在获得收件人的签名和审批结果时,可能需要采取不同级别的身份验证方法,具体取决于涉及到的文档。Adobe Acrobat Sign 支持全方位的身份验证方法,其中既包括单因素电子邮件验证这种简单的方法,又包括根据政府签发的文档所提供的双重身份验证这种复杂的方法。
身份验证
验证收件人的身份,是 Acrobat Sign 系统获取合法签名并提升不可否认性的关键环节,
然而,由于业务目的不同,导致对身份验证的要求也不尽相同。对于下面这些事务,请考虑您在身份保证级别方面提出的不同要求:
- 上班时间请假
- 孩子在学校的成绩单
- 注册私人活动
- 健身馆会员资格
- 访问医疗记录
- 符合 CFR 21 第 11 部分要求的文档
Acrobat Sign 提供了一系列控件,这些控件允许用可定义的默认值来设置帐户和组级别的身份验证类型,从而简化发件人的体验并更好地确保符合公司签名策略。
请记住,愈是屡试不爽的身份验证方法,就愈会在签名流程中设置更多的“关卡”。管理员应当配置帐户或组级别的默认设置以支持最常见的身份验证要求,尽可能选取最简单的选项,并在某些事务要求较为复杂的解决方案时提供可编辑的选项。
关键术语
内部收件人与外部收件人
为了给两种类型的收件人(内部和外部)配置身份验证方法,身份验证控件做出了具体调整:
- 内部收件人包含的每一位活动用户(由电子邮件地址标识)均出自于发送协议的同一 Acrobat Sign 帐户
- 涵盖您帐户中每位用户的列表,就是所有内部用户的列表
- 这与收件人处于哪一组并无关系,只要用户位于同一帐户结构中即可。
- 外部收件人包含的每一个收件人电子邮件地址都与内部用户没有关联
- 每个不包括在帐户级别用户列表中的电子邮件地址,就是一个外部用户
这种划分收件人的方式设定了不同的工作流:面向外部收件人,运用高级别的身份验证方法;而对于内部用户,则选用更加经济实惠的身份验证方法。
一家公司(电子邮件域)可能拥有多个 Acrobat Sign 帐户。
只有驻留在每个独立帐户中的用户,才属于内部用户。在所有情况下,外部帐户包含的都是外部收件人。
第一因素收件人身份验证方法
电子邮件身份验证
Acrobat Sign 使用电子邮件作为默认的第一因素身份验证方法,该方法符合《电子签名法案》(ESIGN Act) 中规定的法定电子签名填写要求。对于许多客户来说,第一因素身份验证方法可以满足他们的大多数需求。
电子邮件验证方法要求收件人:
- 从其电子邮箱访问协议
- 单击电子邮件中的链接以访问协议视图
- 在协议上完成所有指定的操作(填写表单字段、签名)
- 单击最终的单击以签名按钮,完成收件人的操作
访问电子邮件链接是一项合理的身份证明举措,因为所有的电子邮件地址都是唯一的,若要访问电子邮件,需执行密码身份验证。
如果相关集成或操作绕过了向收件人发送电子邮件通知,那么出于不可否认性的考虑,应采用适当的双重因素身份验证方法。
Acrobat Sign 身份验证
Acrobat Sign 身份验证会提示收件人进行 Acrobat Sign 系统身份验证。
如果要求提供每个签名的已记录/已执行身份验证的事件,那么可选用这种验证方法,它主要是用作一种面向内部收件人的“低阻力”会签选项。
在向外部收件人分配 Acrobat Sign 身份验证方法之前,应当注意以下事项:
- Acrobat Sign 身份验证不是双重因素身份验证方法。
- 外部收件人可能是 Acrobat Sign 活动用户,也可能不是。如果他们不是 Adobe Sign 活动用户,则需要注册并验证用户,然后才能执行身份验证。
- (根据定义,)内部收件人是已知的 Acrobat Sign 活动用户,因此他们可以毫无问题地通过身份验证。
收件人在能够查看协议内容之前,需要先进行 Acrobat Sign 身份验证:
双重因素身份验证 (2FA)
Acrobat Sign 支持执行多种双重因素身份验证方法,毕竟具有较高价值的事务要求的不仅仅是执行简单的电子邮件验证。
身份验证方法通常由文档类型或相关方的所属行业决定。作为管理员,必须要解其内部签名策略以及各种可能的合规性要求。
下面概要介绍一些可用的双重因素身份验证选项,其中包含指向更详细说明的链接:
签名者密码身份验证要求发件人键入密码(两次)
- 密码只能是字母/数字。不得包含特殊字符
- 发件人必须通过某些外部渠道,将密码传递给收件人
- 密码不会以明文形式存储在应用程序的任何位置。如果密码丢失,则无法恢复,发件人将必须重置密码
收件人需要输入密码后才能查看协议内容:
手机身份验证将向收件人发送一个六位数字的验证码,必须输入该验证码才能显示协议。
- 发件人在创建协议时,必须输入收件人的电话号码.
