Adobe Sign – Methoden zur Authentifizierung der Identität

Das Einholen von Unterschriften und Genehmigungen von Empfängern kann je nach Dokument unterschiedliche Authentifizierungsstufen erfordern. Adobe Sign unterstützt eine Vielzahl von Authentifizierungsmethoden, von der einfachen Ein-Faktor-E-Mail-Verifizierung bis hin zur ausgefeilten Zwei-Faktor-Authentifizierung auf der Grundlage von von Behörden ausgestellten Dokumenten.

Identitätsauthentifizierung

Die Authentifizierung der Identität eines Empfängers ist ein wichtiges Element des Adobe Sign-Systems, um eine rechtsgültige Signatur zu erhalten und die Nichtabstreitbarkeit zu verbessern.

Unterschiedliche Geschäftszwecke erfordern jedoch unterschiedliche Anforderungen an die Identitätsauthentifizierung. Beachten Sie die verschiedenen Ebenen der Identitätsfeststellung, die Sie für die folgenden Transaktionen verlangen würden:

  • Urlaubsantrag bei der Arbeit
  • Schulzeugnis des Kindes
  • Registrierung für eine private Veranstaltung
  • Mitgliedschaft in einem Fitnessstudio
  • Zugriff auf Patientenakten
  • CFR 21 Part 11-konforme Dokumente

Adobe Sign bietet einen Optionssatz, mit dem Authentifizierungstypen auf Konto- und Gruppenebene mit definierbaren Standardwerten festgelegt werden können, um die Erfahrung des Absenders zu optimieren und die Einhaltung der Richtlinien für Unternehmenssignaturen zu gewährleisten.

Da die Signaturprozesse bei robusteren Authentifizierungsmethoden zeitraubender sind, sollten Administratoren die Konto- oder Gruppenstandardwerte so konfigurieren, dass die gängigsten Authentifizierungsanforderungen unterstützt werden. Sie sollten sich nach Möglichkeit für die am wenigsten komplexe Option entscheiden und bearbeitbare Optionen zulassen, wenn bestimmte Transaktionen komplexere Lösungen erfordern.


Schlüsselterminologie

Interne vs. externe Empfänger

Authentifizierungsoptionen bieten spezifische Anpassungen, um Authentifizierungsmethoden für zwei Arten von Empfängern zu konfigurieren: interne und externe Empfänger.

  • Zu den internen Empfängern gehören alle aktiven (durch die E-Mail-Adresse identifizierten) Benutzer innerhalb des Adobe Sign-Kontos, von dem die Vereinbarung gesendet wurde.
    • Eine Liste aller Benutzer in Ihrem Konto ist ein Liste aller internen Benutzer.
    • Es spielt keine Rolle, zu welcher Gruppe der Empfänger gehört, solange sich der Benutzer in derselben Kontostruktur befindet.
  • Externe Empfänger umfassen alle Empfänger-E-Mail-Adressen, die keinem internen Benutzer zugeordnet sind.
    • Jede E-Mail-Adresse, die nicht in einer Benutzerliste auf Kontoebene enthalten ist, ist ein externer Benutzer.

Durch diese Abgrenzung der Empfänger können Workflows eine sehr sichere Authentifizierungsmethode für externe Empfänger und gleichzeitig eine kostengünstigere Authentifizierung für interne Benutzer verwenden.

Hinweis:

Ein Unternehmen (E-Mail-Domäne) kann über mehrere Adobe Sign-Konten verfügen.

Nur die Benutzer, die sich in einem konkreten Konto befinden, sind intern miteinander verbunden. Die Empfänger in externen Konten sind in jedem Fall externe Empfänger.


Methoden für die Empfängerauthentifizierung

E-Mail-Authentifizierung

Bei Adobe Sign wird standardmäßig die E-Mail-Adresse als Ein-Faktor-Authentifizierungsmethode verwendet, die die Anforderungen an eine rechtsgültige elektronische Unterschrift nach dem ESIGN Act erfüllt. Für viele Kunden ist dies in den meisten Fällen ausreichend.

