Adobe Sign は、連携したログインシステムを求めるユーザーのために SAML 認証をサポートしています。

概要

ID 連携標準 Security Assertion Markup Language(SAML)2.0 を使用すると、Web アプリケーションと ID サービスプロバイダーの間でユーザー認証データを安全にやり取りできます。

SAML 2.0 プロトコルを使用してシングルサインオン(SSO)を有効にすると、アサーションを含むセキュリティトークンが、エンドユーザー(プリンシパル)に関する情報を SAML オーソリティ(ID
プロバイダー(IDP)
)と SAML コンシューマー(サービスプロバイダー(SP))との間で受け渡します 

Adobe Sign はサービスプロバイダー(SP)として機能し、Okta、OneLogin、Oracle Federated Identity(OIF)、Microsoft Active Directory Federation Service などの外部 ID プロバイダー(IDP)を利用した SAML シングルサインオンをサポートします。Adobe Sign は、SAML 2.0 をサポートするすべての外部 IDP と互換性があります。

これらの ID プロバイダー(IDP)との統合については、以下のガイドを参照してください。

組織内で既に利用している他のシステム(Salesforce.com など)や、SAML 2.0 をサポートする他のプロバイダーも含めたシングルサインオン(SSO)を実現するように Adobe Sign を設定することもできます。

Adobe Sign は、委任認証ではなく連携認証を使用します。連携認証では、Adobe Sign でユーザーの実際のパスワードを検証しません。代わりに、HTTP POST リクエストで SAML アサーションを受け取ります。Adobe Sign は、暗号化アサーションもサポートしています。

SAML アサーションの有効期間は限られていて、一意の識別子を持ち、電子サインされています。アサーションがまだ有効期間内で、これまで使用されていない識別子を持ち、信頼できる ID プロバイダーから有効な署名を取得している場合、ユーザーは Adobe Sign へのアクセスを許可されます。

Adobe Sign の認証仕様の概要を以下の表に示します。

仕様(標準名)
連携プロトコル SAML 2.0
連携プロファイル Browser Post
一意の連携識別子 電子メールアドレス
リレー状態 不要。 Adobe Sign は、認証後にユーザーをどこに転送するかを把握するためのロジックを備えています。 
4-1(a1)

前提条件

SSO を有効にするには、企業ネットワークが SAML 2.0 プロトコルをサポートしている必要があります。企業ネットワークが SAML をサポートしていない場合は、Adobe Sign サポートに連絡して、ユーザーのアカウントでシングルサインオンを有効にするための他の選択肢を検討してください。

SAML SSO の設定を開始する前に、以下を実行する必要があります。

  • ドメイン名を要求および確立します(このガイドの例では、rrassoc.com になります)。
    • ドメインの要求は、すぐに開始する必要がある、複数の手順のプロセスです。
  • Microsoft Active Directory Federation、Okta、OneLogin、Oracle Identity Federation などのプロバイダーを利用して、ユーザーのドメインで SAML を有効にします。ドメインをバックエンドから有効化するために、Adobe Sign のサポートチケットを開く必要がある場合があります。
  • 電子メールアドレスを使用して、IDP に管理者アカウントを作成するか、管理者アカウントがあることを確認します(このガイドの例では、電子メールアドレスは susan@rrassoc.com になります)。
    • Okta アカウントをお持ちでない場合は、次のリンク https://www.okta.com/developer/signup/ を使用して無料の Okta Developer Edition 組織を作成できます。
    • OneLogin アカウントをお持ちでない場合は、次のリンク https://www.onelogin.com/ を使用し、右上隅にある「FREE TRIAL」ボタンをクリックして、無料の体験版アカウントを作成できます。
  • (オプション)IDP と SP の両方に、ユーザープロビジョニング用の電子メール ID を追加します。これによって、SSO の資格情報を使用して Adobe Sign にログインできるユーザーを追加できるようになります。
  • (必須)Adobe Sign の管理者ユーザーと IDP の管理者ユーザーがいることを確認します。
    (オプション)IDP のアカウントと同じ電子メールアドレスを使用する Adobe Sign 管理者アカウントを作成するか、そのような管理者アカウントがあることを確認します(このガイドの例では、電子メールアドレスは susan@rrassoc.com になります)。 そうすることで、これらのアカウントの管理が容易になります。
  • Adobe Sign で、SAML モードを「SAML 許可」に設定します(詳細については、SAML 設定の使用を参照してください)。

