教學課程：Microsoft Entra SSO 與 DocuSign 整合

在本教學課程中，您將了解如何整合 DocuSign 與 Microsoft Entra ID。 在整合 DocuSign 與 Microsoft Entra ID 時，您可以：

• 使用 Microsoft Entra ID 來控制可存取 DocuSign 的人員。
• 讓您的使用者能透過其 Microsoft Entra 帳戶自動登入 DocuSign。
• 在 Azure 入口網站中集中管理您的帳戶。

必要條件

若要開始使用，您需要下列項目：

• Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶，可以取得免費帳戶。
• 已啟用單一登入 (SSO) 的 DocuSign 訂用帳戶。
• 控制您的網域 DNS。 若要在 DocuSign 上宣告網域，這是必要的。

注意

此整合也可從 Microsoft Entra US Government 雲端環境使用。 您可以在 Microsoft Entra US Government 雲端應用程式資源庫中找到此應用程式，並以您從公用雲端所做的相同方式進行設定。

案例描述

在本教學課程中，您會在測試環境中設定和測試 Microsoft Entra SSO 以驗證：

• DocuSign 支援服務提供者 SP 起始的 SSO。

• DocuSign 支援 just-in-time 使用者佈建。

• DocuSign 支援自動使用者佈建。

從資源庫新增 DocuSign

若要設定將 DocuSign 整合到 Microsoft Entra ID 中，您必須從資源庫將 DocuSign 新增到受控 SaaS 應用程式清單：

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。
3. 在 [從資源庫新增] 區段的搜尋方塊中輸入 DocuSign。
4. 從結果面板選取 [DocuSign]，然後新增應用程式。 將應用程式新增至您的租用戶時，請稍候幾秒鐘。

或者，您也可以使用企業應用程式組態精靈。 在此精靈中，您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色，以及逐步進行 SSO 設定。 您可以在這裡深入了解 O365 精靈。

設定及測試適用於 DocuSign 的 Microsoft Entra SSO

以名為 B.Simon 的測試使用者，設定及測試與 DocuSign 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作，您必須建立 Microsoft Entra 使用者與 DocuSign 中對應使用者之間的連結關聯性。

若要設定及測試與 DocuSign 搭配運作的 Microsoft Entra SSO，請執行下列步驟：

1. 設定 Microsoft Entra SSO，讓您的使用者可以使用這項功能。
   1. 建立 Microsoft Entra 測試使用者，使用 B.Simon 測試 Microsoft Entra 單一登入。
   2. 指派 Microsoft Entra 測試使用者，讓 B.Simon 能夠使用 Microsoft Entra 單一登入。
2. 設定 DocuSign SSO，以在應用程式端設定單一登入設定。
   1. 建立 DocuSign 測試使用者，以在 DocuSign 中產生 B.Simon 的對應項目，且該項目連結到該使用者在 Microsoft Entra 中的代表項目。
3. 測試 SSO，以驗證組態是否能運作。

設定 Microsoft Entra SSO

若要在 Azure 入口網站中啟用 Microsoft Entra SSO，請執行下列步驟：

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [DocuSign] 應用程式整合頁面，尋找 [管理] 區段並選取 [單一登入]。

3. 在 [選取單一登入方法] 頁面上，選取 [SAML]。

4. 在 [以 SAML 設定單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示，以編輯設定。

   

5. 在 [基本 SAML 組態] 區段中，執行下列步驟：

   a. 在 [識別碼 (實體識別碼)] 文字方塊中，使用下列模式輸入 URL：

   https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2

   b. 在 [回覆 URL] 文字方塊中，以下列其中一個模式輸入 URL：

   回覆 URL
   生產：
   https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2/login/<IDPID>
   https://<subdomain>.docusign.net/SAML/
   QA 執行個體：
   https://<SUBDOMAIN>.docusign.com/organizations/saml2

   c. 在 [登入 URL] 文字方塊中，使用下列模式輸入 URL︰

   https://<subdomain>.docusign.com/organizations/<OrganizationID>/saml2/login/sp/<IDPID>

   注意

   這些加上括弧的值都是預留位置。 將它們取代為實際識別碼、回覆 URL 和登入 URL 中的值。 本教學課程稍後的「檢視 SAML 2.0 端點」一節會說明這些詳細資料。

6. 在 [以 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中，尋找 [憑證 (Base64)]。 選取 [下載] 以下載憑證，並將其儲存在您的電腦上。

   

7. 在 [設定 DocuSign] 區段中，依據您的需求複製適當的 URL。

   

建立 Microsoft Entra 測試使用者

在本節中，您會建立名為 B.Simon 的測試使用者。

1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
3. 選取畫面頂端的 [新增使用者] > [建立新的使用者]。
4. 在 [使用者] 屬性中，執行下列步驟：
   1. 在 [顯示名稱] 欄位中，輸入 B.Simon。
   2. 在 [使用者主體名稱] 欄位中，輸入 username@companydomain.extension。 例如： B.Simon@contoso.com 。
   3. 選取 [顯示密碼] 核取方塊，然後記下 [密碼] 方塊中顯示的值。
   4. 選取 [檢閱 + 建立]。
5. 選取 建立。

