この記事の目的は、Microsoft Entra ID から DocuSign にユーザー アカウントを自動的にプロビジョニングおよびプロビジョニング解除するために DocuSign と Microsoft Entra ID で実行する必要がある手順を示することです。
前提条件
この記事で説明するシナリオでは、次の項目が既にあることを前提としています。
- Microsoft Entra テナント。
- DocuSign でのシングル サインオンが有効なサブスクリプション。
- Team Admin アクセス許可がある DocuSign のユーザー アカウント。
DocuSign へのユーザーの割り当て
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。
プロビジョニング サービスを構成して有効にする前に、DocuSign アプリへのアクセスが必要なユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順でこれらのユーザーを DocuSign アプリに割り当てることができます。
エンタープライズ アプリケーションにユーザーまたはグループを割り当てる
ユーザーを DocuSign に割り当てる際の重要なヒント
プロビジョニング構成をテストするには、1 人の Microsoft Entra ユーザーを DocuSign に割り当てることをお勧めします。 後で追加のユーザーを割り当てられます。
DocuSign にユーザーを割り当てるときに、有効なユーザー ロールを選択する必要があります。 "既定のアクセス" ロールはプロビジョニングでは機能しません。
注
Microsoft Entra ID では、Docusign アプリケーションを使用したグループ プロビジョニングはサポートされていません。ユーザーのみをプロビジョニングできます。
ユーザー プロビジョニングの有効化
このセクションでは、Microsoft Entra ID を DocuSign のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーとグループの割り当てに基づいて、割り当て済みのユーザー アカウントを DocuSign で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。
ヒント
DocuSign では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Azure portal で説明されている手順に従ってください。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
ユーザー アカウント プロビジョニングを構成するには
このセクションでは、Active Directory のユーザー アカウントのプロビジョニングを DocuSign に対して有効にする方法を説明します。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>エンタープライズアプリケーションに移動します。
シングル サインオンのために DocuSign を既に構成している場合は、検索フィールドで DocuSign のインスタンスを検索します。 構成していない場合は、 [追加] を選択してアプリケーション ギャラリーで DocuSign を検索します。 検索結果から DocuSign を選択してアプリケーションの一覧に追加します。
DocuSign のインスタンスを選択してから、 [プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションに次の構成設定を指定します。
[管理ユーザー名] テキストボックスに、DocuSign のシステム管理者プロファイルが割り当てられている DocuSign アカウント名を入力します。
[管理パスワード] テキストボックスに、このアカウントのパスワードを入力します。
注
SSO とユーザー プロビジョニングの両方が設定されている場合、プロビジョニングに使用される認証資格情報は、SSO およびユーザー名/パスワードの両方で有効になるように構成される必要があります。
[接続のテスト] をクリックして、Microsoft Entra ID で DocuSign アプリに接続できることを確かめます。
プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを [通知用メール] フィールドに入力して、チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクションで、[Microsoft Entra ユーザーを DocuSign に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から DocuSign に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で DocuSign のユーザー アカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
DocuSign に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態] を [オン] に変更します
[保存] を選択します。
[ユーザーとグループ] セクションで DocuSign に割り当てたユーザーの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視できるほか、リンクをクリックしてプロビジョニング アクティビティ ログを取得できます。このログには、プロビジョニング サービスによって DocuSign アプリに対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方について詳しくは、「自動ユーザー アカウント プロビジョニングについてのレポート」をご覧ください。
トラブルシューティングのヒント
- Docusign でユーザーのロールまたはアクセス許可プロファイルをプロビジョニングするには、属性マッピングで switch と singleAppRoleAssignment 関数を使用する式を使用します。 たとえば、以下の式では、Microsoft Entra ID でユーザーに "DS Admin" ロールが割り当てられている場合、ID "8032066" がプロビジョニングされます。 ユーザーに Microsoft Entra ID 側のロールが割り当てられていない場合、アクセス許可プロファイルはプロビジョニングされません。 DocuSign ポータルから ID を取得できます。
スイッチ(シングルアプリ役割の割り当て([アプリ役割割り当て]), " ", "DS 管理者", "8032066")