Benutzerhandbuch Abbrechen

Digital Identity Gateway

 

Adobe Acrobat Sign-Handbuch

Neue Funktionen

Erste Schritte

Verwaltung

Senden, Signieren und Verwalten von Vereinbarungen

Erweiterte Vereinbarungsfunktionen und Workflows

Integration in andere Produkte

Acrobat Sign-Entwickler

Support und Fehlerbehebung

Übersicht

Mit dem Adobe Acrobat Sign Digital Identity Gateway können Organisationen aus einer Vielzahl an vorkonfigurierten Drittanbietern für digitale Identitäten (IdP) auswählen und genau die Art der Identitätsprüfung nutzen, die ihren Funktions-, Sicherheits- oder Compliance-Anforderungen am besten entspricht. IdP-Services zur Benutzerauthentifizierung, Bestätigung der Unterzeichneridentität und Identity Federation-Lösungen nutzen das Standard-Authentifizierungsprotokoll OpenID Connect (OIDC) zur Integration mit Acrobat Sign. Je nach ausgewähltem IdP kann der Service Folgendes umfassen:

  • Bestätigung der Identität über Video
  • Authentifizierung der elektronischen Identität (eID)
  • Bestätigung von Identitätsdokumenten
  • Wissensbasierte Authentifizierung (KBA)
  • Biometrische Identifizierung, Authentifizierung

Viele der IdP-Services erfüllen die NIST 800-63A/B/C-Standards für Multi-Faktor-Authentifizierungslösungen bis AAL3, Identitätsüberprüfungsoptionen bis IAL3 sowie Federation-Assertion bis FAL3. Einige IdP-Services erfüllen auch die Anforderungen der ISO 29115 LoA4 und/oder der EU-Verordnung 910/2014 (eIDAS) bis zu LoA High.

Alle IdP-Services erfordern vor der Nutzung einen kommerziellen Vertrag und eine Konfiguration beim Anbieter sowie eine fortlaufende Überwachung, um sicherzustellen, dass Ihre Organisation ein ausreichendes Volumen an IdP-Servicetransaktionen für Ihre Nutzungsszenarien zur Verfügung hat.

Beschaffung, Nutzung und Meldung von Authentifizierungstransaktionen

Identitätsdienste sind in der Acrobat Sign-Lizenzierung nicht enthalten und Adobe bietet keinen kommerziellen Kanal, über den Identifizierungsdienste von verschiedenen konfigurierbaren IdP-Diensten erworben werden können. 

Es ist Sache der Nutzenden, ein ausreichendes Volumen an Identitätstransaktionen mit den IdP-Diensten ihrer Wahl zu erwerben und aufrechtzuerhalten. 

Die IdP-Dienste geben klare Anweisungen dazu, wie Transaktionen verbraucht und abgerechnet werden, und melden den Verbrauch bzw. die Verfügbarkeit direkt an ihre Kundschaft. 

Ablauf beim Empfänger

Durch den Acrobat Sign-Signaturprozess erhalten Nutzende eine Überprüfen und signieren-E-Mail wie bei jeder anderen Vereinbarung auch.

Wenn die empfangende Partei die Schaltfläche „Überprüfen und signieren“ auswählt, um die Vereinbarung zu öffnen, wird ein Informationsdialogfeld angezeigt, in dem angegeben wird, dass die Identitätsbestätigung für den Zugriff auf das Dokument erforderlich ist. Je nach den konfigurierten Einstellungen wird Folgendes angezeigt:

  • Eine allgemeine Zusammenfassung des Bestätigungsvorgangs.
  • Name und Logo des IdP-Dienstes, der die Identitätsbestätigung durchführt.
  • E-Mail-Adresse und Telefonnummer, unter der Sie den IdP-Support kontaktieren können, wenn ein Problem mit dem Bestätigungsvorgang auftritt.
  • Die E-Mail-Adresse der die Acrobat Sign-Lösung nutzenden Person, die die Vereinbarung gesendet hat, für den Fall, dass die empfangende Partei Kontakt mit ihr aufnehmen muss.
  • Eine Anweisung, dass die Identitätsdaten der empfangenden Person im Bericht zur Identität der Unterzeichnenden gespeichert werden (wenn das Konto der sendenden Partei dafür konfiguriert ist).
  • Eine Warnmeldung, die die Anzahl der verbleibenden Bestätigungsversuche angibt, die der empfangenden Partei zur Verfügung stehen, bevor die Vereinbarung abgebrochen wird. Diese Meldung wird nur angezeigt, nachdem die empfangende Partei den Identifizierungsprozess ausprobiert hat und ein Fehler aufgetreten ist.
  • Die Schaltfläche Identität bestätigen löst den Bestätigungsvorgang aus, indem ein Popup-Fenster geöffnet wird und der Prozess an den IdP-Dienst übergeben wird.
    • Die Erfahrung, die die empfangende Person mit dem Bestätigungsvorgang macht, und die Art der durchzuführenden Verifizierung hängen vom IdP-Dienst ab, den die sendende Partei ausgewählt hat.