注意:

SAML SSO を設定する際は、設定プロセス全体が完了し、正しく機能していることを確認するまでは、SAML モードを「SAML 許可」に設定することをお勧めします。 確認後、SAML モードを「SAML 必須」に変更できます。

SAML を使用したシングルサインオンの有効化

高いレベルでは、Adobe Sign(SP)と IDP の間で SAML SSO を有効にするには、以下の手順を実行する必要があります。

1. (IDP に)必要な場合、Adobe Sign サービスプロバイダー(SP)情報を使用して IDP を設定します。

2. IDP からの情報を使用して Adobe Sign を設定します。

3. SAML SSO が正しく設定されたことを確認します。 

SAML 設定の使用

Adobe Sign SAML 設定を探すには、アカウント管理者またはグループ管理者としてログインし、「アカウント」をクリックします。「アカウント設定」の下の「SAML 設定」をクリックします。

2. SAML UI - Unbranded

ユーザーの作成」、「ログインページのカスタマイズ」、「ID プロバイダー(IDP)の設定」、「Adobe Sign サービスプロバイダー(SP)情報」のオプションを表示するには、SAML 設定ページの下部までスクロールします。

SAML モードの設定

Adobe Sign には、3 つの SAML モードのオプションと、「SAML 必須」オプションと連動する追加のオプションが 1 つあります。

7-1(a3)
  • SAML 無効 — アカウントに SAML を使用しない場合は、このオプションを有効にします。選択すると、いずれかの SAML 設定にアクセスできます。
  • SAML 許可 — アカウント管理者を含むすべてのユーザーが SAML SSO を使用できるようにするには、このオプションを有効にします。ユーザーは、Adobe Sign 資格情報も引き続き使用できます。
  • SAML 必須 — すべてのユーザーに SAML SSO を使用したログインを強制するには、このオプションを有効にします。

前提条件で説明したように、SAML SSO の設定を確認するまでは、「SAML モード」を「SAML 許可」に設定することをお勧めします。

ホスト名

ホスト名はドメイン名です(前述の前提条件を参照してください)。入力されたホスト名は、
アサーションコンシューマー URL、シングルログアウト(SLO)URL、シングルサインオン(ログイン)URL の一部になります。

7-2(a4)

「ユーザーの作成」の設定

SAML 設定に直接関係するのは、「ユーザーの作成」の 2 つの設定のうち 1 つ目だけです。2 つ目の設定は保留中のすべてのユーザーに関連するもので、SAML 認証の結果として保留中のユーザーを追加するかどうかです。

8-1(a5)
  • SAML 認証されたユーザーを自動的に追加 — このオプションを有効にすると、IDP によって認証されたユーザーは、保留中のユーザーとして Adobe Sign に自動的に追加されます。
  • このアカウントの保留中のユーザーを自動的にアクティブにする — (「セキュリティ設定」の)「署名者の ID 確認」の下の「アカウント内の署名者は署名前に Adobe Sign へのログインを必須とする」設定が有効な場合は、この設定も有効にする必要があります。新しいユーザーからの署名を要求されたとき、このユーザーはアカウント内の保留中のユーザーとして作成されます。このオプションが有効でない場合、このようなユーザーは署名用に送信された契約書に署名できません。

ログインページのカスタマイズの設定

SAML シングルサインオンが有効な場合は、Adobe Sign のサインインページに表示されるサインオンメッセージをカスタマイズできます。 

8-2(a6)
  • シングルサインオンのログインメッセージ — オプションで、Adobe Sign のサインインページに SSO の「サインイン」ボタンの上に表示するメッセージを入力します。 カスタム SSO ログインメッセージとデフォルト SSO ログインメッセージ(この場合は Okta 用とデフォルトメッセージ)の例を以下に示します。
7-1 Authentication - Rebranded
7-2 Authentication - Rebranded

