Brána k ověření digitální identity

Hledat
Adobe Acrobat Sign

Adobe Acrobat Sign

Otevřít na webu

Přehled

Brána k ověření digitální identity služby Adobe Acrobat Sign umožňuje organizacím vybírat ze široké nabídky předem nakonfigurovaných poskytovatelů identity (IDP) a využívat ten typ ověření identity, který nejlépe vyhovuje jejich požadavkům na funkčnost, zabezpečení nebo soulad s předpisy. Služby IDP pro řešení ověření uživatele, ověření identity autora podpisu a federace identity využívají pro integraci se službou Adobe Sign standardní ověřovací protokol OpenID Connect (OIDC). V závislosti na vybraném IDP může služba zahrnovat:

  • Ověření identity prostřednictvím videa
  • Ověření elektronické identity (eID)
  • Potvrzení dokumentu identity
  • Ověření na základě znalostí (KBA)
  • Biometrickou identifikaci a ověření

Mnoho služeb IDP splňuje standardy NIST 800-63A/B/C pro řešení vícefaktorového ověřování až do úrovně AAL3, ověření identity až do úrovně IAL3 a aserci federace až do úrovně FAL3. Některé služby IDP také splňují požadavky až do normy ISO 29115 LoA4 anebo nařízení EU 910/2014 (eIDAS) až do LoA High.

Všechny služby IDP vyžadují uzavření obchodní smlouvy a konfiguraci s poskytovatelem před použitím služeb společně s neustálým sledováním, aby bylo zajištěno, že vaše organizace udržuje dostatečný počet služebních transakcí IDP pro vaše případy použití.

Poskytování, spotřeba a hlášení o transakcích ověřování

Poskytovatelé identity nejsou součástí licencí služby Acrobat Sign a společnost Adobe neposkytuje komerční kanál k zajišťování identifikačních služeb od různých poskytovatelů identity, které lze nakonfigurovat. 13.3 Obecné

Zákazník je povinen získat a dodržovat dostatečný objem transakcí identity u zvoleného poskytovatele identity. 13.3 Obecné

Poskytovatel identity poskytne jasné pokyny, jak se transakce spotřebovávají a fakturují, a dodá hlášení o spotřebě nebo dostupnosti přímo zákazníkovi. 13.3 Obecné

Příjemce prostředí

Prostřednictvím procesu podepisování služby Acrobat Sign obdrží zákazník e-mail Zkontrolovat a podepsat , podobně jako u jakékoli jiné dohody.

Když příjemce vybere tlačítko Zkontrolovat a podepsat k otevření dohody, zobrazí se mu informační dialogové okno s upozorněním, přístup k dokumentu vyžaduje ověření identity. V závislosti na konfigurovaných nastaveních se zákazníkovi zobrazí:

  • Souhrn procesu ověřování na vysoké úrovni.
  • Název a logo poskytovatele identity (IDP), který provádí ověření identity.
  • E-mail a telefonní číslo potřebné ke kontaktování oddělení podpory IDP, nastane-li problém s procesem ověřování.
  • E-mailovou adresu uživatele služby Acrobat Sign, který odeslal dohodu, pokud by jej příjemce potřeboval kontaktovat.
  • Prohlášení, že údaje o identitě podepisujícího se uloží do hlášení o identitě podepisujícího (je-li účet odesílatele takto nakonfigurován).
  • Výstražnou zprávu s upozorněním na počet zbývajících pokusů, které má příjemce k dispozici, než bude dohoda zrušena. Tato zpráva se zobrazí teprve poté, co se příjemce neúspěšně pokusí provést proces identifikace.
  • Tlačítko Ověřit identitu spustí proces ověření otevřením automaticky otevíraného ona a předáním procesu poskytovateli identity.
    • Prostředí procesu ověření pro příjemce a typ ověření, které má proběhnout, budou záviset na poskytovateli identity, kterého odesílatel vybral.

Jakmile bude proces ověření úspěšně dokončen, příjemce se vrátí do okna služby Acrobat Sign a je mu předložena dohoda.