Für die E-Mail-Verifizierung muss der Empfänger folgende Schritte ausführen:

  • Über das E-Mail-Postfach auf die Vereinbarung zugreifen
  • Auf den Link in der E-Mail klicken, um die Vereinbarung anzuzeigen
  • Alle in der Vereinbarung festgelegten Aktionen ausführen (Formularfelder ausfüllen, unterschreiben)
  • Zuletzt auf die Schaltfläche Zum Unterschreiben klicken klicken, um die Aktion des Empfängers abzuschließen

Der Zugriff auf den E-Mail-Link stellt ein angemessenes Maß der Identifizierung dar, da alle E-Mail-Adressen eindeutig sind und der Zugriff auf E-Mails durch ein Kennwort authentifiziert wird.

Integrationen oder Aktionen, die die E-Mail-Benachrichtigung an einen Empfänger umgehen, sollten eine geeignete Methode zur zweistufigen Authentifizierung enthalten, um die Anerkennung zu gewährleisten.


Zwei-Faktor-Authentifizierung (2FA)

Adobe Sign unterstützt mehrere Zwei-Faktor-Authentifizierungsmethoden für wichtigere Transaktionen, die mehr als eine einfache E-Mail-Verifizierung erfordern.

Die Authentifizierungsmethode wird in der Regel durch die Art des Dokuments oder die Branche der beteiligten Parteien bestimmt. Es liegt in der Verantwortung des Administrators, die internen Signaturrichtlinien und möglichen Compliance-Anforderungen zu verstehen.

Im Folgenden finden Sie eine Zusammenfassung der verfügbaren Optionen für die Zwei-Faktor-Authentifizierung mit Links zu detaillierteren Beschreibungen:

Bei der Unterzeichnerauthentifizierung mittels Kennwort muss der Absender das Kennwort (zweimal) eingeben.

  • Kennwörter dürfen nur alphanumerisch sein. Sonderzeichen sind nicht zulässig.
  • Der Absender muss dem Empfänger das Kennwort über einen externen Kanal zukommen lassen.
  • Das Kennwort wird in der Anwendung nicht lesbar gespeichert. Wenn das Kennwort verloren geht, kann es nicht wiederhergestellt werden und der Absender muss es zurücksetzen.

Empfänger werden aufgefordert, das Kennwort einzugeben, bevor sie den Inhalt der Vereinbarung anzeigen können:

Aufforderung zur Kennwortauthentifizierung

Bei der Adobe Sign-Authentifizierung wird der Empfänger aufgefordert, sich beim Adobe Sign-System zu authentifizieren.

Diese Methode wird hauptsächlich als reibungsarme Gegensignaturoption für Ihre internen Empfänger verwendet, wenn Sie Signaturanforderungen haben, die ein protokolliertes/authentifiziertes Ereignis für jede Signatur erfordern.

Vorsicht:

Die Adobe Sign-Authentifizierung sollte externen Empfängern nur mit äußerster Vorsicht zugewiesen werden:

  • Interne Empfänger (per Definition) sind bekanntermaßen aktive Adobe Sign-Benutzer, daher ist bekannt, dass sie sich problemlos authentifizieren können.
  • Externe Empfänger können aktive Adobe Sign-Benutzer haben oder auch nicht. Falls nicht, müssen sie sich registrieren und einen Benutzer vor der Authentifizierung verifizieren.

 

Empfänger werden aufgefordert, sich bei Adobe Sign zu authentifizieren, bevor sie den Inhalt der Vereinbarung anzeigen können:

Aufforderung zur Adobe Sign-Authentifizierung

Für die Authentifizierung per Telefon wird ein sechsstelliger Code an die Telefonnummer des Empfängers gesendet, der eingegeben werden muss, bevor die Vereinbarung angezeigt wird.

  • Die Telefonnummer des Empfängers muss bei der Erstellung der Vereinbarung durch den Absender eingegeben werden.
  • Wenn der Empfänger die Unterzeichnung an eine andere Person delegiert, muss er eine gültige Telefonnummer des neuen Empfängers eingeben. Wenn keine richtige Telefonnummer eingegeben wird, schlägt die Vereinbarung fehl.
  • Der Empfänger kann zwischen Textnachricht (für Smartphones, die SMS empfangen können) oder Sprachanruf wählen (wenn das entsprechende Telefon nicht SMS-fähig ist).
    • Der Authentifizierungscode ist nach Versenden zehn Minuten lang gültig.

