Adobe Acrobat Sign – Methoden zur Authentifizierung der Identität

Das Einholen von Unterschriften und Genehmigungen von Empfängern kann je nach Dokument unterschiedliche Authentifizierungsstufen erfordern. Adobe Acrobat Sign unterstützt eine Vielzahl von Authentifizierungsmethoden, von der einfachen Ein-Faktor-E-Mail-Verifizierung bis hin zur ausgefeilten Zwei-Faktor-Authentifizierung auf der Grundlage von von Behörden ausgestellten Dokumenten.

Identitätsauthentifizierung

Die Authentifizierung der Identität eines Empfängers ist ein wichtiges Element des Acrobat Sign-Systems, um eine rechtsgültige Signatur zu erhalten und die Nichtabstreitbarkeit zu verbessern.

Unterschiedliche Geschäftszwecke erfordern jedoch unterschiedliche Anforderungen an die Identitätsauthentifizierung. Beachten Sie die verschiedenen Ebenen der Identitätsfeststellung, die Sie für die folgenden Transaktionen verlangen würden:

  • Urlaubsantrag bei der Arbeit
  • Schulzeugnis des Kindes
  • Registrierung für eine private Veranstaltung
  • Mitgliedschaft in einem Fitnessstudio
  • Zugriff auf Patientenakten
  • CFR 21 Part 11-konforme Dokumente

Acrobat Sign bietet einen Optionssatz, mit dem Authentifizierungstypen auf Konto- und Gruppenebene mit definierbaren Standardwerten festgelegt werden können, um die Erfahrung des Absenders zu optimieren und die Einhaltung der Richtlinien für Unternehmenssignaturen zu gewährleisten.

Da die Signaturprozesse bei robusteren Authentifizierungsmethoden zeitraubender sind, sollten Administratoren die Konto- oder Gruppenstandardwerte so konfigurieren, dass die gängigsten Authentifizierungsanforderungen unterstützt werden. Sie sollten sich nach Möglichkeit für die am wenigsten komplexe Option entscheiden und bearbeitbare Optionen zulassen, wenn bestimmte Transaktionen komplexere Lösungen erfordern.

Schlüsselterminologie

Interne vs. externe Empfänger

Authentifizierungsoptionen bieten spezifische Anpassungen, um Authentifizierungsmethoden für zwei Arten von Empfängern zu konfigurieren: interne und externe Empfänger.

  • Zu den internen Empfängern gehören alle aktiven (durch die E-Mail-Adresse identifizierten) Benutzer innerhalb des Acrobat Sign-Kontos, von dem die Vereinbarung gesendet wurde.
    • Eine Liste aller Benutzer in Ihrem Konto ist ein Liste aller internen Benutzer.
    • Es spielt keine Rolle, zu welcher Gruppe der Empfänger gehört, solange sich der Benutzer in derselben Kontostruktur befindet.
  • Externe Empfänger umfassen alle Empfänger-E-Mail-Adressen, die keinem internen Benutzer zugeordnet sind.
    • Jede E-Mail-Adresse, die nicht in einer Benutzerliste auf Kontoebene enthalten ist, ist ein externer Benutzer.

Durch diese Abgrenzung der Empfänger können Workflows eine sehr sichere Authentifizierungsmethode für externe Empfänger und gleichzeitig eine kostengünstigere Authentifizierung für interne Benutzer verwenden.

Hinweis:

Ein Unternehmen (E-Mail-Domäne) kann über mehrere Acrobat Sign-Konten verfügen.

Nur die Benutzenden, die sich in einem konkreten Konto befinden, sind intern miteinander verbunden. Die Empfänger in externen Konten sind in jedem Fall externe Empfänger.

Ein-Faktor-Authentifizierungsmethoden für Empfänger*innen

E-Mail-Authentifizierung

Bei Acrobat Sign wird standardmäßig die E-Mail-Adresse als Ein-Faktor-Authentifizierungsmethode verwendet, die die Anforderungen an eine rechtsgültige elektronische Unterschrift nach dem ESIGN Act erfüllt. Für viele Kunden ist dies in den meisten Fällen ausreichend.

