Tutorial: Configurar o DocuSign para provisionamento automático de usuários
O objetivo deste tutorial é mostrar as etapas que você precisa executar no DocuSign e no Microsoft Entra ID para provisionar e desprovisionar automaticamente contas de usuário do Microsoft Entra ID para o DocuSign.
Pré-requisitos
O cenário descrito neste tutorial pressupõe que já tem os seguintes itens:
- Um locatário do Microsoft Entra.
- Uma assinatura habilitada para logon único do DocuSign.
- Uma conta de usuário no DocuSign com permissões de administrador de equipe.
Atribuindo usuários ao DocuSign
O Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.
Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Microsoft Entra ID representam os usuários que precisam acessar seu aplicativo DocuSign. Uma vez decidido, você pode atribuir esses usuários ao seu aplicativo DocuSign seguindo as instruções aqui:
Atribuir um usuário ou grupo a um aplicativo corporativo
Dicas importantes para atribuir usuários ao DocuSign
É recomendável que um único usuário do Microsoft Entra seja atribuído ao DocuSign para testar a configuração de provisionamento. Usuários adicionais podem ser atribuídos posteriormente.
Ao atribuir um usuário ao DocuSign, você deve selecionar uma função de usuário válida. A função "Acesso padrão" não funciona para provisionamento.
Nota
O Microsoft Entra ID não oferece suporte ao provisionamento de grupo com o aplicativo Docusign, apenas os usuários podem ser provisionados.
Habilitar o provisionamento de usuários
Esta seção orienta você na conexão de sua ID do Microsoft Entra à API de provisionamento de conta de usuário do DocuSign e na configuração do serviço de provisionamento para criar, atualizar e desabilitar contas de usuário atribuídas no DocuSign com base na atribuição de usuário e grupo na ID do Microsoft Entra.
Gorjeta
Você também pode optar por habilitar o Logon Único baseado em SAML para DocuSign, seguindo as instruções fornecidas no portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos se complementem.
Para configurar o provisionamento de conta de usuário:
O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Ative Directory para o DocuSign.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Se você já configurou o DocuSign para logon único, procure sua instância do DocuSign usando o campo de pesquisa. Caso contrário, selecione Adicionar e procure DocuSign na galeria de aplicativos. Selecione DocuSign nos resultados da pesquisa e adicione-o à sua lista de aplicativos.
Selecione sua instância do DocuSign e, em seguida, selecione a guia Provisionamento .
Defina o Modo de Aprovisionamento como Automático.
Na seção Credenciais de administrador, forneça as seguintes definições de configuração:
Na caixa de texto Nome de Usuário do Administrador, digite um nome de conta DocuSign que tenha o perfil de Administrador do Sistema em DocuSign.com atribuído.
Na caixa de texto Senha do administrador , digite a senha dessa conta.
Nota
Se o SSO e o provisionamento de usuário estiverem configurados, as credenciais de autorização usadas para provisionamento precisarão ser configuradas para funcionar com SSO e nome de usuário/senha.
Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao seu aplicativo DocuSign.
No campo Email de notificação, digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento e marque a caixa de seleção.
Clique em Guardar.
Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o DocuSign.
Na seção Mapeamentos de Atributos, revise os atributos de usuário sincronizados do ID do Microsoft Entra para o DocuSign. Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no DocuSign para operações de atualização. Selecione o botão Guardar para confirmar as alterações.
Para habilitar o serviço de provisionamento do Microsoft Entra para DocuSign, altere o Status de provisionamento para Ativado na seção Configurações
Clique em Guardar.
Ele inicia a sincronização inicial de todos os usuários atribuídos ao DocuSign na seção Usuários e Grupos. A sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço estiver em execução. Você pode usar a seção Detalhes da sincronização para monitorar o progresso e seguir os links para logs de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento em seu aplicativo DocuSign.
Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.
Dicas para resolução de problemas
- O provisionamento de uma função ou perfil de permissão para um usuário no Docusign pode ser realizado usando uma expressão em seus mapeamentos de atributos usando as funções switch e singleAppRoleAssignment . Por exemplo, a expressão abaixo fornecerá a ID "8032066" quando um usuário tiver a função "DS Admin" atribuída na ID do Microsoft Entra. Ele não provisionará nenhum perfil de permissão se o usuário não receber uma função no lado da ID do Microsoft Entra. O ID pode ser recuperado no portal DocuSign.
Switch(SingleAppRoleAssignment([appRoleAssignments])," ", "DS Admin", "8032066")