Der Empfänger fordert den Code an und muss ihn eingeben, bevor der Inhalt der Vereinbarung angezeigt wird:

Aufforderung zur Authentifizierung per Telefon

Die wissensbasierte Authentifizierung (Knowledge Based Authentication, KBA) ist eine äußerst sichere Authentifizierungsmethode, die in erster Linie von Finanzinstituten sowie in Szenarien verwendet wird, in denen die Überprüfung der Unterzeichneridentität von entscheidender Bedeutung ist.

Der Empfänger muss zunächst persönliche Daten eingeben, anhand derer (mithilfe öffentlicher Datenbanken) verschiedene individuelle und nicht triviale Fragen zur Vergangenheit des Empfängers erstellt werden. Jede Frage muss richtig beantwortet werden, um auf die Vereinbarung zugreifen zu können.

KBA ist nur für Empfänger in den USA gültig.

Aufforderung zur KBA-Authentifizierung

Bei der Authentifizierung mithilfe eines amtlichen Lichtbildausweises wird ein vom Empfänger bereitgestelltes Bild eines behördlich ausgestellten Ausweisdokuments (Führerschein, Reisepass) sowie ein Selfie bereitgestellt, um den Empfänger sicher zu identifizieren.

Die Empfänger werden aufgefordert, zunächst eine Telefonnummer für ein Smartphone bereitzustellen. Anschließend werden sie durch den Prozess für den Upload des Dokument- und Selfie-Bilds geführt:

Aufforderung zur Authentifizierung mithilfe eines amtlichen Lichtbildausweises


Premium-Methoden zur Unterzeichnerauthentifizierung

Telefon, KBA und Amtlicher Lichtbildausweis sind „Premium“-Authentifizierungsmethoden.

Premium-Authentifizierungsmethoden sind eine nutzungsabhängig abgerechnete Ressource, die vor der Verwendung erworben werden muss. Weitere Informationen erhalten Sie von Ihrem Success Manager oder Vertriebsmitarbeiter.

Hinweis:

Neue Unternehmens- und Geschäftskonten erhalten bei Eröffnung des Kontos 50 kostenlose Telefon- und KBA-Transaktionen.


Schwellenwerte für den automatischen Abbruch

Alle Zwei-Faktor Authentifizierungsmethoden verfügen über konfigurierbare Schwellenwerte, anhand derer die Vereinbarung abgebrochen wird, wenn ein Empfänger nicht innerhalb der festgelegten Anzahl der Versuche authentifiziert werden kann.

  • Der Vereinbarungsbesitzer (Absender) wird darüber informiert, dass die Vereinbarung abgebrochen wird.
    • Nur der Absender wird benachrichtigt.
    • Abgebrochene Vereinbarungen können nicht auf den Status „Aktiv“ zurückgesetzt werden. Es muss eine neue Vereinbarung erstellt werden.


So wählen Absender eine Authentifizierungsmethode aus

Wenn Sie eine Vereinbarung konfigurieren, können Absender über das Dropdown-Menü rechts neben der E-Mail-Adresse des Empfängers eine Authentifizierungsmethode auswählen.

Die Standardauthentifizierungsmethode kann von einem Administrator konfiguriert werden, um den Sendevorgang zu vereinfachen. Bei Bedarf können weitere Optionen zur Verfügung gestellt werden.

Oberfläche für den Absender


Das Empfängererlebnis

In der Regel wird ein Empfänger zuerst per E-Mail über eine Vereinbarung informiert, die seine Aufmerksamkeit erfordert.

  • Wenn die Vereinbarung nur mit E-Mail-Authentifizierung gesendet wird, wird durch Klicken auf die Schaltfläche Überprüfen und signieren in der E-Mail die Vereinbarung geöffnet, sodass der Empfänger sie anzeigen und Aktionen durchführen kann.
  • Wenn für die Vereinbarung eine Zwei-Faktor-Authentifizierung konfiguriert ist, wird durch Klicken auf die Schaltfläche Überprüfen und signieren in der E-Mail die Seite mit der Aufforderung zur Zwei-Faktor-Authentifizierung geöffnet.
    • Sobald diese Zwei-Faktor-Authentifizierungsaufforderung erfüllt wurde, wird die Vereinbarung zur Anzeige und Durchführung von Aktionen geöffnet.
E-Mail „Überprüfen und signieren“


Audit-Bericht-Ereignisse

Für jede Zwei-Faktor-Authentifizierungsmethode gibt es eine explizite Erfolgsmeldung, die die verwendete Methode identifiziert.

