Gateway de identidade digital

Visão geral

O Gateway de identidade digital do Adobe Acrobat Sign permite que as organizações escolham entre uma grande variedade de provedores de identidade digital (IDP) de terceiros pré-configurados e utilizem o tipo de verificação de identidade mais adequado às suas necessidades funcionais, de segurança ou de conformidade. Os serviços de IDP para autenticação de usuário, verificação de identidade do signatário e soluções de federação de identidade utilizam o padrão OpenID Connect (OIDC) para integração com o Acrobat Sign. Dependendo do IDP selecionado, o serviço pode incluir:

  • Verificação de identidade por vídeo
  • Autenticação de identidade eletrônica (eID)
  • Confirmação do documento de identidade
  • Autenticação baseada em conhecimento (KBA)
  • Identificação biométrica, autenticação

Muitos dos serviços de IDP atendem aos padrões NIST 800-63A/B/C para soluções de autenticação de vários fatores até o AAL3, opções de verificação de identidade até o IAL3, bem como asserção de federação até o FAL3. Alguns serviços de IDP também atendem à norma ISO 29115 LoA4 e/ou ao Regulamento 910/2014 da UE (eIDAS) até o LoA High.

Todos os serviços de IDP exigem um contrato comercial e configuração com o provedor antes do uso, juntamente com monitoramento contínuo para garantir que sua organização mantenha um volume suficiente de transações de serviços de IDP para seus casos de uso.

Aquisição, consumo e emissão de relatórios de transações de autenticação

Os provedores de identidade não estão incluídos no licenciamento do Acrobat Sign, e a Adobe não fornece um canal comercial para adquirir serviços de identificação dos vários IDPs que podem ser configurados. 

Cabe ao cliente adquirir e manter um volume suficiente de transações de identidade com o IDP de sua escolha. 

O IDP fornecerá orientações claras sobre como as transações são consumidas e faturadas e informará o consumo/disponibilidade diretamente ao cliente. 

Destinatário experiência

Por meio do processo de assinatura do Acrobat Sign, o cliente recebe um email Revisar e assinar como qualquer outro contrato.

Quando o destinatário seleciona o botão Revisar e assinar para abrir o contrato, ele recebe uma caixa de diálogo de informações indicando que a verificação de identidade é necessária para acessar o documento. Dependendo das configurações definidas, o cliente verá:

  • Um resumo geral do processo de verificação.
  • O nome e o logotipo do IDP que realiza a verificação de identidade.
  • Um email e número de telefone para entrar em contato com o Suporte do IDP se houver um problema com o processo de verificação.
  • O endereço de email do usuário do Acrobat Sign que enviou o contrato, caso o destinatário precise contatá-lo.
  • Uma declaração de que os dados de identidade do recipient serão armazenados no Relatório de identidade do signatário (se a conta do remetente estiver configurada para fazer isso).
  • Uma mensagem de aviso sobre o número de tentativas de verificação restantes disponíveis para o destinatário antes que o contrato seja cancelado. Esta mensagem aparece somente depois que o destinatário tentou o processo de identificação e falhou.
  • O botão Verificar identidade aciona o processo de verificação abrindo uma tela pop-up e entregando o processo ao IDP.
    • A experiência do destinatário no processo de verificação e o tipo de verificação a ser feita dependem do provedor de identidade selecionado pelo Remetente.

Quando o processo de verificação for concluído com sucesso, o recipient retornará à janela do Acrobat Sign e o contrato será apresentado a ele.

Mensagem de autenticação do destinatário

Experiência do remetente

Escolher o provedor de identidade ao redigir um novo contrato

Quando um ou mais IDPs estiverem configurados e habilitados para a conta ou o grupo do remetente, os usuários verão a opção de selecionar o IDP no menu suspenso que contém todos os métodos de autenticação disponíveis para o destinatário. Os IDPs ativados serão listados na seção Gateway de identidade digital. Se nenhum IDP estiver ativado, a seção Gateway de identidade digital não estará presente e o usuário não verá nenhum IDP.

Passar o mouse sobre um IDP na lista de menus mostra uma dica de ferramenta que fornece uma breve descrição do serviço IDP.

Selecionar o método de autenticação

Atualizar o IDP após o envio do contrato

Se um usuário precisar atualizar a autenticação para selecionar um IDP diferente (ou qualquer outro método de autenticação), ele poderá usar o mesmo processo para editar o método de autenticação.