Adobe Sign 内での ID プロバイダー(IDP)の設定

Okta を除き、大部分の IDP を設定するには、IDP からの情報を Adobe Sign の IDP 設定フィールドに入力する必要があります。

10-1(a9)
  • エンティティ ID/発行者 URL — この値は、ドメインを一意に識別するために IDP が提供します。
  • ログアウト URL/SLO エンドポイント — ユーザーが Adobe Sign からログアウトすると、IDP からもそのユーザーをログアウトさせるためにこの URL が呼び出されます。
  • ログイン URL/SSO エンドポイント — IDP からのユーザーログインを要求するために Adobe Sign が呼び出す URL です。  IDP は、ユーザーの認証とログインに責任を負います。
  • IDP 証明書 — IDP が発行する認証証明書です。

Adobe Sign SAML サービスプロバイダー(SP)情報

SP 情報セクションには、Adobe Sign のデフォルトの情報が表示されます。ホスト名と IDP の設定情報を入力して保存すると、ホスト名を含めるように SP 情報セクションの情報が更新されます

(この例では、https://secure.echosign.com/public/samlConsume
https://globalcorp.na1.echosign.com/public/samlConsume になります)。

11-1(a10)

表示される SP 情報には次のものがあります。

  • エンティティ ID/SAML オーディエンス — SAML メッセージを受信すると考えられるエンティティを記述した URL。この場合は Adobe Sign の URL です。
  • SP 証明書 — 一部のプロバイダーでは、サービスプロバイダーの識別に使用する証明書が必要です。このビューのリンクは、Adobe Sign サービスプロバイダー証明書を指しています。
  • アサーションコンシューマー URL — ユーザーのログインを Adobe Sign に通知するために IDP が送信するコールバックです。
  • シングルログアウト(SLO)URL — ログアウト時にユーザーがリダイレクトされる URL です。
  • シングルサインオン(ログイン)URL — IDP がログイン要求を送信する URL です。

ダウンロード

Microsoft Active Directory Federation Services Configuration

Guide for Configuring Microsoft Active Directory Federation Services

Overview

This document describes the process for setting up Single Sign On for Adobe Sign using Microsoft Active Directory Federation Service. Before proceeding, please review the Adobe Sign Single Sign On Using SAML Guide, which describes the SAML set up process and provides detailed information on the SAML Settings in Adobe Sign.

  • The process of setting up SAML SSO includes the following:
  • Installing the Active Directory Domain Service
  • Installing the Active Directory Federation Service
  • Creating a Test User 
  • Adding Adobe Sign as a relying party

Installing the Active Directory Domain Service

Before configuring SAML for MSAD, you must install the Active Directory Domain Service if it is not already installed. You must have system administrator privileges in Windows Server to install Active Directory Domain Services. 

Installing the Active Directory Federation Service

1. If required, launch the Server Manager, then click Dashboard.

3-1(a11)

2. In the Dashboard, click Add roles and features. The Add Roles and Features Wizard displays.

3. In the Select installation type dialog, select Rule-based or Feature-based Installation then click
Next.

4-1 (a12)

4. In the Select destination server dialog of the wizard, leave the Select a server from the server pool option enabled, select a Server Pool, then click Next.

4-2(a13)

5. In the Select server roles dialog, select Active Directory Federation Services, then click Next.

5-1(a14)

6. In the Confirm installation selections dialog of the wizard, accept all the defaults by clicking Install.

7. On the post install options, select Create the first federation server in a federation server farm.

8. On the Welcome page, leave the options as is and click Next.

6-1 (a15)

9. In the Connect to Active Directory Domain Services dialog of the wizard, select the Administrator account if not by default, then click Next.

7-1 (a16)

10. In the Specify Service Properties dialog, import the pfx file that you created using the steps defined in the Certificate Creation section, enter a Federation Service Display Name, then click Next.

8-1 (a17)

11. In the Specify Service Account dialog, select Use an existing domain user account or group Managed Service Account. Use Administrator as the service account and provide your administrator password, then click Next.

9-1 (a18)

12. In the Specify Configuration Database dialog, select Create a database on this server using Windows Internal Database, then click Next.