Zpráva o ověření pro příjemce

Prostředí pro odesílatele

Volba poskytovatele identity při tvorbě nové dohody

Je-li pro účet nebo skupinu odesílatele nakonfigurován a povolen jeden nebo více poskytovatelů identity, uživatelům se zobrazí možnost vybrat poskytovatele identity v rozevírací nabídce obsahující všechny metody ověření, jež má příjemce k dispozici. Povolení poskytovatelé identity budou uvedeni v oddíle Brána k ověření digitální identity. Nejsou-li povoleni žádní poskytovatelé identity, pak oddíl Brána k ověření digitální identity v prostředí nebude a uživatelům se žádní poskytovatelé identity nezobrazí.

Po najetí myší na seznam nabídky poskytovatelů identity se zobrazí popisek nástroje se stručným popisem služeb poskytovatele identity.

Výběr metody ověření

Aktualizace poskytovatele identity po odeslání dohody

Potřebuje-li uživatel aktualizovat ověření pro výběr jiného poskytovatele identity (nebo jakékoli jiné metody ověření), pak může použít stejný proces k úpravě metody ověření.

Uživatel může bez omezení vybrat jiného poskytovatele identity v Bráně k ověření digitální identity. Je možné vybrat jakoukoli jinou povolenou metodu ověření.

Úprava metody ověření

Zpráva o auditu

Zpráva o auditu jasně uvádí, že byl příjemce ověřen poskytovatelem identity z Brány k ověření digitální identity, specifikuje, který poskytovatel identity byl do procesu zapojen, a obsahuje popis jeho služeb:

Zpráva o auditu

Hlášení o identitě podepisujícího (SIR)

Služba Acrobat Sign ve výchozím nastavení neuchovává informace o identitě vrácené od poskytovatele identity. Správci účtu a skupiny však mohou povolit možnost uchovávání informací o identitě na serverech služby Acrobat Sign.

Dále mohou správci na úrovni účtu a skupiny nakonfigurovat pro uživatele možnost stáhnout si Hlášení o identitě na stránce Správa ze seznamu dostupných akcí.

Stáhnutí hlášení o identitě podepisujícího na stránce Správa

Hlášení o identitě podepisujícího obsahuje informace o identitě vrácené od poskytovatele identity poté, co transakce ověření identity úspěšně proběhla, včetně relevantních údajů v případě selhání transakce. Obsah se liší podle dodavatele a metody ověření. K běžným údajům patří:

  • ID odkazu: Jedinečný identifikátor transakce, která proběhla na straně IDP. Hodí se pro požadavky na podporu včetně soudní analýzy.
  • sub (Identifikátor objektu): Poskytuje jedinečný identifikátor pro příjemce v kontextu systému IDP.
  • Hrubá hodnota ID tokenu: Poskytuje aserci podepsanou službou IDP obsahující výsledek identifikačního procesu. Důkaz, že byla identita ověřena v kontextu současné transakce.
Stáhnutí hlášení o identitě podepisujícího na stránce Správa

Další informace o hlášení o identitě autora podpisu naleznete na této stránce >

Přístup ke konfiguraci pro použití poskytovatelů identity pro účely ověření identity

Aktivujte metodu ověření na kartě Digitální identita v nabídce správce.

V tomto zobrazení jsou nastavení tří úrovní, přičemž kompletní seznam dostupných poskytovatelů identity se nachází ve spodní části stránky.