O usuário não tem restrições para selecionar outro IDP no Gateway de identidade digital. Qualquer outro método de autenticação ativado pode ser selecionado.

Editar método de autenticação

Relatório de auditoria

O relatório de auditoria indica claramente que o recipient foi verificado por um provedor de identidade do Gateway de identidade digital e especifica qual IDP estava envolvido e uma descrição de seu serviço:

Relatório de auditoria

Relatório de identidade do signatário (SIR)

Por padrão, o Acrobat Sign não retém as informações de identidade retornadas pelo IDP. No entanto, os administradores de conta e grupo podem ativar a opção para salvar as informações de identidade nos servidores do Acrobat Sign.

Além disso, os administradores podem configurar, no nível da conta e do grupo, a opção para que os usuários baixem o Relatório de identidade na página Gerenciar da lista de ações disponíveis.

Baixe o SIR na página Gerenciar

O Relatório de identidade do signatário contém todas as informações de identidade retornadas pelo IDP quando a transação de verificação de identidade é bem-sucedida, bem como os dados relevantes quando uma transação falha. O conteúdo varia de acordo com o fornecedor e o método de autenticação. Os dados comuns incluem:

  • ID de referência: um identificador exclusivo da transação que ocorreu no lado do IDP. Útil para solicitações de suporte, bem como para análise jurídica.
  • sub (Identificador de assunto): fornece um identificador exclusivo para o destinatário no contexto do sistema do IDP.
  • Valor bruto do token de ID: fornece uma declaração assinada pelo IDP contendo o resultado do processo de identificação. Prova de que a identidade foi verificada no contexto da transação atual.
Baixe o SIR na página Gerenciar

Para obter mais informações sobre o Relatório de identidade do signatário, consulte esta página > 

Acesso de configuração para usar IDPs como verificação de identidade

Ative o método de autenticação na guia Identidade digital no menu do administrador.

Há três configurações de alto nível nesta exibição, com a lista completa de IDPs disponíveis preenchendo a parte inferior da página.

  • Gateway de identidade digital - Essa configuração é a porta que permite o acesso aos serviços de identidade digital.
    • Permitir aos signatários X tentativas para validar a assinatura antes de cancelar o contrato - Qualquer recipient que viole o número máximo de tentativas para validar sua identidade cancela o contrato automaticamente.
      • O número máximo de tentativas é dez
      • Entenda a natureza da política de consumo de transações de seu IDP ao definir esse valor. Alguns fornecedores cobram por tentativa.
    • Armazenar dados de identidade verificados para possibilitar Relatórios de identidade de signatários
      •  Quando ativadas, as informações de verificação de identidade são armazenadas em servidores do Acrobat Sign e podem ser recuperadas usando o SIR.
      • Quando desativada, as informações de identidade não são armazenadas nos servidores do Acrobat Sign.
      • A coleção de dados começa assim que a configuração é ativada e salva. Da mesma forma, a coleção de dados é interrompida assim que a configuração é desativada e salva.
      • Os dados que não são coletados no momento em que o recipient é analisado não podem ser coletados posteriormente.
Gateway de identidade digital

Controles relacionados

Há duas configurações adicionais para revisar se você pretende permitir que os usuários baixem o Relatório de identidade do signatário:

Se quiser que os usuários baixem o SIR, você deve habilitar explicitamente o acesso deles no nível da conta ou do grupo.

  1. Navegue até Configurações da conta > Configurações de envio > Opções de identificação do signatário.
  2. Ative a opção Permitir que os remetentes baixem um relatório de identidade do signatário para contratos que contenham assinaturas verificadas.
  3. Salvar a configuração da página.
DIG - Acessibilidade do signatário

Observação:

Essa configuração ativa o SIR para fornecedores de Identidade digital.

Não é a mesma configuração que a ID governamental usa.

Ao baixar um relatório de identidade, o usuário deve proteger o PDF com senha.

Defina a política de força para a senha do PDF de acordo com a política da sua empresa para documentação de PII confidencial.

  1. Navegue até Configurações da conta > Configurações de segurança > Força da senha do documento
  2. Defina a complexidade apropriada.
  3. Salvar a configuração da página.
Força da senha do documento DIG

Configuração de IDPs individuais

Na parte inferior da página Identidade digital estão os "cartões" de IDP. Cada cartão representa um ou mais métodos de autenticação do IDP.