10-1 (a19)

13. In the Review Options dialog, click Next.

10-2(a20)

14. In the Prerequisite Checks dialog, once the prerequisite check is done, click Configure.

11-1 (a21)

15. In the Results dialog, ignore the warning and click Close.

11-2(a22)

Adding Adobe Sign as a relying party

1. From the Apps menu, launch AD Federation Service Management.

12-1(a23)

2. In the AD FS console, select Authentication Policies then Edit.

12-2(a24)

3. In the Edit Global Authentication Policy dialog, under both Extranet and Intranet, enable Forms Authentication

13-1(a25)

4. In the AD FS console, under Trust Relationships, select Relying Party Trusts and click Add Relying Party Trust. The Add Relying Party Trust wizard displays.

5. In the Select Data Source dialog of the wizard, enable the Enter Data about the relying party manually option, then click Next.

14-1(a26)

6. In the Specify Display Name dialog, enter a Display Name, then click Next.

14-2(a27)

7. In the Choose Profile dialog, enable the AD FS profile option, then click Next.

15-1(a28)

8. In the Configure Certification dialog there is no certificate to configure, so click Next.

15-2(a29)

9. In the Configure URL dialog, select Enable support for the SAML 2.0 WebSSO protocol and enter the Assertion Consumer URL from Adobe Sign, then click Next.

(See the Hostname section of the Single Sign On with SAML Guide for more information about the Assertion Consume URL.)

16-1(a30)

10. In the Configure Identifiers dialog, enter http://echosign.com for Relying party trust Identifier and click Add, then click Next.

17-1(a31)

11. In the next screen, leave the defaults as-is, and click Next.

17-2(a32)

12. In the Choose Issuance Authorization Rules dialog, confirm that the Permit all users to access the relying party option is enabled.

18-1(a33)

13. In the Ready to Add Trust dialog, click Next.

18-2(a34)

14. In the Finish dialog, click Close.

19-1(a35)

15. In the Edit Claim Rules dialog, click Add Rule.

19-2(a36)

The Add Transform Claim Rule Wizard displays.

 

16.  In the Select Rule Template dialog of the wizard, select Send LDAP Attributes as Claims from the Claim rule template drop-down.

20-1(a37)

17. In the Configure Rule dialog, select the options shown in the dialog and click Finish. Adobe Sign only supports the email address as the unique identifier. You need to select E-Mail Addresses as the LDAP Attribute and E-Mail Address as the Outgoing Claim.

21-1(a38)

18. When the Select Rule Template dialog of the wizard redisplays, select Send Claims Using a Custom Rule from the Claim rule template drop-down, then click Next.

21-2(a39)

19. In the Configure Rule dialog, enter the following:

  • Name of rule—Enter EmailToNameId
  • Custom rule description—enter the following:

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]

=> issue(Type =
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value,
ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
= "");

22-1(a40)

20. Click Finish. The Add Transform Claim Rule Wizard closes.

21. Back in the Edit Claim Rules for Adobe Sign dialog, click the Issuance Authorization Rules tab and Delegation Authorization rules tab and ensure that the Permit Access to All Users is enabled for both as shown below.

If not, add a rule, so that Permit Access To All Users is enabled.

23-1(a41)
24-1(a42)

22. Click OK to accept all changes can close the Edit Claims Rules for Adobe Sign dialog.

Adding the Certificate from Adobe Sign

1. In the AD FS console, under Trust Relationships, select the Adobe Sign Relying Party click Properties.

2. Once launched, select Authentication Policies and then Edit.

25-1(a43)

3. Select the Signature tab.

4. Click Add and add the SP certificate file you downloaded from Adobe Sign.
(See the Adobe Sign SAML Service Provider (SP) Information section of the SingleSign Onwith SAML Guide for more information about the SP certificate.)

5. Select the Advanced tab and change the Secure Hash Algorithm to SHA-2.

6. Select the Endpoints tab and add the Single Logout (SLO) URL from Adobe Sign.
(See the Hostname section of the SingleSign Onwith SAML Guide for more information about the Single Logout (SLO) URL).