  • Brána k ověření digitální identity – Toto nastavení je brána, která umožňuje přístup ke službám digitální identity.
    • Povolit podepisujícím X pokusů o ověření jejich podpisu před zrušením dohody – Jakýkoli příjemce, který poruší maximální počet pokusů o ověření své identity automaticky ruší dohodu.
      • Maximální počet pokusů je deset
      • Až budete nastavovat tuto hodnotu, seznamte se s povahou zásad spotřeby transakcí svého poskytovatele identity. Někteří dodavatelé si za každý pokus účtují poplatek.
    • Uložte data o ověřené identitě, čímž umožníte tvorbu zpráv o identitě podepisujícího
      •  Je-li tato možnost povolena, informace o ověření identity se uloží na serverech služby Acrobat Sign a lze je načíst pomocí hlášení o identitě podepisujícího (SIR).
      • Je-li tato možnost zakázána, informace o identitě se na serverech služby Acrobat Sign neuloží.
      • Shromažďování dat začne ihned poté, co bude toto nastavení povoleno a uloženo. Obdobně shromažďování dat skončí, jakmile bude toto nastavení zakázáno a uloženo.
      • Data, která nejsou shromážděna v době, kdy je příjemce zakázán, nelze shromáždit později.
Brána k ověření digitální identity

Je-li aktivována brána k ověření digitální identity, je rovněž aktivována metoda ověřování identity pro interní příjemce prostřednictvím brány k ověření digitální identity. Tuto možnost nelze deaktivovat, pokud je aktivována brána k ověření digitální identity.

Konfigurace interního příjemce

Poznámka:

Pro externí a interní příjemce není možné nakonfigurovat různé poskytovatele identity. Všechny možnosti dostupné v rozhraní digitální identity jsou k dispozici pro oba typy příjemců.

Související ovládací prvky

K dispozici jsou dvě další nastavení ke kontrole, pokud hodláte povolit uživatelům stahování hlášení o identitě podepisujícího.

Chcete-li, aby uživatelé měli možnost stáhnout hlášení o identitě podepisujícího, musíte jim explicitně povolit přístup na úrovni účtu nebo skupiny.

  1. Přejděte do části Nastavení účtu > Nastavení odeslání > Možnosti identifikace podepisujícího.
  2. Povolit Umožnit odesílatelům stahovat zprávy o identitě podepisujícího pro dohody obsahující ověřené podpisy.
  3. Uložte konfiguraci stránky.
DIG – dostupnost podepisujícího

Poznámka:

Toto nastavení povoluje hlášení o identitě podepisujícího pro poskytovatele digitální identity.

Nejedná se o stejné nastavení, které využívá průkaz totožnosti.

Při stahování hlášení o identitě podepisujícího musí uživatel dokument PDF chránit heslem.

Nastavte zásady síly hesla pro heslo dokumentu PDF podle svých podnikových zásad pro důvěrnou dokumentaci PII.

  1. Přejděte do části Nastavení účtu > Nastavení zabezpečení > Síla hesla dokumentu
  2. Nastavte příslušnou složitost.
  3. Uložte konfiguraci stránky.
Síla hesla dokumentu DIG

Konfigurování jednotlivých poskytovatelů identity

V dolní části stránky Digitální identita jsou „karty“ poskytovatelů identity. Každá karta představuje jednu nebo více metod ověření od poskytovatele identity (IDP).

Chcete-li povolit kartu IDP, klikněte na ikonu ozubeného kolečka:

Konfigurace karty IDP

Poznámka:

V této dokumentaci se používá IDP Adobe Okta pouze jako příklad. Zákazníci k tomuto poskytovateli identity nemají přístup.

Na úrovni účtu nebo skupiny lze nakonfigurovat jednoho poskytovatele identity, a to podle vašich potřeb. Rozhraní se mírně změní a poskytne kontext ohledně dědění stavu nastavení na úrovni účtu skupiny:

Na úrovni účtu vyžaduje rozhraní pouze zaškrtnutí políčka Povolit tuto službu pro ověřování:

Konfigurace poskytovatele identity na úrovni účtu

Pokud políčko Povolit tuto službu pro ověřování není při prohlížení konfigurace IDP na úrovni skupiny zaškrtnuto a řádek se zobrazuje jako šedý, služba IDP na úrovni účtu se nenakonfiguruje.

Konfiguraci na úrovni skupiny lze povolit zaškrtnutím políčka Přepsat nastavení účtu konfigurací na úrovni skupiny.