Für die E-Mail-Verifizierung muss der Empfänger folgende Schritte ausführen:

  • Über das E-Mail-Postfach auf die Vereinbarung zugreifen
  • Auf den Link in der E-Mail klicken, um die Vereinbarung anzuzeigen
  • Alle in der Vereinbarung festgelegten Aktionen ausführen (Formularfelder ausfüllen, unterschreiben)
  • Zuletzt auf die Schaltfläche Zum Unterschreiben klicken klicken, um die Aktion des Empfängers abzuschließen

Der Zugriff auf den E-Mail-Link stellt ein angemessenes Maß der Identifizierung dar, da alle E-Mail-Adressen eindeutig sind und der Zugriff auf E-Mails durch ein Kennwort authentifiziert wird.

Integrationen oder Aktionen, die die E-Mail-Benachrichtigung an einen Empfänger umgehen, sollten eine geeignete Methode zur zweistufigen Authentifizierung enthalten, um die Anerkennung zu gewährleisten.

Acrobat Sign-Authentifizierung

Bei der Acrobat Sign-Authentifizierung wird der Empfänger aufgefordert, sich beim Acrobat Sign-System zu authentifizieren.

Diese Methode wird hauptsächlich als reibungsarme Gegensignaturoption für Ihre internen Empfänger verwendet, wenn Sie Signaturanforderungen haben, die ein protokolliertes/authentifiziertes Ereignis für jede Signatur erfordern.

Vorsicht:

Die Acrobat Sign-Authentifizierung sollte externen Empfängern nur mit äußerster Vorsicht zugewiesen werden:

  • Die Acrobat Sign-Authentifizierung ist keine Zwei-Faktor-Authentifizierungsmethode.
  • Externe Empfänger können aktive Acrobat Sign-Benutzer haben oder auch nicht. Falls nicht, müssen sie sich vor der Authentifizierung als Nutzende registrieren und verifizieren.
  • Interne Empfangende nutzen (per Definition) bekanntermaßen aktiv Acrobat Sign, daher ist bekannt, dass sie sich problemlos authentifizieren können.

Empfänger werden aufgefordert, sich bei Acrobat Sign zu authentifizieren, bevor sie den Inhalt der Vereinbarung anzeigen können:

Aufforderung zur Acrobat Sign-Authentifizierung

Zwei-Faktor-Authentifizierung (2FA)

Acrobat Sign unterstützt mehrere Zwei-Faktor-Authentifizierungsmethoden für wichtigere Transaktionen, die mehr als eine einfache E-Mail-Verifizierung erfordern.

Die Authentifizierungsmethode wird in der Regel durch die Art des Dokuments oder die Branche der beteiligten Parteien bestimmt. Es liegt in der Verantwortung des Administrators, die internen Signaturrichtlinien und möglichen Compliance-Anforderungen zu verstehen.

Im Folgenden finden Sie eine Zusammenfassung der verfügbaren Optionen für die Zwei-Faktor-Authentifizierung mit Links zu detaillierteren Beschreibungen:

Bei der Unterzeichnerauthentifizierung mittels Kennwort muss der Absender das Kennwort (zweimal) eingeben.

  • Kennwörter dürfen nur alphanumerisch sein. Sonderzeichen sind nicht zulässig.
  • Der Absender muss dem Empfänger das Kennwort über einen externen Kanal zukommen lassen.
  • Das Kennwort wird in der Anwendung nicht lesbar gespeichert. Wenn das Kennwort verloren geht, kann es nicht wiederhergestellt werden und der Absender muss es zurücksetzen.

Empfänger werden aufgefordert, das Kennwort einzugeben, bevor sie den Inhalt der Vereinbarung anzeigen können:

Aufforderung zur Kennwortauthentifizierung

Für die Authentifizierung per Telefon wird ein sechsstelliger Code an die Telefonnummer des Empfängers gesendet, der eingegeben werden muss, bevor die Vereinbarung angezeigt wird.

