教程:Microsoft Entra SSO 与 DocuSign 的集成

  • 项目

本教程介绍如何将 DocuSign 与 Microsoft Entra ID 相集成。 将 DocuSign 与 Microsoft Entra ID 集成后,可以:

  • 使用 Microsoft Entra ID 控制谁有权访问 DocuSign。
  • 让用户通过其 Microsoft Entra 帐户自动登录到 DocuSign。
  • 在一个中心位置(Azure 门户)管理帐户。

先决条件

若要开始操作,需备齐以下项目:

  • 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户
  • 已启用单一登录 (SSO) 的 DocuSign 订阅。
  • 控制域 DNS。 需要在 DocuSign 上声明域。

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。

方案描述

在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO,验证:

  • DocuSign 支持服务提供商 SP 发起的 SSO。

  • DocuSign 支持实时用户预配。

  • DocuSign 支持自动用户预配

若要配置 DocuSign 与 Microsoft Entra ID 的集成,必须从库中将 DocuSign 添加到托管 SaaS 应用列表:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分的搜索框中,键入 DocuSign
  4. 在结果面板中选择“DocuSign”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 可在此处详细了解 O365 向导。

配置并测试 DocuSign 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 DocuSign 的 Microsoft Entra SSO。 若要使 SSO 正常工作,必须在 Microsoft Entra 用户与 DocuSign 中的相应用户之间建立关联。

若要配置并测试 DocuSign 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO,使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户,以使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户,以使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 DocuSign SSO,在应用程序端配置单一登录设置。
    1. 创建 DocuSign 测试用户,在 DocuSign 中生成 B.Simon 的对应用户,并将其关联到该用户在 Microsoft Entra 中的表示形式。
  3. 测试 SSO ,验证配置是否正常工作。

配置 Microsoft Entra SSO

要在 Azure 门户中启用 Microsoft Entra SSO,请执行以下步骤:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“DocuSign”应用程序集成页,找到“管理”部分,然后选择“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的笔形图标以编辑设置 。

    编辑基本 SAML 配置

  5. 在“基本 SAML 配置” 部分中,按照以下步骤操作:

    a. 在“标识符(实体 ID)”文本框中,使用以下模式键入 URL

    https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2

    b. 在“回复 URL”文本框中,使用以下一种模式键入 URL:

    回复 URL
    生产:
    https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2/login/<IDPID>
    https://<subdomain>.docusign.net/SAML/
    QA 实例:
    https://<SUBDOMAIN>.docusign.com/organizations/saml2

    c. 在“登录 URL”文本框中,键入使用以下模式的 URL:

    https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2/login/sp/<IDPID>

    注意

    括号中的值是占位符。 将它们替换为实际标识符、回复 URL 和登录 URL 中的值。 本教程稍后的“查看 SAML 2.0 终结点”部分将会详细描述相关值。

  6. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分,找到“证书(Base64)” 。 选择“下载”以下载证书,并将其保存在计算机上。

    证书下载链接

  7. 在“设置 DocuSign”部分,根据要求复制相应的一个或多个 URL。

    复制配置 URL

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. “用户”属性中执行以下步骤:
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分,你将授予 B.Simon 对 DocuSign 的访问权限,使此用户能够使用 Azure 单一登录。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“DocuSign”。
  3. 在应用的概述页上找到“管理”部分,然后选择“用户和组” 。
  4. 选择“添加用户”,然后在“添加分配”对话框中选择“用户和组”。
  5. 在“用户和组”对话框中,选择“用户”列表中的“B.Simon”,然后按下屏幕底部的“选择”按钮。
  6. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
  7. 在“添加分配”对话框中,选择“分配”按钮。