Konfigurace na úrovni skupiny – poskytovatel identity na úrovni účtu není nakonfigurován

Pokud políčko Povolit tuto službu pro ověřování není při prohlížení konfigurace IDP na úrovni skupiny zaškrtnuto, konfiguruje se služba IDP na úrovni účtu.

Konfiguraci na úrovni skupiny lze povolit a definovat s použitím specifických skupinových parametrů, a to zaškrtnutím políčka Přepsat nastavení účtu konfigurací na úrovni skupiny.

Konfigurace na úrovni skupiny – stejný poskytovatel identity na úrovni účtu

Jsou-li zaškrtnuta políčka Povolit tuto službu pro ověřováníPřepsat nastavení účtu konfigurací na úrovni skupiny, služba IDP se pro skupinu nakonfiguruje explicitně.

Konfigurace na úrovni skupiny – přepsání konfigurace na úrovni účtu

 13.3 Obecné

Požadavky na konfiguraci poskytovatele identity závisí na metodě ověření, kterou poskytovatel identity používá:

Základní ověření vyžaduje dva prvky, které vám dodá poskytovatel identity:

  • ID klienta
  • Tajemství klienta

Po dokončení konfiguraci uložte.

Základní ověření

Soukromý klíč JWT vyžaduje tři prvky, které vám dodá poskytovatel identity:

  • ID klienta
  • Podpisový certifikát (ve formátu .p12 nebo .pfx).
  • Heslo používané k zabezpečení podpisového certifikátu.

Po dokončení konfiguraci uložte.

Soukromý klíč JWT

Fáze po ověření tajemství klienta vyžaduje dva prvky, které vám dodá poskytovatel identity:

  • ID klienta
  • Tajemství klienta

Po dokončení konfiguraci uložte.

Fáze po ověření tajemství klienta

Ověření tajemství klienta JWT vyžaduje dva prvky, které vám dodá poskytovatel identity:

  • ID klienta
  • Tajemství klienta

Po dokončení konfiguraci uložte.

Ověření tajemství klienta JWT

Povolení/zakázání nakonfigurovaného poskytovatele identity

Službu poskytovatele identity (IDP) lze zakázat bez odstranění informací o konfiguraci na kartě IDP, a to stisknutím ikony zaškrtávacího políčka v levém horním rohu a uložením konfigurace stránky. Zakázání služby poskytovatele identity tímto způsobem se zachovají informace o konfiguraci pro případ, že byste později potřebovali poskytovatele identity znovu povolit.

Zakázání služby poskytovatele identity tímto způsobem nepředstavuje překážku, protože nedojde ke ztrátě informací a je možné službu znovu rychle povolit opětovným stisknutím ikony zaškrtávacího políčka a uložením konfigurace stránky.

Zakázání-povolení karty poskytovatele identity

Odstranění konfigurace poskytovatele identity

Konfiguraci poskytovatele identity lze odstranit přímo na panelu Digitální identita, a to stisknutím ikony koše na kartě IDP.

Správci se zobrazí dialogové okno s výzvou, zda má být konfigurace odstraněna.

Toto dialogové okno rovněž varuje před dopadem na příjemce, kteří ještě nedokončili své ověření u poskytovatele identity.

Pokud je konfigurace poskytovatele identity odstraněna nebo je služba zakázána, zobrazí se příjemci při pokusu o ověření identity chyba.

Výzva při odstranění

Co byste měli vědět

Pokud je služba poskytovatele identity z jakéhokoli důvodu zakázána, když se příjemce pokouší ověřit svou identitu, vygeneruje se chyba se zprávou, že je služba zakázána a příjemce má kontaktovat odesílatele. Je poskytnuta e-mailová adresa odesílatele.

Odesílatelé, kteří jsou upozorněni na problém se službou poskytovatele identity, budou možná muset změnit metodu ověření na nového poskytovatele identity nebo na nějak jinou přijatelnou metodu.

Chyba: služba zakázána

Právní oznámení    |    Zásady ochrany osobních údajů online