用户指南 取消(C)

Adobe Acrobat Sign 身份验证方法

 

Adobe Acrobat Sign 指南

新增功能

快速入门

管理

发送、签署和管理协议

高级协议功能和工作流程

与其他产品集成

Acrobat Sign 开发人员

支持和故障排除

在获得收件人的签名和审批结果时,可能需要采取不同级别的身份验证方法,具体取决于涉及到的文档。Adobe Acrobat Sign 支持全方位的身份验证方法,其中既包括单因素验证这种简单的方法,又包括根据政府签发的文档所提供的双重身份验证这种复杂的方法。

身份验证

验证收件人的身份,是 Acrobat Sign 系统获取合法签名并提升不可否认性的重要环节,

然而,由于业务目的不同,导致对身份验证的要求也不尽相同。对于下列这些事务,请考虑您在身份保证级别方面提出的不同要求:

  • 上班时间请假
  • 孩子在学校的成绩单
  • 私人活动注册
  • 健身馆会员资格
  • 访问医疗记录
  • 符合 CFR 21 第 11 部分要求的文档

Acrobat Sign 提供了一系列控件,这些控件允许用可定义的默认值来设置帐户和组级别的身份验证类型,从而简化发件人的体验并更好地确保符合公司签名策略。

请记住,愈是屡试不爽的身份验证方法,就愈会在签名流程中设置更多的“关卡”。管理员应当配置帐户或组级别的默认设置以支持最常见的身份验证要求,尽可能选取最简单的选项,并在某些事务要求较为复杂的解决方案时提供可编辑的选项。

关键术语

内部收件人与外部收件人

为了给两种类型的收件人(内部外部)配置身份验证方法,身份验证控件做出了具体调整:

  • 内部收件人包含的每一位活动用户(由电子邮件地址标识)均出自于发送协议的同一 Acrobat Sign 帐户
    • 涵盖您帐户中每位用户的列表,就是所有内部用户的列表
    • 这与收件人处于哪一组并无关系,只要用户位于同一帐户结构中即可
  • 外部收件人包含的每一个收件人电子邮件地址都与内部用户没有关联
    • 每个包括在帐户级别用户列表中的电子邮件地址,就是一个外部用户

这种划分收件人的方式设定了不同的工作流:面向外部收件人,运用高级别的身份验证方法;而对于内部用户,则选用更加经济实惠的身份验证方法。

注意:

一家公司(电子邮件域)可以有多个 Acrobat Sign 帐户。

只有驻留在每个独立帐户中的用户,才属于内部用户。在所有情况下,外部帐户包含的都是外部收件人。

单因素收件人身份验证方法

Acrobat Sign 身份验证

Acrobat Sign 身份验证会提示收件人进行 Acrobat Sign 系统身份验证。

当您有需要提供每个签名的已记录且已进行身份验证的事件的签名要求时,可以选用这种方法,它主要是用作一种面向内部收件人的“低阻力”会签选项。

注意:

在向外部收件人分配 Acrobat Sign 身份验证方法之前,应当注意以下事项:

  • Acrobat Sign 身份验证双重因素身份验证方法。
  • 外部收件人可能是 Acrobat Sign 活动用户,也可能不是。如果不是,则必须先注册并验证用户,然后才能进行身份验证。
  • (根据定义,)内部收件人是已知的 Acrobat Sign 活动用户,因此他们可以毫无问题地通过身份验证。

收件人在能够与协议内容进行交互之前,需要先进行 Acrobat Sign 身份验证:

Acrobat Sign 身份验证质询

通过电子邮件发送一次性密码

通过电子邮件发送一次性密码 (OTPvEm) 身份验证方法提供单因素身份验证,以最小的用户阻力提供一定的保护。

由于一次性密码会发送到与原先的签名链接相同的电子邮件地址,因此 OTPvEm 身份验证方法被视为一重(单)因素身份验证方法。但是,OTPvEm 不要求用户创建帐户或登录到其他应用程序。用户仅需访问他们的电子邮件即可,因此这种方法降低了阻力。

使用 OTPvEm 可以提供一些额外的安全性,而仅依赖电子邮件链接则不能。例如:

  • 访问电子邮件并不意味着电子邮箱遭到入侵。如果电子邮件链接公开但电子邮箱受到保护,则 OTMvEm 身份验证将保持协议的安全性。
  • 假定协议电子邮件被不当转发(不是正确委派)。在这种情况下,OTPvEm 质询将阻止访问协议,并保留有关所识别签名者电子邮件和实际签名者的审核报告完整性。

收件人必须在要求提供密码后的 60 秒内输入密码。成功输入密码后,收件人就可以与协议进行交互了。

密码的 OTPvEm 质询

双重因素身份验证 (2FA)

Acrobat Sign 支持执行多种双重因素身份验证方法,毕竟具有较高价值的事务要求的不仅仅是执行简单的单因素验证。

身份验证方法通常由文档类型或相关方的所属行业决定。作为管理员,必须要解其内部签名策略以及各种可能的合规性要求。

下面概要介绍一些可用的双重因素身份验证选项,其中包含指向更详细说明的链接:

“高级”签名者身份验证方法

电话KBA身份证基于云的数字签名是“高级”身份验证方法。

高级身份验证方法属于计量资源,使用前必须进行购买。有关详细信息,请联系您的成功经理或销售代理。

注意:

启动新的企业级和商业级帐户后,这些帐户将获得 50 次免费的电话KBA 交易。

自动取消阈值

所有双重因素身份验证方法都具有可配置的阈值,如果收件人在设置的尝试次数阈值内无法完成身份验证,则取消协议。

  • 协议所有者(发件人)将会收到取消协议的通知
    • 仅通知发件人。
    • 已取消的协议不能回到活动状态。必须新建一份协议。

数字身份验证

数字身份验证利用联合身份认证提供商 (IDP),该身份认证提供商通过 Acrobat Sign 服务外部许可,并且必须先对其进行配置,然后才能在编写协议时进行访问。

有关“数字身份”解决方案的完整详情,请访问此处 >

收件人体验的详情因发件人使用的身份认证提供商而异。如果是高级身份认证提供商,系统将通知收件人通过联合 IDP 解决身份验证,并可使用验证身份按钮来触发验证过程。

数字身份验证

发件人如何选择身份验证方法

发件人可以在配置协议时,从收件人电子邮件地址右侧的下拉菜单中选择身份验证方法。

大多数身份验证方法均可配置为所选的默认值,以简化发送过程。只有数字身份选项无法配置为默认身份验证值。

选择收件人的身份验证方法

收件人体验

收件人往往是首先通过电子邮件,知道有一份协议正在等待他们签名。

  • 如果发送的协议未使用任何身份验证(选择,则单击电子邮件中的审阅并签名按钮,即可打开协议以供查看和操作。
  • 如果协议配置了其他身份验证方法,则选择电子邮件中的审阅并签名按钮,即可打开身份验证质询页面。
    • 成功完成身份验证质询后,将会打开协议以进行交互。
审阅并签名电子邮件

注意:

已通过 Acrobat Sign 身份验证的用户通常可以在其管理页面上查看待签名的协议,而无需进行身份验证。当收件人使用审阅并签名链接与协议进行交互(签名、填写表单字段等)时,会收到身份验证质询。

启用如果签名者已登录到 Acrobat Sign,不要求签名者重新进行身份验证设置的帐户在从其管理页面访问协议时,将跳过身份验证。

审核报告事件

每种双重因素身份验证方法都会显示一则明确的成功消息,其中指出了所使用的身份验证方法。

如果未选择任何身份验证(选择),审核报告仅指示文档已签名:

审核报告示例

可配置的选项和默认值

管理员控件

若要访问帐户级别的设置,可采取以下方法:以 Adobe Sign 帐户级别管理员的身份登录,然后导航至帐户设置 > 发送设置 > 签署者身份识别选项

您还可以在组级别配置所有控件。请注意:

  • 默认情况下,所有组都继承帐户级别设置。
  • 组级别配置会覆盖帐户级别设置。
  • 发送页面上的所有可用选项均源自要从中发送协议的组对应的设置。

管理员控件分为两个部分:

  • 签署者身份识别选项 - 身份验证设置的主要集合。这些值将应用于发送组中创建的所有协议的所有收件人,但是存在以下例外情况:
    • 基于 API 的流程可能会限制发件人的选项(集成、工作流、自定义应用程序)。
    • 当启用对内部收件人启用其他身份验证方法时(请参阅下文)。
  • 适用于内部收件人的身份验证 - 借助于这个设置子集,发送组能够为内部收件人定义一组不同的身份验证方法。这种设置的优势包括:
    • 减少内部签名者的挫败感。
    • 对于需要会签大量协议的收件人来说,简单的签名过程有助于加快签名速度。
    • 避免内部收件人支付因使用高级身份验证而产生的费用。
管理员 UI 中的身份验证方法

身份验证方法

主要身份验证控件:

  • 要求发件人指定一种已启用的身份验证方法 - 启用此选项后,您需要选择除以外的身份验证方法作为默认的身份验证方法。不能选择“无”
  • 每次进行身份验证质询时,允许 Acrobat Sign 自动填充签名者电子邮件地址 - 此设置仅适用于 Acrobat Sign 身份验证方法。启用此选项后,系统会在需要进行身份验证的情况下,自动插入收件人的电子邮件地址。
  • 如果签名者已登录到 Acrobat Sign,不要求签名者重新进行身份验证 - 启用后,如果签名者当前已登录到 Acrobat Sign,则不会要求他们重新进行身份验证。
  • 允许发件人为包含验证签名的协议下载签署者身份报告 - 签署者身份报告 (SIR) 可用于身份证数字身份验证方法。启用此设置后,协议的发件人可以从其管理页面下载 SIR。
  • 启用以下身份验证方法 - 这个选项将预先向发件人列出可用的身份验证选项列表。  根据您的安全和合规性需求选择一个或多个选项。
  • 默认使用以下方法 - 确定将收件人添加到新协议时要插入的默认身份验证方法。
  • 允许发送者更改默认身份验证方法 - 如果启用,发送者将有权选择任何启用的方法。
    • 如果禁用此选项,发件人将只能使用默认的身份验证方法。

对内部收件人进行身份验证

内部收件人控件提供了可应用于内部收件人的选项:

  • 对内部接收者启用其他身份验证方法 - 启用后,内部收件人将被视为主要身份验证规则的例外,他们反而要选用在对内部接收者进行身份验证部分中定义的默认身份验证选项。
  • 启用以下身份验证方法 - 这将预先列出可用于内部收件人身份验证的选项列表。  根据您的安全和合规性需求选择一个或多个选项。
    • 如果发件人也是会签者,Adobe Sign 身份验证可提供一种低成本/低阻力的身份验证方法。
  • 默认使用以下方法 - 确定在新建协议时要插入的适用于内部收件人的默认身份验证方法.
  • 允许发件人更改默认身份验证方法 - 授予发件人权限,以便将默认身份验证方法更改为由管理员启用的任何其他选项。

Web 表单身份验证的例外情况

Web 表单广泛应用于独一无二的用例,而且往往会降低强制执行身份验证的要求。  

对于不需要执行 Web 表单签名身份验证的帐户/组,可按照以下步骤配置禁用电子邮件验证的选项:

  • 导航至:帐户设置 > 全局设置 > Web 表单(用于帐户级别设置)。
    • 编辑组:{组名称} > 组设置 > Web 表单(用于组级别设置)。
  • 取消选中“需要签名者验证他们的电子邮件地址”选项,以此来接受 Web 表单签名而无需进行验证。
    • 移除验证 Web 表单签名的要求并不会移除要求签名者提供电子邮件地址的要求。
Web 表单免除 ID 验证控制

最佳实践和注意事项

  • 可以在帐户和组级别配置所有身份验证方法及选项。
  • 所有组都将继承来自帐户级别设置的默认设置。设计帐户级别设置,以便充分利用自动属性继承功能,从而最大限度地减少后续的组配置。
  • 协议通过发送协议的组来派生其身份验证选项。如果未看到预期的选项,请核实组级别设置。
  • 评估要发送的文档类型的身份验证要求,以及它们是否符合任何合规性要求。如果要求“高级”身份验证,请确保已为您的预期流量购买了足够的使用额度。
  • 身份证验证:(i) 不适用于受监管或高价值的电子签名工作流程和用例;(ii) 无法识别所有欺诈或“虚假”的身份证件;以及 (iii) 不得取代人工审查的必要性。
  • 确定是否存在可能需要双重因素身份验证的签名流程,例如:
    • 托管签名
    • 旨在禁止电子邮件通知的自定义解决方案(例如 Workday)
    • 寻求获取两个或更多收件人提供的合法签名的签名流程,这些收件人使用相同的(共享)电子邮件地址
  • 确定以下观点的适用条件/情况是否很有价值:对内部收件人使用不同的身份验证标准。
  • 有权访问自定义工作流程的帐户可以为每个签名流程定义非常精确的身份验证方法,从而允许使用阻力较低(并且数量可能更多)的默认值,同时确保关键签名流程合规。
  • 请注意,必须先启用各个身份验证方法,然后这些方法才能用于其他服务。启用一种方法后,将会显示:
    • 其他管理控件,例如适用于双重因素身份验证方法的安全性设置
    • 在标准发送流程中要选择的用户
    • 工作流设计器中内置的自定义工作流
    • API 驱动的发送事件
    • 集成访问(Dynamics、Salesforce)

更快、更轻松地获得帮助

新用户?