- 如果收件人委托他们的签名授权,他们则需要向新的收件人提供有效的电话号码。必须提供正确的电话号码,否则验证最终将会失败。
- 收件人可以选择文本消息(适用于可以接收文本消息的智能手机)或语音通话(如果手机不支持文本)。
- 身份验证码在发出后十分钟内有效.
收件人请求获取验证码,并且必须输入验证码才能查看协议内容:
基于知识的身份验证是一种高级的身份验证方法,主要用于金融机构和其他严格要求验证签名者身份的场合。
系统会提示收件人输入个人信息,这些信息用来(通过公共数据库)收集收件人过去提出的几个重要问题的答案。必须正确回答每个问题才能获得协议的访问权限。
KBA 仅适用于美国收件人。
身份证验证要求收件人提供政府签发的证件(包括驾照、护照)和自拍图像,以建立强大的验证记录。
首先要求收件人提供智能手机的电话号码,然后要完成上传文档和自拍图像的流程:
基于云的数字签名要求签名者向第三方身份提供商进行身份验证才能应用数字签名。
Acrobat Sign 支持多个国家/地区的各种签名提供商。管理员可以配置其帐户(或特定组)以接受来自一个或多个提供商的数字签名。
在大多数情况下,客户会与身份认证提供商签署协议,以适应其签名数量。Acrobat Sign 仅用作请求和提供数字签名的平台,Adobe 不会增加额外费用。拥有 VIP 许可证的帐户可以通过 Adobe 以加载项的形式购买 Aadhaar 身份事务,并在管理员菜单中跟踪其使用情况。
“高级”签名者身份验证方法
电话、KBA、身份证和基于云的数字签名是“高级”身份验证方法。
高级身份验证方法属于计量资源,使用前必须进行购买。有关详细信息,请联系您的成功经理或销售代理。
启动新的企业级和商业级帐户后,这些帐户将获得 50 次免费的电话和 KBA 交易。
自动取消阈值
所有双重因素身份验证方法都具有可配置的阈值,如果收件人在设置的尝试次数阈值内无法完成身份验证,则取消协议。
- 协议所有者(发件人)将会收到取消协议的通知
- 仅通知发件人。
- 已取消的协议不能回到活动状态。必须新建一份协议。
数字身份验证
数字身份验证利用联合身份认证提供商 (IDP),该身份认证提供商通过 Acrobat Sign 服务外部许可,并且必须先对其进行配置,然后才能在编写协议时进行访问。
收件人体验的详情因发件人使用的身份认证提供商而异。如果是高级身份认证提供商,系统将通知收件人通过联合 IDP 解决身份验证,并可使用验证身份按钮来触发验证过程。
发件人如何选择身份验证方法
发件人可以在配置协议时,从收件人电子邮件地址右侧的下拉菜单中选择身份验证方法。
大多数身份验证方法均可配置为所选的默认值,以简化发送过程。只有数字身份选项无法配置为默认身份验证值。
收件人体验
收件人往往是首先通过电子邮件,知道有一份协议正在等待他们签名。
- 如果发送的协议只配置了电子邮件身份验证,则单击电子邮件中的审阅并签名按钮,即可打开协议以供查看和操作。
- 如果协议配置了其他身份验证方法,那么单击电子邮件中的审阅并签名按钮,将会打开身份验证质询页面。
- 成功完成身份验证质询后,将会打开协议以供查看和操作。
- 成功完成身份验证质询后,将会打开协议以供查看和操作。
审核报告事件
每种双重因素身份验证方法都会显示一则明确的成功消息,其中指出了所使用的身份验证方法。
电子邮件身份验证仅指示文档已签名:
可配置的选项和默认值
管理员控件
若要访问帐户级别的设置,可采取以下方法:以 Adobe Sign 帐户级别管理员的身份登录,然后导航至帐户设置 > 发送设置 > 签署者身份识别选项
您还可以在组级别配置所有控件。请注意:
- 默认情况下,所有组都继承帐户级别设置。
- 组级别配置会覆盖帐户级别设置。
- 发送页面上的所有可用选项均源自要从中发送协议的组对应的设置。
管理员控件分为两个部分:
- 签署者身份识别选项 - 身份验证设置的主要集合。这些值将应用于发送组中创建的所有协议的所有收件人,但是存在以下例外情况:
- 基于 API 的流程可能会限制发件人的选项(集成、工作流、自定义应用程序)。
- 当启用对内部收件人启用其他身份验证方法时(请参阅下文)。
- 基于 API 的流程可能会限制发件人的选项(集成、工作流、自定义应用程序)。
- 适用于内部收件人的身份验证 - 借助于这个设置子集,发送组能够为内部收件人定义一组不同的身份验证方法。这种设置的优势包括:
- 减少内部签名者的挫败感。
- 对于需要会签大量协议的收件人来说,简单的签名过程有助于加快签名速度。
- 避免内部收件人支付因使用高级身份验证而产生的费用。
身份验证方法
主要身份验证控件:
- 要求发件人指定一种已启用的身份验证方法 - 启用此选项后,您需要选择一种双重因素身份验证方法作为默认的身份验证方法。或许不能选择电子邮件验证方法。
- 每次进行身份验证质询时,允许 Acrobat Sign 自动填充签名者电子邮件地址 - 此设置仅适用于 Acrobat Sign 身份验证方法。启用此选项后,系统会在需要进行身份验证的情况下,自动插入收件人的电子邮件地址。
- 如果签名者已登录到 Acrobat Sign,不要求签名者重新进行身份验证 - 此设置仅适用于 Acrobat Sign 身份验证方法。启用此选项后,如果签名者当前已登录到 Acrobat Sign,则不要求他们重新进行身份验证。
- 允许发件人为包含验证签名的协议下载签署者身份报告 - 签署者身份报告 (SIR) 可用于身份证和数字身份验证方法。启用此设置后,协议的发件人可以从其管理页面下载 SIR。
- 启用以下身份验证方法 - 这个选项将预先向发件人列出可用的双重因素身份验证选项列表。 根据安全/合规性需求,可选择一个或多个。
- 默认使用以下方法 - 确定将收件人添加到新协议时要插入的默认身份验证方法。
- 允许发送者更改默认身份验证方法 - 如果启用,发送者将有权为接收协议的组选择任何启用的方法。
- 如果禁用此选项,发件人将只能使用默认的身份验证方法。
对内部收件人进行身份验证
内部收件人控件提供了可应用于内部收件人的选项:
- 对内部接收者启用其他身份验证方法 - 启用此选项后,内部收件人将被视为主要身份验证规则的例外,他们反而要选用在“对内部接收者进行身份验证”部分中定义的默认值/身份验证选项。
- 启用以下身份验证方法 - 这将预先列出可用于内部收件人身份验证的选项列表。 根据安全/合规性需求,可选择一个或多个。
- 如果发件人也是会签者,Adobe Sign 身份验证可提供一种低成本/低阻力的身份验证方法。
- 如果发件人也是会签者,Adobe Sign 身份验证可提供一种低成本/低阻力的身份验证方法。
- 默认使用以下方法 - 确定在新建协议时要插入的适用于内部收件人的默认身份验证方法.
- 允许发件人更改默认身份验证方法 - 授予发件人权限,以便将默认身份验证方法更改为由管理员启用的任何其他选项。
Web 表单身份验证的例外情况
Web 表单广泛应用于独一无二的用例,而且往往会降低强制执行身份验证的要求。
对于不需要执行 Web 表单签名身份验证的帐户/组,可按照以下步骤配置禁用电子邮件验证的选项:
- 导航至:帐户设置 > 全局设置 > Web 表单(用于帐户级别设置)。
- 编辑组:{组名称} > 组设置 > Web 表单(用于组级别设置)。
- 取消选中“需要签名者验证他们的电子邮件地址”选项,以此来接受 Web 表单签名而无需进行验证。
- 移除验证 Web 表单签名的要求并不会移除要求签名者提供电子邮件地址的要求。
最佳实践和注意事项
- 可以在帐户和组级别配置所有身份验证方法及选项。
- 所有组都将继承来自帐户级别设置的默认设置。设计帐户级别设置,以便充分利用自动属性继承功能,从而最大限度地减少后续的组配置。
- 协议通过发送协议的组来派生其身份验证选项。如果未看到预期的选项,请核实组级别设置。
- 评估要发送的文档类型的身份验证要求,以及它们是否符合任何合规性要求。如果要求“高级”身份验证,请确保已为您的预期流量购买了足够的使用额度。
- 身份证验证:(i) 不适用于受监管或高价值的电子签名工作流程和用例;(ii) 无法识别所有欺诈或“虚假”的身份证件;以及 (iii) 不得取代人工审查的必要性。
- 确定是否存在可能需要双重因素身份验证的签名流程,例如:
- 托管签名
- 旨在禁止电子邮件通知的自定义解决方案(例如 Workday)
- 寻求获取两个或更多收件人提供的合法签名的签名流程,这些收件人使用相同的(共享)电子邮件地址
- 确定以下观点的适用条件/情况是否很有价值:对内部收件人使用不同的身份验证标准。
- 有权访问自定义工作流的帐户可以为每个签名流程定义非常精确的身份验证方法,从而允许使用阻力较低(并且数量可能更多)的默认值,同时确保关键签名流程合规。
- 请注意,必须先启用各个身份验证方法,然后这些方法才能用于其他服务。启用一种方法后,将会显示:
- 其他管理控件,例如适用于双重因素身份验证方法的安全性设置
- 在标准发送流程中要选择的用户
- 工作流设计器中内置的自定义工作流
- API 驱动的发送事件
- 集成访问(Dynamics、Salesforce)
- 其他管理控件,例如适用于双重因素身份验证方法的安全性设置