  • Die Telefonnummer des Empfängers muss bei der Erstellung der Vereinbarung durch den Absender eingegeben werden..
  • Wenn der Empfänger die Unterzeichnung an eine andere Person delegiert, muss er eine gültige Telefonnummer des neuen Empfängers eingeben. Wenn keine richtige Telefonnummer eingegeben wird, schlägt die Vereinbarung fehl..
  • Die Empfänger*innen können zwischen Textnachricht (für Smartphones, die SMS empfangen können) oder Sprachanruf wählen (wenn das entsprechende Telefon nicht SMS-fähig ist).
    • Der Authentifizierungscode ist nach Versenden zehn Minuten lang gültig.

Der Empfänger fordert den Code an und muss ihn eingeben, bevor der Inhalt der Vereinbarung angezeigt wird:

Aufforderung zur Authentifizierung per Telefon

Die wissensbasierte Authentifizierung (Knowledge-Based Authentication, KBA) ist eine äußerst sichere Authentifizierungsmethode, die in erster Linie von Finanzinstituten sowie in Szenarien verwendet wird, in denen die Überprüfung der Unterzeichneridentität von entscheidender Bedeutung ist.

Der Empfänger muss zunächst persönliche Daten eingeben, anhand derer (mithilfe öffentlicher Datenbanken) verschiedene individuelle und nicht triviale Fragen zur Vergangenheit des Empfängers erstellt werden. Jede Frage muss richtig beantwortet werden, um auf die Vereinbarung zugreifen zu können.

KBA ist nur für Empfänger in den USA gültig.

Aufforderung zur KBA-Authentifizierung

Bei der Authentifizierung mithilfe eines amtlichen Lichtbildausweises wird ein vom Empfänger bereitgestelltes Bild eines behördlich ausgestellten Ausweisdokuments (Führerschein, Reisepass) sowie ein Selfie bereitgestellt, um den Empfänger sicher zu identifizieren.

Die Empfänger werden aufgefordert, zunächst eine Telefonnummer für ein Smartphone bereitzustellen. Anschließend werden sie durch den Prozess für den Upload des Dokument- und Selfie-Bilds geführt:

Aufforderung zur Authentifizierung mithilfe eines amtlichen Lichtbildausweises

Premium-Methoden zur Unterzeichnerauthentifizierung

Telefon, KBA und Amtlicher Lichtbildausweis sind „Premium“-Authentifizierungsmethoden.

Premium-Authentifizierungsmethoden sind eine nutzungsabhängig abgerechnete Ressource, die vor der Verwendung erworben werden muss. Weitere Informationen erhalten Sie von Ihrem Success Manager oder Vertriebsmitarbeiter.

Hinweis:

Neue Unternehmens- und Geschäftskonten erhalten bei Eröffnung des Kontos 50 kostenlose Telefon- und KBA-Transaktionen.

Schwellenwerte für den automatischen Abbruch

Alle Zwei-Faktor Authentifizierungsmethoden verfügen über konfigurierbare Schwellenwerte, anhand derer die Vereinbarung abgebrochen wird, wenn ein Empfänger nicht innerhalb der festgelegten Anzahl der Versuche authentifiziert werden kann.

  • Der Vereinbarungsbesitzer (Absender) wird darüber informiert, dass die Vereinbarung abgebrochen wird.
    • Nur der Absender wird benachrichtigt..
    • Abgebrochene Vereinbarungen können nicht auf den Status „Aktiv“ zurückgesetzt werden. Es muss eine neue Vereinbarung erstellt werden.

Digitale Identitätsverifizierung

Bei der Überprüfung des Typs Digitale Identität wird ein Federated ID-Identitätsprovider (IdP) genutzt, der extern für den Acrobat Sign-Dienst lizenziert wird und konfiguriert werden muss, bevor er beim Erstellen von Vereinbarungen zugänglich wird.

Ausführliche Informationen zur Lösung Digitale Identität finden Sie hier >

Die Details des Empfängererlebnisses variieren je nach Identitätsanbieter, den die Absender*innen verwenden. Die Empfänger*innen werden darüber informiert, dass die Identitätsprüfung über einen IdP-Dienst mit Federated ID aufgelöst wird, bei dem eine Schaltfläche Identität bestätigen verfügbar ist, um den Überprüfungsprozess auszulösen.

Digitale Authentifizierung der Identität

So wählen Absender eine Authentifizierungsmethode aus

Wenn Sie eine Vereinbarung konfigurieren, können Absender über das Dropdown-Menü rechts neben der E-Mail-Adresse des Empfängers eine Authentifizierungsmethode auswählen.