Bei der E-Mail-Authentifizierung wird einfach angegeben, dass das Dokument signiert wurde:

Audit-Bericht für E-Mail-basierte Identitätsauthentifizierung


Konfigurierbare Optionen und Standardwerte

Administratoroptionen

Sie können auf die Einstellungen auf Kontoebene zugreifen, indem Sie sich als Adobe Sign-Administrator auf Kontoebene anmelden und zu Kontoeinstellungen > Sendeeinstellungen > Methoden zur Authentifizierung der Identität navigieren.

Die Optionen sind in zwei Abschnitte unterteilt:

  • Methoden zur Authentifizierung der Identität: Dies ist die primäre Gruppe von Einstellungen zur Identitätsauthentifizierung. Diese Werte werden mit folgenden Ausnahmen auf alle Empfänger aller Vereinbarungen angewendet, die in der Sendegruppe erstellt wurden:
    • API-basierte Prozesse, die die Optionen des Absenders einschränken können (Integrationen, Workflows, benutzerdefinierte Anwendungen)
    • Wenn andere Methoden zur Authentifizierung der Identität von internen Empfängern aktiviert werden (siehe unten)
  • Identitätsauthentifizierung für interne Empfänger: Diese Teilmenge von Einstellungen ermöglicht der Gruppe, einen anderen Satz von Identitätsauthentifizierungsmethoden für interne Empfänger zu definieren. Dies bietet die folgenden Vorteile:
    • Weniger Frustration für interne Unterzeichner
    • Weniger komplexe Unterzeichnungsprozesse beschleunigen die Unterzeichnung für Empfänger, die möglicherweise viele Vereinbarungen gegenzeichnen müssen.
    • Die Kosten für Premium-Authentifizierung können für interne Empfänger vermieden werden.
Methoden zur Authentifizierung der Identität in der Benutzeroberfläche des Administrators


Methoden zur Authentifizierung der Identität

Die primären Authentifizierungsoptionen:

  • Sender auffordern, eine der aktivierten Methoden zur Authentifizierung zu wählen: Wenn diese Option aktiviert ist, muss eine Zwei-Faktor-Methode als Standardauthentifizierungsmethode ausgewählt werden. E-Mail darf nicht ausgewählt werden.
  • Adobe Sign erlauben, die E-Mail-Adresse des Unterzeichners für jede Authentifizierungsanforderung automatisch auszufüllen: Diese Einstellung gilt nur für die Methode Adobe Sign-Authentifizierung. Wenn diese Option aktiviert ist, wird die E-Mail-Adresse des Empfängers bei Bedarf für die Authentifizierung automatisch eingefügt
  • Fordern Sie den Unterzeichner nicht auf, sich erneut zu authentifizieren, wenn er bereits bei Adobe Sign angemeldet ist: Diese Einstellung gilt nur für die Methode Adobe Sign-Authentifizierung. Wenn diese Option aktiviert ist, werden Unterzeichner nicht aufgefordert, sich erneut zu authentifizieren, wenn sie aktuell bei Adobe Sign angemeldet sind.
  • Aktivieren Sie die folgenden Methoden zur Authentifizierung der Identität: Hiermit wird die Liste der Zwei-Faktor-Authentifizierungsmethoden für Absender eingeleitet.  Wählen Sie je nach Sicherheits-/Konformitäts-Anforderungen eine oder mehrere Optionen aus
  • Verwenden Sie standardmäßig folgende Methode: Legt die standardmäßige Authentifizierungsmethode fest, die beim Hinzufügen eines Empfängers zu einer neuen Vereinbarung eingefügt wird.
  • Absendern das Ändern der Standardmethode zur Authentifizierung erlauben: Ist diese Option aktiviert, hat der Absender die Option, eine beliebige Methode auszuwählen, die für die Gruppe, von der gesendet wird, aktiviert ist.
    • Ist die Option deaktiviert, kann nur die standardmäßige Authentifizierungsmethode verwendet werden.


