入力します。
- IDプロバイダーのログインURL: SSOのURLを入力します(上記)。
- 証明書の追加: Google IDプロバイダーからダウンロードした証明書をアップロードします。
- 保存します。
- (G Suite管理コンソールで)[アプリ]>[SAMLアプリ]>[DocuSign]>[サービスプロバイダの詳細]の順に選択し、DocuSign管理画面のエンドポイントダイアログボックス([IDプロバイダー]>[アクション]>[エンドポイント])に表示される以下の値を入力します。
- アプリケーション名: DocuSign
- 説明: Google推奨の唯一の電子署名ソリューション
- ACSのURL: [サービスプロバイダーのアサーションコンシューマーサービスのURL]の値
- エンティティID: [サービスプロバイダーの発行元URL]の値
- 開始URL: [サービスプロバイダーのログインURL]の値
- 名前ID: [基本情報]:[メインのメールアドレス]
- 名前IDの書式: [EMAIL]
- 属性のマッピング:
- name: [基本情報]:[名]
- emailaddress: [基本情報]:[メインのメールアドレス]
- surname: [基本情報]:[姓]
- givenname: [基本情報]:[名]
