本記事では、OneLoginからDocusignへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
1. 全ドメインユーザーに適用されるログインポリシーの設定方法
OneLoginのライセンスが Starter, SSO または Enterprise プランのお客様向けのご案内
はじめに
Docusignには以下の2種類のSAML連携が可能なカタログコネクタがございます。
- DocuSign Admin API (Prod):実稼働環境用カタログコネクタ
- DocuSign Admin API (Demo):テスト環境用カタログコネクタ
DocuSign Admin API (Prod) および DocuSign Admin API (Demo) のいずれのコネクタにおいても、SAML連携の設定手順は同一です。つきましては、お客様の用途に適したコネクタを選択してください。
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Docusignのライセンスが法人向けプランである Business Pro + SSOオプション契約 または Enterprise Pro のいずれかであること
- Docusignにおいて 組織 を作成済みであること
- Docusign Admin の権限(DS Adminとは異なります)を持つアカウントを所有していること
SAML連携の設定手順
1. OneLogin側の操作(前半)
- OneLoginに管理者でログインし、管理 をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
DocuSign Admin API を検索し、用途に適したコネクタを選択します
*本記事では、DocuSign Admin API (Prod) を例にコネクタの設定を進めます。
- [Save]をクリックします
- Parameters > Required Parameters > NameID を選択します
-
Email を選択します
- [Save]をクリックします
-
SSO タブに移動し、 Issuer URL と SAML2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
-
[Download]をクリックします
2. Docusign側の操作
ドメインの設定
- Docusignに管理者としてログインし、ホーム左上のアイコンを選択します
-
Admin を選択します
- アクセス管理タブ > ドメイン を選択します
- [ドメインの追加]をクリックします
- ドメイン名を入力し[申請]をクリックします
-
テキスト値をコピーして、ドメインのDNSレコードにTXTレコードを追加します
*DNSレコードの設定方法はドメイン登録会社により異なりますので、各社のヘルプをご参照ください。DNSのレコード反映は、最大72時間かかる場合があります。
- [ドメインの検証]をクリックします
- 保留中と表示されたら、アクション > DNS検証 を選択します
- ステータスが アクティブ になるとドメインの設定は完了です
IDプロバイダーの設定
- アクセス管理タブ > IDプロバイダー を選択します
- [IDプロバイダーを追加]をクリックします
- カスタム名を入力し、[次へ]をクリックします
-
IDプロバイダーを下記のように設定し[次へ]をクリックします
Docusignの項目 OneLoginの値 IDプロバイダーの発行者 Issuer URL IDプロバイダーのログインURL SAML 2.0 Endpoint (HTTP) -
シングルサインオン(SSO)設定の編集にて、サードパーティログインを有効にする 設定にチェックを入れます
*サードパーティログインを有効にする を有効にすると、組織に登録されていないドメインを使用する DocusignユーザーにもSSOが適用されます。組織に登録したドメインのユーザーのみにSSOを適用したい場合は、当該設定にチェックを入れないようお願いいたします。
-
認証要求の送信: 設定と ログアウト要求の送信: 設定を GET に設定し、[IDプロパイダーの追加]をクリックします
-
アクション > 証明書の追加 を選択します
- [証明書の追加]をクリックし、証明書がアップロードできたら[保存]をクリックします
- 証明書ステータスが 有効 になっていることを確認します
OneLoginの設定に必要なIDのコピー
- IDプロパイダー > アクション >[エンドポイント]を選択します
-
サービスプロパイダーのログインURL の赤枠で囲まれた部分(IDPID)をクリップボードにコピーします。先頭のスラッシュも必要になりますのでご注意ください
(例: 下図における/42b1acca-882f-40f8-8776-c88fa9e1b839)
- メニューから 組織アカウント を選択し、設定対象のアカウントを選択します
- アカウントメニューから[アカウントプロフィール]を選択し、組織IDをクリップボードにコピーします
- インテグレーションメニューから[アプリとキー]を選択します
-
APIアカウントID をクリップボードにコピーします
3. OneLoginでの操作(後半)
-
Configuration タブに移動し、Docusignからコピーした値を貼り付けます
OneLoginの項目 Docusignの値 Organization ID 組織ID Account ID APIアカウントID IDPID OneLoginの設定に必要なIDのコピーの手順2でコピーした値
例:/42b1acca-882f-40f8-8776-c88fa9e1b839
※先頭に /(スラッシュ)が必要です
- 次に、[Save]をクリックします
- API Connection > [Authenticate]をクリックします
-