7.  Disable Claims Encryption – Open power shell on the ADFS server and type

8. Set-ADFSRelyingPartyTrust -TargetName "Adobe Sign" -EncryptClaims $false 

 

Adobe Sign specific settings

  • The account should have SAML_AVAILABLE=true
  • Host Name
  • SAML Mode
  • ACCOUNT_USER_ADD_EMAIL_DOMAINS setting to be for example dev.com
  • Select the token signing certificate in ADFS and export it as a cer file ( do not export private key) and add it to the account admins SAML Settings page in Adobe Sign.
26-1(a44)
26-2(a45)

Open this certificate file in notepad, and Adobe Sign Admin copy its contents into the IdP Certificate field in SAML Settings.

Now you should be able to test. 

Certificate Creation

1. On Windows, install openssl. On Mac , openssl is present.

2. Launch a command prompt and type:
openssl req -x509 -newkey rsa:2048 -keyout .pem -out .pem -days <#ofdays>

Enter the following:

  • Country code- US
  • State - Californiacity – San Jose
  • Enter some Organization and Organization unit
  • Common Name- This is the fully qualified name that is the same as your host system name example sjtest.es.com

3. Now create the pkcs12 key
pkcs12 -export -in <yourkeynameCer>.pem -inkey <yourkeyName>.pem -out my_pkcs12.pfx

4. Enter password when prompted

5. Click Import and select the my_pkcs12.pfx selected above and enter password that you provided at pkcs12 export time when prompted

ダウンロード

Okta Configuration

Guide for Configuring Okta Single Sign-On

Overview

Adobe Sign can support Security Assertion Markup Language (SAML) single sign-on (SSO) using external identity providers (IdPs) such as Okta. This document describes the steps for configuring Adobe Sign for SAML SSO with Okta. This document also provides information on testing your SAML SSO configuration. Before proceeding, please see the Adobe Sign Single Sign On Using SAML Guide, which describes the SAML set up process and provides detailed information on the SAML Settings in Adobe Sign.

Configuring SAML SSO with Okta

You must be an administrator for both your Adobe Sign and Okta accounts to enable SAML SSO. The username for both accounts must be the same. The passwords can be different.

When enabling SAML SSO with Okta, information only needs to be entered in Adobe Sign. Okta has developed a custom Adobe Adobe Sign Provisioning app that makes it unnecessary to transfer the SP Information from Adobe Sign to Okta. 

注意:

Note: For the most up-to-date instructions for Okta, see http://developer.okta.com/docs/guides/setting_up_a_saml_application_in_okta.html

1. Log in to Okta and Adobe Sign in different browsers or in different windows within the same browser.

  • In Okta, log in to your account with the same administrator account you use for your Adobe Sign Admin Account.
3-1 (a46)
  • In Adobe Sign, log in to your account using the same admin account credentials that you use for Okta. 
4-1 (a47)

2. Click the blue Admin button.

4-2 (a48)

3. Click the Add Applications shortcut.

4-3(a49)

The Add Application page displays.

5-1 (a50)

4. In Search, type Adobe Sign.

  • Click the Add button to add the Adobe Sign Provisioning application.
5-2(a51)

The Add Adobe Sign Provisioning wizard launches displaying the General Setting tab.

6-1 - Rebranded

5. Log in to Adobe Sign to obtain your Hostname and Adobe Sign server environment:

  • Log in an an Adobe Sign Account Admin
  • Navigate to: Account > Account Settings > SAML Settings
    • Scroll to the bottom of the page and find the Assertion Consumer URL
    • Copy the string between https://  and  .echosign.com/
      • The first value is your Hostname
      • After the Hostname is the Adobe Sign environment your account resides on (na1, na2, eu1, jp1, etc.)
      • In the below example you would copy rrassoc.na1 (include the dot between values)
okta_-_hostname_andinstance

6. In Okta under General Settings, enter the Hostname.Instance for your Adobe Sign account in the Your Adobe Sign Sub domain field.

 

Click Next to continue. 

注意:

Note: If you don’t want users to automatically log in to Adobe Sign when they log in to Okta, disable the Automatically log in when user lands on the login page option. 

okta_8-1_-_rebranded

7. On the Sign-On Options tab, enable SAML 2.0.

9-1 - Rebranded

The SAML 2.0 section displays.