指派 Microsoft Entra 測試使用者

在這一節中，您會將 DocuSign 的存取權授與 B.Simon，此使用者便能使用 Azure 單一登入。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [DocuSign]。
3. 在應用程式的概觀頁面上，尋找 [管理] 區段，然後選取 [使用者和群組]。
4. 選取 [新增使用者]，然後在 [新增指派] 對話方塊中，選取 [使用者和群組]。
5. 在 [使用者和群組] 對話方塊中，從 [使用者] 清單選取 [B.Simon]，然後按畫面底部的 [選取] 按鈕。
6. 如果您預期將角色指派給使用者，則可以從 [選取角色] 下拉式清單中選取該角色。 如果未為此應用程式設定任何角色，您會看到已選取 [預設存取權] 角色。
7. 在 [新增指派] 對話方塊中，選取 [指派] 按鈕。

設定 DocuSign SSO

1. 在不同的網頁瀏覽器視窗中，以系統管理員身分登入您的 DocuSign 公司網站

2. 在頁面左上角，選取應用程式啟動器 (9 個點)，然後選取 [管理員]。

   

3. 在您的網域解決方案頁面上，選取 [網域]。

   

4. 在 [網域] 區段中，選取 [宣告網域]。

   

5. 在 [宣告網域] 對話方塊中，於 [網域名稱] 方塊內鍵入您的公司網域，然後選取 [宣告]。 請務必驗證網域，且其狀態為作用中。

   

6. 在 [網域] 區段中，選取宣告清單中所新增網域的 [取得驗證權杖]。

   

7. 複製 TXT 權杖

   

8. 遵循下列步驟，使用 TXT 權杖 設定您的 DNS 提供者：

   a. 瀏覽至您網域的 DNS 記錄管理頁面。

   b. 新增 TXT 記錄。

   c. 名稱：@ 或 *。

   d. 文字：貼上您從先前步驟複製的 TXT 權杖值。

   e. TTL：預設值或 1 小時/3,600 秒。

9. 在 [存取權管理] 的左導覽窗格中，按一下 [身分識別提供者] 。

   

10. 在 [識別提供者] 區段中，選取 [新增識別提供者]。

    

11. 在 [識別提供者設定] 頁面上，執行下列步驟：

    a. 在 [自訂名稱] 方塊中，為您的設定輸入唯一名稱。 請勿使用空格。

    

    b. 在 [識別提供者簽發者] 方塊中，貼上您所複製的 [Microsoft Entra 識別碼] 值。

    

    c. 在 [識別提供者登入 URL] 方塊中，貼上您從 Azure 入口網站複製的 [登入 URL] 值。

    d. 在 [識別提供者登出 URL] 方塊中，貼上您從 Azure 入口網站複製的 [登出 URL] 值。

    

    e. 選取 [POST] 作為 [驗證要求傳送方式]。

    f. 選取 [GET] 作為 [登出要求傳送方式]。

    .g 在 [自訂屬性對應] 區段中，選取 [新增對應]。

    

    h. 選擇要對應至 Microsoft Entra 宣告的欄位。 在此範例中，emailaddress 宣告的對應值是 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。 這是來自 Microsoft Entra ID 的電子郵件宣告的預設宣告名稱。 選取 [儲存]。

    

    注意

    請使用適當的使用者識別碼，將使用者從 Microsoft Entra ID 對應到 DocuSign 使用者對應。 選取適當的欄位，並根據組織的設定輸入適當的值。 [自訂屬性對應] 設定不是必要的。

    i. 在 [識別提供者憑證] 區段中選取 [新增憑證]，上傳您從 Azure 入口網站下載的憑證，然後選取 [儲存]。

    

    j. 在 [識別提供者] 區段中，選取 [動作]，然後選取 [端點]。

    

    k. 在 DocuSign 系統管理入口網站的 [檢視 SAML 2.0 端點] 區段中，執行下列步驟：

    

    1. 複製 [服務提供者簽發者 URL]，並將其貼到 [基本 SAML 組態] 區段的 [識別碼] 方塊中。

    2. 複製 [服務提供者判斷提示取用者服務 URL]，並將其貼到 [基本 SAML 組態] 區段的 [回覆 URL] 方塊中。

    3. 複製 [服務提供者登入 URL]，並將其貼到 [基本 SAML 組態] 區段的 [登入 URL] 方塊中。 您會在服務提供者登入 URL取得 IDPID 值。

    4. 選取關閉。

建立 DocuSign 測試使用者

本節會在 DocuSign 中建立名為 B.Simon 的使用者。 DocuSign 支援依預設啟用的 Just-In-Time 使用者佈建。 本節中沒有適用於您的動作項目。 如果 DocuSign 中還沒有使用者存在，在驗證之後就會建立新的使用者。

注意

如果您需要手動建立使用者，請連絡 DocuSign 支援小組。

測試 SSO

在本節中，您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

• 按一下 [測試此應用程式]，這會重新導向至 DocuSign 登入 URL，您可以在此處起始登入流程。

• 直接移至 DocuSign 登入 URL，然後從該處起始登入流程。

• 您可以使用 Microsoft 我的應用程式。 當您在「我的應用程式」中按一下 DocuSign 圖格時，應該會自動登入您已設定 SSO 的 DocuSign。 如需「我的應用程式」的詳細資訊，請參閱我的應用程式簡介。

下一步

設定 DocuSign 之後，您可以強制執行工作階段控制項，以即時防止組織的敏感性資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項。