Para ativar um cartão de IDP, clique no ícone de engrenagem:

Configurar o cartão de IDP

Observação:

O IDP Okta da Adobe é usado nesta documentação apenas para fins de exemplo. Os clientes não têm acesso a este IDP.

Um IDP pode ser configurado no nível da conta e/ou do grupo, dependendo das suas necessidades. A interface muda ligeiramente para fornecer contexto sobre o status herdado da configuração de nível de grupo:

No nível da conta, a interface requer apenas que a caixa de seleção Habilitar este serviço para verificação esteja marcada:

Configuração de IDP no nível da conta

Se a caixa de seleção Habilitar este serviço para verificação estiver desmarcada e a linha estiver acinzentada ao visualizar uma configuração de IDP no nível de grupo, o serviço IDP no nível de conta não está configurado.

A configuração de nível de grupo pode ser ativada marcando a caixa de seleção Substituir configurações da conta pela configuração de nível de grupo.

Configuração no nível de grupo - o IDP não está configurado no nível de conta

Se a caixa de seleção Habilitar este serviço para verificação estiver desmarcada ao exibir uma configuração de IDP no nível do grupo, o serviço IDP no nível da conta está configurado.

A configuração de nível de grupo pode ser ativada e definida com parâmetros específicos do grupo, marcando a caixa de seleção Substituir configurações da conta pela configuração de nível de grupo.

Configuração em nível de grupo - mesmo IDP configurado no nível de conta

Quando as caixas de seleção Habilitar este serviço para verificação e Substituir configurações da conta pela configuração de nível de grupo estão marcadas, o serviço IDP é configurado explicitamente para o grupo.

Configuração em nível de grupo - Substituição da configuração em nível de conta

 

Os requisitos de configuração do IDP dependem do método de autenticação usado pelo IDP:

A Autenticação básica requer dois elementos que o IDP fornecerá a você:

  • A ID do cliente
  • O segredo do cliente

Salvar a configuração quando concluir.

Autenticação básica

O JWT de chave privada requer três elementos que serão fornecidos a você pelo IDP:

  • A ID do cliente
  • O certificado de assinatura (no formato .p12 ou .pfx).
  • A senha usada para proteger o certificado de assinatura.

Salvar a configuração quando concluir.

JWT de chave privada

A Pós-autenticação por segredo do cliente requer dois elementos que o IDP fornecerá a você:

  • A ID do cliente
  • O segredo do cliente

Salvar a configuração quando concluir.

Pós-autenticação por segredo do cliente

A autenticação JWT por segredo do cliente requer dois elementos que o IDP fornecerá a você:

  • A ID do cliente
  • O segredo do cliente

Salvar a configuração quando concluir.

Autenticação JWT do segredo do cliente

Desativar/ativar um IDP configurado

O serviço IdP pode ser desativado sem que as informações de configuração sejam excluídas do cartão IDP ao pressionar o ícone da caixa de seleção no canto superior esquerdo e salvar a configuração da página. Desativar um serviço de IDP dessa forma preserva as informações de configuração no evento caso você precise reativar o IDP posteriormente.

Desativar um serviço de IDP dessa maneira não gera um desafio, pois as informações são perdidas e o serviço pode ser reativado rapidamente ao pressionar a caixa de seleção novamente e salvar a configuração da página.

Desativar/ativar o cartão IDP

Excluir a configuração do IDP

Uma configuração de IdP pode ser excluída diretamente do painel Identidade digital ao pressionar o ícone de lixeira no cartão IdP.

Uma caixa de diálogo solicitará que o administrador confirme se a configuração deve ser excluída.

Essa caixa de diálogo também avisa sobre o impacto nos destinatários que ainda não concluíram a autenticação com o IDP.

Se a configuração do IDP for excluída ou o serviço for desativado, um erro será exibido ao recipient quando ele tentar verificar sua identidade.

Desafio de exclusão

Informações importantes

Se o serviço IDP for desativado por qualquer motivo quando um destinatário tentar verificar a identidade, será gerado um erro que fornece uma mensagem básica de que o serviço está desativado e instruções para entrar em contato com o remetente do contrato. O endereço de email do remetente é fornecido.

Os remetentes notificados de um problema com o serviço IDP podem precisar alterar o método de autenticação para um novo IDP ou outro método aceitável.

Erro de serviço desativado

No momento, a capacidade de aplicar um serviço IDP diferente a recipients internos não está disponível.

Se a configuração Diferentes métodos de autenticação de identidade habilitados para destinatários internos for ativada, o recurso Gateway de identidade digital será desativado.