 

8. Under SAML 2.0, click View Setup Instructions.

10-1 - Rebranded

The Okta How to Configure SAML 2.0 for Adobe Sign page displays in a new browser window. This page includes instructions and the IdP information that you must enter in the Adobe Sign SAML Settings page.

11-1 (a57)

9. Copy the Entity ID/Issuer URL from the Okta page, and enter it into the Entity ID/Issuer URL field in Adobe Sign.
(see the idP Configuration section of the How to Configure SAML 2.0 for Adobe Sign)

注意:

Note: The "Entity ID/Issuer URL" does not need to be a well formatted URL. It can be an any unique value.

12-1 (a58)

10. Copy the Login URL/SSO Endpoint from the Okta page, and enter it into the Login URL/SSO Endpoint field in Adobe Sign.
(see the idP Configuration section of the How to Configure SAML 2.0 for Adobe Sign)

注意:

Note that in Adobe Sign, the Logout URL/SLO Endpoint is before the Login URL/SSO Endpoint.

12-2 (a59)

11. Copy the Logout URL/SLO Endpoint from the Okta page and enter it into the Logout URL/SLO Endpoint field in Adobe Sign.
(see the idP Configuration section of the How to Configure SAML 2.0 for Adobe Sign)

13-1 (a60)

注意:

Note: The Logout URL/SLO Endpoint shown above is only a suggestion. You can actually specify any valid URL (e.g., Google).

12. Copy the IdP Certificate from the Okta page to the IdP Certificate field in Adobe Sign.

  • Make sure there are no spaces or returns after “-----END CERTIFICATE-----“.

(see the idP Configuration section of the How to Configure SAML 2.0 for Adobe Sign)

13-2(a61)

You can close the browser window that displays the Okta How to Configure SAML 2.0 for Adobe Sign page after you copy the IdP Certificate.

 

13. In Adobe Sign, click Save.

14-1 (a62)

14. Click the browser window that displays the Okta Sign-On Options if needed.

15. In the Credential Details section of Sign-On Options (see step 8 above), select Email from the Application username format drop-down, then click Next to continue.

14-2 (a63)

16. Under Provisioning, you have the option to select the Enable provisioning features option. (See Setting up Auto-Provisioning for more information.) Click Next to continue without setting up Auto-provisioning. 

14-3 - Rebranded

注意:

Note: If you enable the Enable provisioning features option, you must enable the Automatically add users authenticated through SAML in SAML settings in Adobe Sign.

17. Under the Assign to People tab, in the People section check the box next to your name to assign at least one active user (yourself), then click Next.

15-1 - Rebranded

18. Click Done.

15-2 - Rebranded

You can now log out of Okta and proceed with testing your SAML setup. (See Testing Your Okta SAML SSO Configuration for more information.)

 

Setting Up Auto-provisioning in Okta

If this option is enabled, and the “Automatically add users authenticated through SAML” option in Adobe Sign is also enabled, you can automatically provision users in Adobe Sign.

16-1 - Rebranded

Setting up Auto-launch for Adobe Sign

You can automatically launch Adobe Sign when you log in to Okta. If this feature is enabled, Adobe Sign will open in a separate window when you log in to Okta. You must have pop-ups enabled in your browser for this feature to work.       

注意:

Note If you also enabled the “Automatically log in when user lands on login page” option, when you launch Okta two Adobe Sign windows will open. 

1. Log in to Okta. Your Home page will display.

2. On the Adobe Sign Provisioning app, cursor over the gear icon, then click to activate it.

Okta 17-2 - Rebranded

3. When the Adobe Sign Provisioning Settings popup displays, click the General tab.

Okta18-1 - Rebranded

4. Enable the Launch this app when I sign into Okta option.

Okta18-2 - Rebranded

5. Click Save.

 

Testing Your Okta SAML SSO Configuration

There are two ways to test your Okta SAML setup. 

Log in to Adobe Sign through Okta

1. If logged in, log out of Okta.

2. Log in to Okta. Your Okta Home page displays.

3. On the Home page, click the Adobe Sign Provisioning app.

Okta 19-1 - Rebranded

You are automatically logged into Adobe Sign.