Die meisten Authentifizierungsmethoden können als ausgewählter Standardwert konfiguriert werden, um den Sendevorgang zu vereinfachen. Nur die Optionen für Digitale Identität können nicht als Standardauthentifizierungswert konfiguriert werden.

Auswählen der Authentifizierungsmethode für die Empfänger*innen

Das Empfängererlebnis

In der Regel wird ein Empfänger zuerst per E-Mail über eine Vereinbarung informiert, die seine Aufmerksamkeit erfordert.

  • Wenn die Vereinbarung nur mit E-Mail-Authentifizierung gesendet wird, wird durch Klicken auf die Schaltfläche Überprüfen und signieren in der E-Mail die Vereinbarung geöffnet, sodass der Empfänger sie anzeigen und Aktionen durchführen kann..
  • Wenn für die Vereinbarung eine zusätzliche Authentifizierungsmethode konfiguriert ist, wird durch Klicken auf die Schaltfläche Überprüfen und signieren in der E-Mail die Seite mit der Aufforderung zur Authentifizierung geöffnet.
    • Sobald diese Authentifizierungsaufforderung erfüllt wurde, wird die Vereinbarung zur Anzeige und Durchführung von Aktionen geöffnet.
E-Mail „Überprüfen und signieren“

Audit-Bericht-Ereignisse

Für jede Zwei-Faktor-Authentifizierungsmethode gibt es eine explizite Erfolgsmeldung, die die verwendete Methode identifiziert.

Bei der E-Mail-Authentifizierung wird einfach angegeben, dass das Dokument signiert wurde:

Beispiele für Audit-Berichte

Konfigurierbare Optionen und Standardwerte

Administratoroptionen

Sie können auf die Einstellungen auf Kontoebene zugreifen, indem Sie sich als Adobe Sign-Administrator*in auf Kontoebene anmelden und zu Kontoeinstellungen > Sendeeinstellungen > Identifikationsoptionen für Unterzeichnende
navigieren.

Alle Optionen können auch auf Gruppenebene konfiguriert werden. Denken Sie daran:

  • Alle Gruppen übernehmen standardmäßig die Einstellungen auf Kontoebene.
  • Konfigurationen auf Gruppenebene setzen Einstellungen auf Kontoebene außer Kraft.
  • Alle auf der Seite Senden verfügbaren Optionen werden aus den Einstellungen der Gruppe abgeleitet, von der die Vereinbarung gesendet wird.

Die Optionen sind in zwei Abschnitte unterteilt:

  • Identifizierungsoptionen für Unterzeichnende: Dies ist die primäre Gruppe von Einstellungen zur Identitätsauthentifizierung. Diese Werte werden mit folgenden Ausnahmen auf alle Empfänger aller Vereinbarungen angewendet, die in der Sendegruppe erstellt wurden:
    • API-basierte Prozesse, die die Optionen des Absenders einschränken können (Integrationen, Workflows, benutzerdefinierte Anwendungen).
    • Wenn Verschiedene Methoden zur Authentifizierung der Identität von internen Empfänger*innen aktivieren aktiviert ist (siehe unten).
  • Identitätsauthentifizierung für interne Empfänger: Diese Teilmenge von Einstellungen ermöglicht der Gruppe, einen anderen Satz von Identitätsauthentifizierungsmethoden für interne Empfänger zu definieren. Dies bietet die folgenden Vorteile:
    • Weniger Frustration für interne Unterzeichner.
    • Weniger komplexe Unterzeichnungsprozesse beschleunigen die Unterzeichnung für Empfänger*innen, die möglicherweise viele Vereinbarungen gegenzeichnen müssen.
    • Die Kosten für Premium-Authentifizierung können für interne Empfänger*innen vermieden werden.
Methoden zur Authentifizierung der Identität in der Benutzeroberfläche des Administrators

Methoden zur Authentifizierung der Identität

Die primären Authentifizierungsoptionen:

  • Sender auffordern, eine der aktivierten Methoden zur Authentifizierung zu wählen: Wenn diese Option aktiviert ist, muss eine Zwei-Faktor-Methode als Standardauthentifizierungsmethode ausgewählt werden. E-Mail darf nicht ausgewählt werden.
  • Acrobat Sign erlauben, die E-Mail-Adresse der Unterzeichnenden für jede Authentifizierungsanforderung automatisch auszufüllen: Diese Einstellung gilt nur für die Methode Acrobat Sign-Authentifizierung. Wenn diese Option aktiviert ist, wird die E-Mail-Adresse des Empfängers bei Bedarf für die Authentifizierung automatisch eingefügt.
  • Den Unterzeichner nicht auffordern, sich erneut zu authentifizieren, wenn er bereits bei Acrobat Sign angemeldet ist: Diese Einstellung gilt nur für die Methode Acrobat Sign-Authentifizierung. Wenn diese Option aktiviert ist, werden Unterzeichner nicht aufgefordert, sich erneut zu authentifizieren, wenn sie aktuell bei Acrobat Sign angemeldet sind.
  • Absender*innen das Herunterladen eines Identitätsberichts der Unterzeichnenden für Vereinbarungen mit verifizierten Signaturen ermöglichen: Identitätsberichte Unterzeichner (SIR) sind für die Authentifizierungsmethoden Amtlicher Lichtbildausweis und Digitale Identität verfügbar. Wenn diese Einstellung aktiviert ist, können die Absender*innen der Vereinbarung den SIR von ihrer Seite Verwalten herunterladen.
  • Aktivieren Sie die folgenden Methoden zur Authentifizierung der Identität: Hiermit wird die Liste der Zwei-Faktor-Authentifizierungsmethoden für Absender eingeleitet.  Wählen Sie je nach Sicherheits-/Konformitäts-Anforderungen eine oder mehrere Optionen aus.
  • Verwenden Sie standardmäßig folgende Methode: Legt die standardmäßige Authentifizierungsmethode fest, die beim Hinzufügen eines Empfängers zu einer neuen Vereinbarung eingefügt wird.
  • Absendern das Ändern der Standardmethode zur Authentifizierung erlauben: Ist diese Option aktiviert, hat der Absender die Option, eine beliebige Methode auszuwählen, die für die Gruppe, von der gesendet wird, aktiviert ist.
    • Ist die Option deaktiviert, kann nur die standardmäßige Authentifizierungsmethode verwendet werden.

Authentifizierung der Identität von internen Empfängern

Legen Sie über die Steuerelemente für interne Empfänger die Optionen für interne Empfänger fest:

  • Verschiedene Methoden zur Authentifizierung der Identität von internen Empfängern aktivieren: Wenn diese Option aktiviert ist, werden interne Empfänger als Ausnahme zu den primären Authentifizierungsregeln behandelt und ihnen werden die Standardwerte/Authentifizierungsoptionen angezeigt, die im Abschnitt Authentifizierung der Identität von internen Empfängern definiert sind..
  • Aktivieren Sie die folgenden Methoden zur Authentifizierung der Identität: Diese Option steht über der Liste der Optionen, die für die Authentifizierung von internen Empfängern verfügbar sind.  Wählen Sie je nach Sicherheits-/Konformitäts-Anforderungen eine oder mehrere Optionen aus.
    • Die Adobe Sign-Authentifizierung bietet eine kostengünstige, reibungsarme Authentifizierungsmethode, wenn Ihre Absender*innen auch Gegenzeichner*innen sind.
  • Verwenden Sie standardmäßig folgende Methode: Legt die Standardmethode fest, die für interne Empfänger eingefügt wird, wenn eine neue Vereinbarung erstellt wird.
  • Absender*innen das Ändern der Standardmethode zur Authentifizierung erlauben: Hiermit haben die Absender*innen die Möglichkeit, die standardmäßige Authentifizierungsmethode zu einer anderen von Administrierenden aktivierten Option zu ändern.

Webformular-Ausnahme bei Identitätsauthentifizierung

Webformulare werden für verschiedenste Anwendungsfälle eingesetzt und häufig ist keine Identitätsauthentifizierung erforderlich.  