DocuSign Admin API (Prod)をクリックし、APIに接続します
- API 接続が完了したら、AuthenticateからClear Tokenへと変化していることを確認します
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 へ変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択します
- [Save]をクリックします
以上で、SAML連携の設定は完了です。
シングルサインオンの動作確認
- SAML設定を行っていたOneLoginの管理者アカウントからログアウトします
-
DocuSign Admin API(Prod)コネクタを割り当てたユーザーにログインします
-
コネクタをクリックし、正常にSSOできるかを検証します
*DocusignではProvisioning連携をしていない場合でもJIT Provisioning機能が働き、Docusign側でアカウントがないユーザーでもログイン出来てしまいますので、ロールの割り当てにはご注意ください。
- ログインに成功すれば、SAML連携の設定は完了です
SAML シングルサインオンの無効化
- Docusignに管理者としてログインし、ホーム左上から[Admin]をクリックします
- アクセス管理 >[IDプロパイダー]をクリックします
-
アクションのプルダウンから[削除]をクリックします
- 確認画面が表示されるので、ポップアップ中の[IDプロパイダーの削除]をクリックします
SAML認証の強制化
シングルサインオンが有効な組織内では、アカウントのすべてのユーザーにドメインのポリシー設定が適用されます。本項目では全員に適用されるDefaultのログインポリシーとユーザーごとのログインポリシーの2種類の設定手順をご紹介します(SAMLの強制化が組織単位、個人単位で可能です。)ログインポリシーを設定することでSAML認証の強制化をすることができます。
*ログインポリシーはドメインユーザーにのみ割り当て可能ですので、ご注意ください。
1. 全ドメインユーザーに適用されるログインポリシーの設定方法
- Docusign に管理者でログインし、左上のメニュー を開きます
- [Admin]を選択します
- アクセス管理 > ドメイン を選択します
- ログインポリシーを設定するドメインを選択します
- アクション > 設定の管理を選択します
-
すべてのユーザーにSSOでのログインを必須として設定するを選択します
- [保存]をクリックします
以上で、全ドメインユーザーに適用されるログインポリシーの設定は完了です。
2. ユーザーごとに適用されるログインポリシーの設定方法
- Docusign に管理者でログインし、左上のメニュー を開きます
- [Admin]を選択します
- ユーザー > ドメインユーザー を選択します
- ポリシーを設定するユーザーの ユーザーの表示 を選択します
-
セキュリティ を選択します
- ユーザーに適用するログインポリシーを選択します
- [保存]をクリックします
以上で、ユーザーごとに適用されるログインポリシーの設定は完了です。
OneLoginのライセンスが Starter, SSO, Enterprise または Advanced プランのお客様向けのご案内
OneLoginのライセンスが Unlimited または Professional Pack(新料金体系)であるお客様はユーザープロビジョニング機能がご利用いただけますので、DocuSign Admin API (Demo/Prod) - ユーザープロビジョニング をご参照ください。
1. ジャストインタイムプロビジョニングについて
Docusignでは、ジャストインタイムプロビジョニング(JITP)がデフォルトで有効になっております。ジャストインタイムプロビジョニングとは、OneLoginとDocusignがSAML連携済みの状態において、OneLoginにのみ存在するユーザーがDocusignに初回ログインした瞬間に、自動的にDocusignsアカウントが作成される機能です。Docusign側でアカウントが存在しないユーザーでもログイン出来てしまいますので、ロールの割り当てにはご注意ください。ジャストインタイムプロビジョニングによるユーザー作成をご希望でない場合は、ジャストインタイムプロビジョニングの無効化 をご参照ください。
*Docusignに登録済みのドメインと同一のドメインを保有するOneLoginユーザーのみが、ジャストインタイムプロビジョニングの対象となります。
2. ジャストインタイムプロビジョニングによるユーザー作成
- Docusign に管理者でログインし、左上のメニュー を開きます
- [Admin]を選択します
- アクセス管理メニューから[IDプロバイダー]を選択し、[ユーザーのプロビジョニング]タブを選択します
-
ジャストインタイムプロビジョニング の[編集]をクリックします
-
デフォルトの権限プロファイル を設定し、[保存]をクリックします
- OneLoginにのみ存在するユーザーでログインし、Docusignを開きます
- OneLoginにのみ存在するユーザーで、即座にDocusignにログインできたことを確認します
- Docusignの管理者でログインし、ユーザーが追加されていることを確認します
以上で、JIT プロビジョニングによるユーザーの作成は完了です。
3. ジャストインタイムプロビジョニングの無効化
- Docusign に管理者でログインし、左上のメニュー を開きます
- [Admin]を選択します
- アクセス管理メニューから[IDプロバイダー]を選択し、[ユーザーのプロビジョニング]タブを選択します
-
ジャストインタイムプロビジョニング のトグルをクリックし、無効にします
- ジャストインタイムプロビジョニングが無効になると、以下のメッセージが表示されることを確認します