Okta19-2 - Rebranded

Log in to Adobe Sign using your URL

1.  Enter your company login URL in your browser. The Adobe Sign Sign In page displays.

2. On the Sign In page, click the second Sign In button. If you’ve entered a custom Single Sign On Login Message that message displays above this button. If you have not entered a custom message, the default message displays.

Okta 20-1-3 - Rebranded

You are logged into Adobe Sign.

Okta 20-2 - Rebranded

ダウンロード

OneLogin Configuration

Guide for Configuring OneLogin Single Sign-On

Overview

Adobe Sign can support Security Assertion Markup Language (SAML) single sign-on (SSO) using external identity providers (IdPs) such as OneLogin. This document describes the steps for configuring Adobe Sign for SAML SSO with OneLogin. This document also provides information on testing your SAML SSO configuration. Before proceeding, please see the Adobe Sign Single Sign On Using SAML Guide, which describes the SAML set up process and provides detailed information on the SAML Settings in Adobe Sign.

 

Configuring SAML SSO with OneLogin

1. Log in to OneLogin and Adobe Sign in different browsers or in different windows within the same browser.

  • In OneLogin, log in to your account with the same administrator credentials you use for your Adobe Sign Admin Account. 
3-1 (a76)
  • In Adobe Sign, log in to your account using the same admin account credentials you use for OneLogin. The passwords for these two logins do not have to be the same, but you must log in as the administrator for each account.
3-2(a77)

2. In OneLogin, click Add Apps.

4-1 (a78)

3. Search for Adobe Sign.

OneLogin 4-2 - Rebranded

4. Click the row for Adobe Sign.

OneLogin 4-3 - Rebranded

5. In the Add page, under Connectors select SAML 2.0 – user provisioning, then click Save at the top.

OneLogin 5-1- Rebranded

6. Navigate to the SAML Settings page. Note the Hostname for Adobe Sign.

OneLogin 6-1 - unbranded

7. In OneLogin, click the Configuration tab. In the Subdomain field, enter your Hostname from Adobe Sign, then click Save.

6-2(a83)

8. Click the SSO tab.

7-1 (a84)

9. In the SSO tab, click View Details to display the Standard Strength Certificate (2048-bit) page.

7-2 (a85)

10. In the Standard Strength Certificate page that displays, click the Copy to Clipboard button for the X.509 Certificate field to copy the certificate to the clipboard.

8-1 (a86)

If the certificate successfully copies, the rollover text says “Copy to Clipboard” text updates to “Copied”.

 

11. In Adobe Sign, paste the copied certificate into the IdP Certificate field. Be sure to remove any returns that may have been copied. The cursor should be at the end of the last line as shown below. 

8-2 (a87)

12.  In OneLogin, click the Copy to Clipboard button for the Issuer URL.

9-1 (a88)

13. In Adobe Sign, paste the Issuer URL into the Entity ID/Issuer URL field.

9-2 (a89)

14. In OneLogin, click the Copy to Clipboard button for the SAML 2.0 Endpoint (HTTP) URL.

10-1 (a90)

15. In Adobe Sign, right click to paste the SAML 2.0 Endpoint (HTTP) URL in the IdP Login URL field. 

10-2 (a91)

16. In OneLogin, click the Copy to Clipboard button next to SLO Endpoint (HTTP).

11-1 (a92)

注意:

Note: The OneLogin SAML 2.0 Endpoint URL is only a suggestion. You can actually specify any valid URL (e.g., Google).

17. In Adobe Sign, copy the SLO Endpoint value into the Logout URL/SLO Endpoint field.

11-2 (a93)

18. In Adobe Sign, click Save.

11-3(a94)

19. In OneLogin, click the back arrow to return to the SSO page.

12-1 (a95)

20. Click the Users tab to add users.

12-2 (a96)

21. Click the row to add the user. The Save button is not activated until you click at least one user.

12-3(a97)

22. When done, click Save

 

Testing Your OneLogin SAML SSO Configuration

There are two ways to test your OneLogin SAML Setup. 

Log in to Adobe Sign through OneLogin

1. If logged in, log out of Adobe Sign.

2. Log in to OneLogin.

13-1 (a98)

3. On the App Home page, click the Adobe Sign app.

OneLogin 13-2 - Rebranded

You are automatically logged into Adobe Sign.