Bei Konten/Gruppen, die Webformular-Signaturen nicht authentifizieren müssen, kann die Option zur Deaktivierung der E-Mail-Verifizierung wie folgt deaktiviert werden:

  • Navigieren Sie zu Kontoeinstellungen > Globale Einstellungen > Webformulare (für Einstellungen auf Kontoebene).
    • Bearbeiten Sie Gruppe: {Gruppenname} > Gruppeneinstellungen > Webformulare (für Einstellungen auf Gruppenebene).
  • Deaktivieren Sie die Option Bestätigen der E-Mail-Adresse für Unterzeichner erforderlich machen, um Webformularsignaturen ohne Überprüfung zu akzeptieren.
    • Wenn die Anforderung zur Überprüfung der Webformularsignatur aufgehoben wird, bedeutet dies nicht, dass der Unterzeichner keine E-Mail-Adresse angeben muss.
Webformular-Ausnahmen von der ID-Überprüfung

Best Practices und Überlegungen

  • Alle Authentifizierungsmethoden und -optionen können auf Konto- und Gruppenebene konfiguriert werden.
  • Alle Gruppen übernehmen ihre Standardeinstellungswerte aus den Einstellungen auf Kontoebene. Entwerfen Sie Ihre Einstellungen auf Kontoebene so, dass die automatische Eigenschaftsvererbung optimal genutzt wird und der Aufwand bei der Gruppenkonfiguration später möglichst gering ist..
  • Die Authentifizierungsoptionen von Vereinbarungen sind von der Gruppe abgeleitet, von der die Vereinbarung gesendet wird. Wenn die erwarteten Optionen nicht angezeigt werden, überprüfen Sie Ihre Einstellungen auf Gruppenebene..
  • Bestimmen Sie Ihre Anforderungen an die Identitätsauthentifizierung für die von Ihnen gesendeten Dokumentarten und überprüfen Sie, ob sie Compliance-Vorschriften unterliegen. Wenn eine Premium-Authentifizierung erforderlich ist, stellen Sie sicher, dass ausreichend Volumen für den erwarteten Datenverkehr erworben wurde..
  • Authentifizierung mithilfe eines amtlichen Lichtbildausweises: (i) ist nicht für regulierte oder hochwertige elektronische Signatur-Workflows und -Anwendungsfälle bestimmt; (ii) kann nicht alle betrügerischen oder gefälschten Ausweisdokumente identifizieren; und (iii) darf nicht die Notwendigkeit einer Überprüfung durch Menschen ersetzen.
  • Bestimmen Sie, ob Signaturflüsse vorhanden sind, die eine Zwei-Faktor-Authentifizierung erfordern, wie z. B.:
    • Gehostete Signaturen
    • Benutzerdefinierte Lösungen zur Unterdrückung von E-Mail-Benachrichtigungen (z. B. Workday)
    • Signaturflüsse, die versuchen, rechtsgültige Signaturen von zwei oder mehr Empfängern zu erhalten, die dieselbe (gemeinsam genutzte) E-Mail-Adresse verwenden
  • Geben Sie an, ob und wo es hilfreich ist, unterschiedliche Authentifizierungsstandards für interne Empfänger zu haben..
  • Kunden mit Zugriff auf benutzerdefinierte Workflows können sehr präzise Authentifizierungsmethoden für jeden ihrer Signaturflüsse definieren, was standardmäßig weniger zeitaufwändig ist (und möglicherweise ein höheres Volumen ermöglicht), während gleichzeitig die Einhaltung kritischer Signaturprozesse gewährleistet wird..
  • Beachten Sie, dass die einzelnen Authentifizierungsmethoden aktiviert werden müssen, bevor sie für andere Dienste verfügbar werden. Wenn Sie eine Methode aktivieren, wird sie für Folgendes verfügbar:
    • Andere administrative Optionen, wie z. B. die Sicherheitseinstellungen für Zwei-Faktor-Authentifizierungsmethoden
    • Benutzer, die während des standardmäßigen Sendevorgangs ausgewählt werden sollen
    • Benutzerdefinierte Workflows wie im Workflow-Designer erstellt
    • API-gestützte Sendeereignisse
    • Integrationszugriff (Dynamics, Salesforce)
Adobe-Logo

Bei Ihrem Konto anmelden