配置 DocuSign SSO

  1. 在其他 Web 浏览器窗口中,以管理员身份登录到 DocuSign 公司站点

  2. 在页面左上角,选择应用启动器(9 个点),然后选择“管理员”。

    显示配置文件下“转到管理员”的屏幕截图。

  3. 在域解决方案页上选择“域”。

    Select_Domains 的屏幕截图。

  4. 在“域”部分,选择“声明域”。

    Claim_domain 的屏幕截图。

  5. 在“声明域”对话框中,在“域名”框中键入公司域,然后选择“声明” 。 确保对域进行验证并且其状态为活动。

    “声明域”/“域名”对话框的屏幕截图。

  6. 在“域”部分中,对声明列表中添加的新域选择“获取验证令牌”。

    pending_Identity_provider 的屏幕截图。

  7. 复制 TXT 令牌

    TXT_token 的屏幕截图。

  8. 按照以下步骤使用 TXT 令牌配置 DNS 提供程序:

    a. 导航到域的 DNS 记录管理页。

    b. 添加新的 TXT 记录。

    c. 名称:@ 或 *。

    d. 文本:粘贴从前面的步骤中复制的 TXT 令牌值。

    e. TTL:默认值或 1 小时/3,600 秒。

  9. 在左侧导航栏中,单击“访问管理”中的“标识提供者”

    “标识提供者”选项的屏幕截图。

  10. 在“标识提供者”部分,选择“添加标识提供者” 。

    “添加标识提供者”选项的屏幕截图。

  11. 在“标识提供者设置”页上执行以下步骤:

    a. 在“自定义名称”框中,为配置键入唯一的名称。 不要使用空格。

    name_Identity_provider 的屏幕截图。

    b. 在“标识提供者颁发者”框中,粘贴复制的“Microsoft Entra 标识符”值。

    urls_Identity_provider 的屏幕截图。

    c. 在“标识提供者登录 URL”框中,粘贴从 Azure 门户复制的“登录 URL”值 。

    d. 在“标识提供者注销 URL”框中,粘贴从 Azure 门户复制的“注销 URL”值。

    settings_Identity_provider 的屏幕截图。

    e. 对于“身份验证请求发送方式”,选择“POST”。

    f. 对于“注销请求发送方式”,选择“GET”。

    g. 在“自定义属性映射”部分中,选择“添加新映射” 。

    “自定义属性映射”UI 的屏幕截图。

    h.如果该值不存在,请单击“添加行”。 选择要映射到 Microsoft Entra 声明的字段。 在本示例中,emailaddress 声明已映射到 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 值。 这是 Microsoft Entra ID 中用于电子邮件声明的默认声明名称。 选择“保存”

    “自定义属性映射”字段的屏幕截图。

    注意

    请使用合适的“用户标识符”将用户从 Microsoft Entra ID 映射到 DocuSign 用户映射。 根据组织设置选择正确的字段并输入合适的值。 “自定义属性映射”设置不是必需的。

    i. 在“标识提供者证书”部分,选择“添加证书”,上传从 Azure 门户下载的证书,然后选择“保存”。

    标识提供者证书/添加证书的屏幕截图。

    j. 在“标识提供者”部分选择“操作”,然后选择“终结点”。

    标识提供者/终结点的屏幕截图。

    k. 在 DocuSign 管理门户的“查看 SAML 2.0 终结点”部分执行以下步骤:

    “查看 SAML 2.0 终结点”的屏幕截图。

    1. 复制“服务提供程序颁发者 URL”,然后将其粘贴到“基本 SAML 配置”部分的“标识符”框中。

    2. 复制“服务提供商断言使用者服务 URL”,然后将其粘贴到“基本 SAML 配置”部分的“回复 URL”框中。

    3. 复制“服务提供程序登录 URL”,然后将其粘贴到“基本 SAML 配置”部分的“登录 URL”框中。 在“服务提供商登录 URL”的末尾,你将获得 IDPID 值。

    4. 选择“关闭”。

创建 DocuSign 测试用户

在本部分,我们将在 DocuSign 中创建名为 B.Simon 的用户。 DocuSign 支持默认启用的实时用户预配。 此部分不存在任何操作项。 如果 DocuSign 中尚不存在用户,身份验证后会创建一个新用户。

注意

如果需要手动创建用户,请联系 DocuSign 支持团队

测试 SSO

在本部分,将使用以下选项测试 Microsoft Entra 单一登录配置。

  • 单击“测试此应用程序”会重定向到 DocuSign 登录 URL,可以从那里启动登录流。

  • 直接转到 DocuSign 登录 URL,并在其中启动登录流。

  • 你可使用 Microsoft 的“我的应用”。 在“我的应用”中单击“DocuSign”磁贴时,你会自动登录到设置了 SSO 的 DocuSign。 有关“我的应用”的详细信息,请参阅“我的应用”简介

后续步骤

配置 DocuSign 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制