Authentifizierung der Identität von internen Empfängern

Legen Sie über die Steuerelemente für interne Empfänger die Optionen für interne Empfänger fest:

  • Verschiedene Methoden zur Authentifizierung der Identität von internen Empfängern aktivieren: Wenn diese Option aktiviert ist, werden interne Empfänger als Ausnahme zu den primären Authentifizierungsregeln behandelt und ihnen werden die Standardwerte/Authentifizierungsoptionen angezeigt, die im Abschnitt Authentifizierung der Identität von internen Empfängern definiert sind.
  • Aktivieren Sie die folgenden Methoden zur Authentifizierung der Identität: Diese Option steht über der Liste der Optionen, die für die Authentifizierung von internen Empfängern verfügbar sind.  Wählen Sie je nach Sicherheits-/Konformitäts-Anforderungen eine oder mehrere Optionen aus
    • Die Adobe Sign-Authentifizierung bietet eine kostengünstige, reibungsarme Authentifizierungsmethode, wenn Ihre Absender auch Gegenzeichner sind.
  • Verwenden Sie standardmäßig folgende Methode: Legt die Standardmethode fest, die für interne Empfänger eingefügt wird, wenn eine neue Vereinbarung erstellt wird.
  • Absendern das Ändern der Standardmethode zur Authentifizierung erlauben: Hiermit hat der Absender die Möglichkeit, die standardmäßige Authentifizierungsmethode zu einer anderen vom Administrator aktivierten Option zu ändern.


Konfiguration auf Gruppenebene

Jede Gruppe in einem Konto übernimmt die Standardeinstellungen für die Authentifizierung aus den Einstellungen auf Kontoebene.

Jede Gruppe hat die Möglichkeit, die übernommenen Kontoeinstellungen zu überschreiben, um die Standardwerte und verfügbaren Optionen für die in dieser Gruppe generierten Vereinbarungen zu optimieren.

Sie können auf die Identitätsauthentifizierungsoptionen für Administratoren auf Gruppenebene zugreifen, indem Sie sich als Adobe Sign-Administrator anmelden:

Für Administratoren auf Gruppenebene, die keinen Zugriff auf die Kontoebene haben:

  • Navigieren Sie zu Meine Benutzergruppe > Sendeeinstellungen
    .
  • Aktivieren Sie das Kontrollkästchen Kontoeinstellungen für diese Seite überschreiben.
    • Durch Aktivieren dieses Kontrollkästchens kann die Gruppe die Vererbung aus den Einstellungen auf Kontoebene unterbrechen und durch die explizit für die Gruppe ausgewählten Werte ersetzen. Aktualisierungen der Einstellungswerte auf Kontoebene werden nicht mehr übernommen.
    • Wenn die Option zum Überschreiben der Einstellungen nicht angezeigt wird, wurde die Berechtigung zur Gruppenbearbeitung durch Ihre Administratoreinstellungen auf Kontoebene unterdrückt.
  • Blättern Sie auf der Seite nach unten zum Abschnitt Methoden zur Authentifizierung der Identität und nehmen Sie die gewünschten Konfigurationen vor.
Navigation für Gruppenadministratoren

  • Navigieren Sie zur Registerkarte Gruppen.
  • Klicken Sie auf die Gruppe, um die Aktionslinks ganz oben in der Liste anzuzeigen.
  • Klicken Sie auf den Link Gruppeneinstellungen.
    • Das Einstellungsmenü für die Gruppe wird geladen.
  • Wählen Sie aus den Menüoptionen auf der linken Seite Sendeeinstellungen aus.
  • Aktivieren Sie das Kontrollkästchen Kontoeinstellungen für diese Seite überschreiben.
    • Durch Aktivieren dieses Kontrollkästchens kann die Gruppe die Vererbung aus den Einstellungen auf Kontoebene unterbrechen und durch die explizit für die Gruppe ausgewählten Werte ersetzen. Aktualisierungen der Einstellungswerte auf Kontoebene werden nicht mehr übernommen.
    • Wenn die Option zum Überschreiben der Einstellungen nicht angezeigt wird, wurde die Berechtigung zur Gruppenbearbeitung durch Ihre Administratoreinstellungen auf Kontoebene unterdrückt.
  • Blättern Sie auf der Seite nach unten zum Abschnitt Methoden zur Authentifizierung der Identität und nehmen Sie die gewünschten Konfigurationen vor.
Admin-Zugriff auf Gruppenoptionen


Webformular-Ausnahme bei Identitätsauthentifizierung

Webformulare werden für verschiedenste Anwendungsfälle eingesetzt und häufig ist keine Identitätsauthentifizierung erforderlich.  