OneLogin 13-3 - rebranded

Log in to Adobe Sign using your URL

1. Enter your company login URL for Adobe Sign in the address line of your browser (such as myCompany.adobesign.com). The Adobe Sign Sign In page
displays.

2. On the Sign In page, click the second Sign In button. If you’ve entered a custom Single Sign On Login Message that message displays above this button. If you have not entered a custom message, the default message displays.

OneLogin 14-1 - Rebranded

3. You are logged into Adobe Sign.

OneLogin 14-3 - rebranded

ダウンロード

Oracle Identity Federation Configuration

Guide for Configuring Oracle Identity Federation

Overview

Adobe Sign can support Security Assertion Markup Language (SAML) single sign-on (SSO) using external identity providers (IdPs) such as Oracle Identity Federation (11g). This document describes the steps for configuring Adobe Sign, acting as the SAML consumer or service provider (SP), to use OIF. This document also provides suggested steps for configuring OIF, however, please contact your OIF system administrator before making any configuration changes to your OIF Server. Before proceeding, please see the Adobe Sign Single Sign On Using SAML Guide, which describes the SAML set up process and provides detailed information on the SAML Settings in Adobe Sign.

Configuring OIF as an IdP in Adobe Sign

Your organization’s instance of OIF needs to be configured within Adobe Sign as the external SAML Identity Provider (IdP). As an administrator for your Adobe Sign Account, navigate to SAML Setting in Adobe Sign as an (Account | Account Settings | SAML Settings).

You will need metadata information from your OIF IdP
configuration. Typically, the metadata for the OIF is available as an XML
content at: http://:/fed/idp/metadata.
Please contact your OIF administrator to gather the relevant. You will need the
following configuration information.

  • Entity ID/Issuer URL—The entityID attribute on EntityDescriptor element
  • Logout URL/SLO Endpoint—When someone logs out of Adobe Sign, this URL is called to log them out of the IdP as well.
  • Login URL/SSO Endpoint—The Location attribute on SingleSignOnService element
  • IdP Certificate—Certificate information under the element EntityDescriptor -> IDPSSODescriptor -> KeyDescriptor use="signing"

 

This information should be configured in the appropriate fields in the Adobe Sign SAML configuration. See image below:

OIF 4-1 - Unbranded

Configuring Adobe Sign as a SP in OIF

Once the OIF SAML configuration is complete within the Adobe Sign UI, the next step is to configure Adobe Sign as a Service Provider within OIF. The information required for configuring Adobe Sign within OIF is available on the Adobe Sign SAML Service Provider (SP) information section under Account | Account Settings | SAML Settings

OIF 5-1 - unbranded

The metadata description for Adobe Sign is shown below:

code(a105)

ダウンロード

You must customize this metadata description and change the highlighted section in the XML to match the URL for your account. The Assertion Consumer URL for your specific account is shown in SAML Settings.

 

The steps for completing the configuration in OIF are as follows:

1. Go to the Federations configuration screen on the OIF Administration panel

7-1 (a106)

2. Create a new federation profile

7-2 (a107)

3. Create a new Service Provider (SP) listing for Adobe Sign

 

Import the Adobe Sign SP configuration XML or manually create the SP listing using the provider information from the Adobe Sign SAML settings.

8-1 (a108)

4. Complete the configuration. Adobe Sign will appear as a new Service Provider listing in the OIF list of SPs. 

8-2 (a109)

Verifying Email Address as NameID Format

Adobe Sign uses email address as the unique user identifier. Before testing the single sign-on one last step is the ensure that the email address field is mapped to the appropriate user attribute within OIF and that email address is enabled as a valid NameID format.

9-1 (a110)
9-2 (a111)

ダウンロード

©2016 Adobe Systems Incorporated. All Rights Reserved.

Products mentioned in this document, such as the services of identity providers Microsoft Active Directory Federation, Okta, Onelogin, and Oracle Identity Federation, and Salesforce software retain all of the copyrights and trademark rights of their specific corporations.

 

最終更新:2016 年 6 月 23 日

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー