Tutoriel : intégration de l’authentification unique Microsoft Entra à DocuSign

Dans ce tutoriel, vous apprendrez à intégrer DocuSign à Microsoft Entra ID. Quand vous intégrez DocuSign à Microsoft Entra ID, vous pouvez :

• Utiliser Microsoft Entra ID pour contrôler qui a accès à DocuSign.
• Permettre à vos utilisateurs de se connecter automatiquement à DocuSign via leur compte Microsoft Entra.
• gérer vos comptes à un emplacement central : le portail Azure.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Un abonnement DocuSign pour lequel l’authentification unique est activée.
• Contrôle de votre système DNS de domaine. C’est nécessaire pour revendiquer le domaine sur DocuSign.

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Description du scénario

Dans ce tutoriel, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test pour vérifier les éléments suivants :

• DocuSign prend en charge l’authentification unique lancée par le fournisseur de services.

• DocuSign prend en charge le provisionnement d’utilisateurs juste-à-temps.

• DocuSign prend en charge le provisionnement automatique d’utilisateurs.

Ajout de DocuSign à partir de la galerie

Pour configurer l’intégration de DocuSign à Microsoft Entra ID, vous devez ajouter DocuSign à partir de la galerie à votre liste d’applications SaaS managées :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez DocuSign dans la zone de recherche.
4. Sélectionnez DocuSign dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. Vous pouvez en apprendre davantage sur les assistants O365 ici.

Configurer et tester l’authentification unique Microsoft Entra pour DocuSign

Configurez et testez l’authentification unique Microsoft Entra avec DocuSign en utilisant un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur DocuSign correspondant.

Pour configurer et tester l’authentification unique Microsoft Entra avec DocuSign, effectuez les étapes suivantes :

1. Configurez l'authentification unique Microsoft Entra pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
   1. Créer un utilisateur test Microsoft Entra pour tester l'authentification unique Microsoft Entra avec B.Simon.
   2. Attribuer l'utilisateur de test Microsoft Entra pour permettre à B.Simon d'utiliser l'authentification unique Microsoft Entra.
2. Configurer DocuSign pour configurer les paramètres de l’authentification unique côté application.
   1. Créer un utilisateur test DocuSign pour générer un équivalent de B.Simon dans DocuSign lié à la représentation Microsoft Entra associée.
3. Tester l’authentification SSO , pour vérifier que la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer l’authentification unique Microsoft Entra SSO dans le portail Azure, effectuez les étapes suivantes :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à la page d’intégration des applications Identité>Applications>Applications d’entreprise>DocuSign, recherchez la section Gérer et sélectionnez ensuite Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

   a. Dans la zone de texte Identificateur (ID d’entité), entrez une URL au format suivant :

   https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2

   b. Dans la zone de texte URL de réponse , tapez une URL en respectant l’un des formats suivants :

   URL de réponse
   Production :
   https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2/login/<IDPID>
   https://<subdomain>.docusign.net/SAML/
   Instance AQ :
   https://<SUBDOMAIN>.docusign.com/organizations/saml2

   c. Dans la zone de texte URL de connexion, tapez une URL au format suivant :

   https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2/login/sp/<IDPID>

   Notes

   Ces valeurs entre crochets sont des espaces réservés. Remplacez-les par les valeurs de l’identifiant réel, de l’URL de réponse et de l’URL de connexion. Ces détails sont expliqués dans la section « Afficher les points de terminaison SAML 2.0 » plus loin dans ce tutoriel.

6. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez Certificat (Base64) . Sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

   

7. Dans la section Configurer DocuSign, copiez la ou les URL appropriées en fonction de vos besoins.

   

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous créez une utilisatrice test appelée B.Simon.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez accorder à B.Simon l’accès à DocuSign afin que cet utilisateur puisse utiliser l’authentification unique Azure.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>DocuSign.
3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.
4. Sélectionnez Ajouter un utilisateur puis, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.
5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs, puis appuyez sur le bouton Sélectionner au bas de l’écran.
6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
7. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique DocuSign

1. Dans une autre fenêtre du navigateur Web, connectez-vous à votre site d’entreprise DocuSign en tant qu’administrateur

2. En haut à gauche de la page, sélectionnez le lanceur d’applications (9 points), puis Admin.

   

3. Dans la page des solutions de votre domaine, sélectionnez Domains.

   

4. Dans la section Domains, sélectionnez CLAIM DOMAIN (Revendiquer un domaine).

   

5. Dans la boîte de dialogue de Claim a Domain (Revendiquer un domaine), dans la zone de texte Domain Name (Nom du domaine), indiquez votre domaine d’entreprise, puis cliquez sur CLAIM (Revendiquer). Veillez à vérifier le domaine et assurez-vous que son état est actif.

