用户指南 取消(C)

数字身份网关

 

Adobe Acrobat Sign 指南

新增功能

快速入门

管理

发送、签署和管理协议

高级协议功能和工作流程

与其他产品集成

Acrobat Sign 开发人员

支持和故障排除

概述

Adobe Acrobat Sign 数字身份网关允许组织从多种预配置的第三方数字身份提供商 (IDP) 中进行选择,并利用最适合其功能、安全性或合规性需求的身份验证类型。用于用户身份验证、签名者身份验证和身份联邦解决方案的 IDP 服务利用标准 OpenID Connect (OIDC) 身份验证协议以与 Acrobat Sign 集成。根据选定的 IDP,服务可能包括:

  • 视频身份验证
  • 电子身份 (eID) 验证
  • 身份文档确认
  • 基于知识的身份验证 (KBA)
  • 生物识别,身份验证

很多 IDP 服务都满足针对 AAL3 多重身份验证解决方案、IAL3 身份验证选项、及 FAL3 联合声明的 NIST 800-63A/B/C 标准。一些 IDP 服务也满足 ISO 29115 LoA4 和/或 LoA High 欧盟法规 910/2014 (eIDAS) 要求。

所有 IDP 服务需要先与提供商签订商业合同并配置,然后才能使用,并进行持续监控,以确保您的组织针对您的用例维持足够数量的 IDP 服务事务。

身份验证交易业务的采购、使用和报告

Acrobat Sign 许可中不包括身份提供商,并且 Adobe 不提供商业渠道来从可配置的各种 IDP 处购买身份识别服务。 

客户有责任与自己选择的 IDP 进行足够数量的身份交易,并维持足够数量的身份交易。 

IDP 会提供有关交易消费和计费方式的明确指导,并将消费/可用性直接报告给客户。 

收件人体验

通过 Acrobat Sign 签名流程,客户会收到一封审阅并签名电子邮件,就像任何其他协议一样。

当收件人选择“审阅并签名”按钮打开协议时,他们会看到一个信息对话框,指示需要身份验证才能访问文档。根据配置的设置,客户将看到:

  • 验证过程的高级摘要。
  • 执行身份验证的 IDP 的名称和徽标。
  • 如果验证过程出现问题,提供电子邮件和电话号码以联系 IDP 支持部门。
  • 请提供发送协议的 Acrobat Sign 用户的电子邮件地址,以便收件人在需要时联系他们。
  • 声明:收件人的身份数据将存储在签名者身份报告中(如果发件人帐户配置为这样做)。
  • 显示一条警告消息:提醒收件人在协议取消之前可用的剩余验证尝试次数。只有在收件人尝试了身份识别过程但失败后,才会显示此消息。
  • 验证身份按钮通过打开一个弹出屏幕并将验证过程移交给 IDP 来触发验证过程。
    • 收件人对验证过程的体验以及要完成的验证类型取决于发件人选择的身份提供商。

成功完成验证过程后,收件人将返回到 Acrobat Sign 窗口,并会向他们显示协议。

收件人身份验证消息

发件人体验

编写新协议时选择身份提供商

为发件人的帐户或组配置并启用一个或多个 IDP 后,用户将在包含收件人可用的所有身份验证方法的下拉菜单中看到用于选择 IDP 的选项。启用的 IDP 将列在“数字身份网关”部分下。如果未启用 IDP,则不存在“数字身份网关”部分,并且用户也看不到任何 IDP。

将鼠标悬停在菜单列表中的 IDP 上方会显示一个工具提示,其中简要描述了 IDP 服务。

选择身份验证方法

发送协议后更新 IDP

如果用户需要更新身份验证以选择其他 IDP(或任何其他身份验证方法),则用户可以使用相同的过程编辑身份验证方法

用户无需从“数字身份网关”中选择其他 IDP。可以选择任何其他已启用的身份验证方法。

编辑身份验证方法

审核报告

审核报告会明确指出,收件人已由数字身份网关的身份提供商验证,并且指定了涉及的 IDP 及其服务描述:

审核报告

签名者身份报告 (SIR)

默认情况下,Acrobat Sign 不保留 IDP 返回的身份信息。但是,帐户和组管理员可以启用该选项,以将身份信息保存在 Acrobat Sign 服务器上。

此外,管理员可以在帐户和组级别配置选项,以供用户从可用操作列表中下载管理页面上的身份报告。

在“管理”页面上下载 SIR

签名者身份报告包含身份验证事务成功时由 IDP 返回的身份信息、及事务失败时的相关数据。内容因供应商和身份验证方法而异。常见数据包括:

  • 参考 ID:IDP 端发生事务的唯一标识符。对于支持请求和取证分析很有用。
  • Sub (主体标识符):在 IDP 系统上下文中为收件人提供唯一标识符。
  • ID 令牌原始值:提供由 IDP 签署的声明,其中包括身份识别过程的结果。证明已在当前事务上下文中验证身份。
在“管理”页面上下载 SIR

有关签名者身份报告的更多信息,请参阅此页面 > 

配置访问权限以使用 IDP 作为身份验证

在管理员菜单中的数字身份选项卡下启用身份验证方法。

此视图中有三个高级设置,页面底部填充了可用 IDP 的完整列表。

  • 数字身份网关 - 此设置是允许访问数字身份服务的网关。
    • 允许签名者在取消协议之前尝试验证其签名的次数 - 任何违反验证其身份的最大尝试次数的收件人都会自动取消协议。
      • 最大尝试次数为 10 次
      • 设置此值时,请了解 IDP 交易消耗策略的性质。某些供应商会对每次尝试收费。
    • 存储已验证的身份数据以允许签名者身份报告
      •  启用后,身份验证信息将存储在 Acrobat Sign 服务器上,可使用 SIR 进行检索。
      • 禁用后,身份信息不会存储在 Acrobat Sign 服务器上。
      • 启用并保存设置后,即会开始收集数据。同样,禁用并保存设置后,即会停止收集数据。
      • 在审查收件人时未收集的数据,稍后将无法收集。
数字身份网关

启用数字身份网关后,也会启用通过数字身份网关对内部收件人进行身份验证的方法。启用数字身份网关时,不可禁用此选项。

内部收件人配置

注意:

无法为外部收件人和内部收件人配置不同的数字身份网关 (IDP)。数字身份界面中的所有可用选项都适用于这两种类型的收件人。

相关控件

如果您想要允许用户下载签名者身份报告,还需要查看其他两个设置:

配置单个 IDP

数字身份页面底部是 IDP“信息卡”。每张信息卡都代表 IDP 的一种或多种身份验证方法。

要启用 IDP 信息卡,请单击齿轮图标:

配置 IDP 信息卡

注意:

Adobe Okta IDP 在本文档中仅用于示例目的。客户无权访问此 IDP。

可以根据需要,在帐户和/或组级别配置一个 IDP。界面略有变化,以提供 有关组级别设置的继承状态的上下文:

 

IDP 配置要求取决于 IDP 使用的身份验证方法:

禁用/启用已配置的 IDP

通过点击左上角的复选框图标并保存页面配置,可以在不删除 IDP 信息卡上的配置信息的情况下禁用 IDP 服务。通过这种方式禁用 IDP 服务可以保留配置信息,以备日后需要重新启用 IDP 时使用。

通过这种方式禁用 IDP 服务不会产生任何信息丢失问题,再次点击复选框并保存页面配置即可快速重新启用该服务。

禁用 - 启用 IDP 信息卡

删除 IDP 配置

通过点击 IDP 信息卡上的垃圾桶图标,可以直接从数字身份面板中删除 IDP 配置。

此时将显示一个对话框,要求管理员确认是否要删除该配置。

此对话框还会警告尚未完成对 IDP 身份验证的收件人所受到的影响。

如果删除了 IDP 配置或禁用了服务,则当收件人尝试验证其身份时,会向收件人显示一个错误。

删除质询

需要了解的事项