Bei Konten/Gruppen, die Webformular-Signaturen nicht authentifizieren müssen, kann die Option zur Deaktivierung der E-Mail-Verifizierung wie folgt deaktiviert werden:

  • Navigieren Sie zu Kontoeinstellungen > Globale Einstellungen > Webformulare (für Einstellungen auf Kontoebene)
    .
    • Bearbeiten Sie Gruppe: {Gruppenname} > Gruppeneinstellungen > Webformulare (für Einstellungen auf Gruppenebene).
  • Deaktivieren Sie die Option Bestätigen der E-Mail-Adresse für Unterzeichner erforderlich machen, um Webformularsignaturen ohne Überprüfung zu akzeptieren.
    • Wenn die Anforderung zur Überprüfung der Webformularsignatur aufgehoben wird, bedeutet dies nicht, dass der Unterzeichner keine E-Mail-Adresse angeben muss.
Optionen für Webformulare


Best Practices und Überlegungen

  • Alle Authentifizierungsmethoden und -optionen können auf Konto- bzw. Gruppenebene konfiguriert werden.
  • Alle Gruppen übernehmen ihre Standardeinstellungswerte aus den Einstellungen auf Kontoebene. Entwerfen Sie Ihre Einstellungen auf Kontoebene so, dass die automatische Eigenschaftsvererbung optimal genutzt wird und der Aufwand bei der Gruppenkonfiguration später möglichst gering ist.
  • Vereinbarungen leiten ihre Authentifizierungsoptionen von der Gruppe ab, von der die Vereinbarung gesendet wird. Wenn die erwarteten Optionen nicht angezeigt werden, überprüfen Sie Ihre Einstellungen auf Gruppenebene.
  • Bestimmen Sie Ihre Anforderungen an die Identitätsauthentifizierung für die von Ihnen gesendeten Dokumentarten und überprüfen Sie, ob sie Compliance-Vorschriften unterliegen. Wenn eine Premium-Authentifizierung erforderlich ist, stellen Sie sicher, dass ausreichend Volumen für den erwarteten Datenverkehr erworben wurde.
  • Bestimmen Sie, ob Signaturflüsse vorhanden sind, die eine Zwei-Faktor-Authentifizierung erfordern, wie z. B.:
    • Gehostete Signaturen
    • Benutzerdefinierte Lösungen zur Unterdrückung von E-Mail-Benachrichtigungen (z. B. Workday)
    • Signaturflüsse, die versuchen, rechtsgültige Signaturen von zwei oder mehr Empfängern zu erhalten, die dieselbe (gemeinsam genutzte) E-Mail-Adresse verwenden
  • Geben Sie an, ob und wo es hilfreich ist, unterschiedliche Authentifizierungsstandards für interne Empfänger zu haben.
  • Kunden mit Zugriff auf benutzerdefinierte Workflows können sehr präzise Authentifizierungsmethoden für jeden ihrer Signaturflüsse definieren, was standardmäßig weniger zeitaufwändig ist (und möglicherweise ein höheres Volumen ermöglicht), während gleichzeitig die Einhaltung kritischer Signaturprozesse gewährleistet wird.
  • Beachten Sie, dass die einzelnen Authentifizierungsmethoden aktiviert werden müssen, bevor sie für andere Dienste verfügbar werden. Wenn Sie eine Methode aktivieren, wird sie für Folgendes verfügbar:
    • Andere administrative Optionen, wie z. B. die Sicherheitseinstellungen für Zwei-Faktor-Authentifizierungsmethoden
    • Benutzer, die während des standardmäßigen Sendevorgangs ausgewählt werden sollen
    • Benutzerdefinierte Workflows wie im Workflow-Designer erstellt
    • API-gestützte Sendeereignisse
    • Integrationszugriff (Dynamics, Salesforce)
Adobe-Logo

Bei Ihrem Konto anmelden