   

6. Dans la section Domains, sélectionnez Get Validation Token du nouveau domaine ajouté dans la liste des revendications.

   

7. Copier le Jeton TXT

   

8. Configurez votre fournisseur DNS avec le Jeton TXT en suivant ces étapes :

   a. Accédez à la page de gestion des enregistrements DNS de votre domaine.

   b. Ajoutez un nouvel enregistrement TXT.

   c. Nom : @ ou *.

   d. Texte : collez la valeur du Jeton TXT que vous avez copiée à l’étape précédente.

   e. TTL : Valeur par défaut ou 1 heure/3 600 secondes.

9. Dans le volet de navigation gauche, cliquez sur Fournisseurs d'identité dans ACCESS MANAGEMENT.

   

10. Dans la section Identity Providers, cliquez sur ADD IDENTITY PROVIDER (Ajouter un fournisseur d’identité).

    

11. Dans la page Identity Provider Settings (Paramètres du fournisseur d’identité), effectuez les étapes suivantes :

    a. Dans la zone Custom Name, tapez un nom unique pour votre configuration. N’utilisez pas d’espaces.

    

    b. Dans la zoneÉmetteur du fournisseur d’identité, collez l’Identificateur Microsoft Entra que vous avez copié.

    

    c. Dans la zone Identity Provider Login URL (URL de connexion du fournisseur identité), collez la valeur URL de connexion que vous avez copiée à partir du portail Azure.

    d. Dans la zone Identity Provider Logout URL (URL de déconnexion du fournisseur d’identité), collez la valeur URL de déconnexion que vous avez copiée à partir du portail Azure.

    

    e. Pour Send AuthN request by (Envoyer la requête d’authentification par), sélectionnez POST.

    f. Pour Send logout request by (Envoyer la requête de déconnexion par), sélectionnez GET.

    g. Dans la section Custom Attribute Mapping (Mappage des attributs personnalisés), sélectionnez ADD NEW MAPPING (Ajouter un nouveau mappage).

    

    .h Choisissez le champ que vous voulez mapper à la revendication Microsoft Entra. Dans cet exemple, la revendication emailaddress est mappée à la valeur de http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Il s’agit du nom de revendication par défaut de Microsoft Entra ID pour la revendication d’e-mail. Sélectionnez SAVE (Enregistrer).

    

    Remarque

    Utilisez l’Identificateur d’utilisateur approprié pour mapper l’utilisateur de Microsoft Entra ID au mappage d’utilisateur DocuSign. Sélectionnez le champ correct et entrez la valeur appropriée en fonction des paramètres de votre organisation. Le paramètre de mappage des attributs personnalisés n’est pas obligatoire.

    i. Dans la section Identity Provider Certificates (Certificats du fournisseur d’identité), sélectionnez ADD CERTIFICATE (Ajouter un certificat), puis chargez le certificat que vous avez téléchargé à partir du portail Azure et cliquez sur SAVE (Enregistrer).

    

    j. Dans la section Identity Providers (Fournisseurs d’identité), sélectionnez ACTIONS, puis Endpoints (Points de terminaison).

    

    k. Dans la section View SAML 2.0 Endpoints (Afficher les points de terminaison SAML 2.0) du portail d’administration DocuSign, effectuez les étapes suivantes :

    

    1. Copiez la valeur Service Provider Issuer URL (URL de l’émetteur du fournisseur d’identité) et collez-la dans la zone Identificateur de la section Configuration SAML de base.

    2. Copiez la valeur Service Provider Assertion Consumer Service URL (URL du service consommateur d’assertion) et collez-la dans la zone URL de réponse de la section Configuration SAML de base.

    3. Copiez la valeur Service Provider Login URL (URL de connexion du fournisseur de services) et collez-la dans la zone URL de connexion de la section Configuration SAML de base. La valeur IDPID est indiquée à la fin de Service Provider Login URL.

    4. Sélectionnez Fermer.

Créer un utilisateur de test DocuSign

Dans cette section, un utilisateur appelé B.Simon est créé dans DocuSign. DocuSign prend en charge le provisionnement d’utilisateurs juste-à-temps, option activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. S’il n’existe pas encore d’utilisateur dans DocuSign, il est créé après l’authentification.

Notes

Si vous devez créer un utilisateur manuellement, contactez l’équipe du support DocuSign.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

• Cliquez sur Tester cette application, cela sera redirigé vers l’URL de connexion DocuSign où vous pourrez lancer le flux de connexion.

• Accédez directement à l’URL de connexion DocuSign pour lancer le flux de connexion à partir de là.

• Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la vignette DocuSign dans Mes applications doit vous connecter automatiquement à l’application DocuSign pour laquelle vous avez configuré l’authentification unique (SSO). Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Une fois que vous avez configuré DocuSign, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.