Sobald der Bestätigungsvorgang erfolgreich abgeschlossen wurde, kehrt die empfangende Partei zum Acrobat Sign-Fenster zurück und erhält die Vereinbarung zur Kenntnis.

Nachricht zur Authentifizierung der empfangenden Partei

Erlebnis der sendenden Partei

Auswählen des IdP-Dienstes beim Erstellen einer neuen Vereinbarung

Wenn ein oder mehrere IdP-Dienste konfiguriert und für das Konto oder die Gruppe der sendenden Partei aktiviert sind, wird den Nutzenden die Option angezeigt, den IdP-Dienst in dem Dropdown-Menü auszuwählen, das alle für die empfangenden Parteien verfügbaren Authentifizierungsmethoden enthält. Aktivierte IdP-Dienste werden im Abschnitt „Digital Identity Gateway“ aufgelistet. Wenn keine IdP-Dienste aktiviert sind, ist der Abschnitt „Digital Identity Gateway“ nicht vorhanden und es werden keine IdP-Dienste angezeigt.

Wenn Sie den Mauszeiger über einen IdP-Dienst in der Menüliste bewegen, wird eine QuickInfo mit einer kurzen Beschreibung des betreffenden IdP-Dienstes angezeigt.

Authentifizierungsmethode auswählen

Aktualisieren des IdP-Dienstes nach dem Senden der Vereinbarung

Wenn Nutzende die Authentifizierung aktualisieren müssen, um einen anderen IdP-Dienst (oder eine andere Authentifizierungsmethode) auszuwählen, können sie dieselbe Methode zur Bearbeitung der Authentifizierungsmethode verwenden.

Nutzende sind nicht darauf beschränkt, einen anderen IdP-Dienst aus dem Digital Identity Gateway auszuwählen. Sie können auch jede andere aktivierte Authentifizierungsmethode auswählen.

Authentifizierungsmethode bearbeiten

Audit-Bericht

Der Audit-Bericht zeichnet eindeutig auf, dass die empfangende Partei über das Digital Identity Gateway von einem IdP-Dienst verifiziert wurde, und gibt an, welcher IdP-Dienst beteiligt war, sowie eine Beschreibung des betreffenden Dienstes:

Audit-Bericht

Identitätsbericht Unterzeichner*in (SIR)

Standardmäßig werden die vom IdP-Dienst zurückgegebenen Identitätsinformationen nicht von Acrobat Sign gespeichert. Konto- und Gruppenadministrierende können jedoch die Option zum Speichern der Identitätsinformationen auf Acrobat Sign-Servern aktivieren.

Darüber hinaus können Administrierende auf Konto- und Gruppenebene die Option konfigurieren, mit der Nutzende den Identitätsbericht aus der Liste der verfügbaren Aktionen auf der Seite Verwalten herunterladen können.

Den SIR auf der Seite „Verwalten“ herunterladen

Der Bericht zur Identität der Unterzeichnenden (SIR) enthält alle Identitätsinformationen, die vom IdP-Dienst zurückgegeben werden, wenn die Identitätsbestätigungstransaktion erfolgreich ist, sowie relevante Daten, wenn eine Transaktion fehlschlägt. Der Inhalt variiert je nach anbietendem Dienst und Authentifizierungsmethode. Zu den allgemeinen Daten gehören:

  • Referenz-ID: Eindeutige Bezeichnung der Transaktion, die beim IdP verzeichnet wurde. Nützlich für Supportanfragen sowie forensische Analyse.
  • Betreff (Betreff-ID): Stellt eine eindeutige Kennung für die empfangende Person im Kontext des IdP-Systems bereit.
  • ID Token Raw-Wert: Stellt eine vom IdP signierte Assertion bereit, die das Ergebnis des Identifizierungsprozesses enthält. Nachweis, dass die Identität im Kontext der aktuellen Transaktion überprüft wurde.
Den SIR auf der Seite „Verwalten“ herunterladen

Weitere Informationen zum Identitätsbericht zu den Unterzeichnenden finden Sie auf dieser Seite > 

Konfigurationszugriff zur Verwendung von IdP-Diensten zur Identitätsbestätigung

Aktivieren Sie im Adminmenü auf der Registerkarte Digitale Identität die Authentifizierungsmethode.

Diese Ansicht enthält drei allgemeine Einstellungen, wobei unten auf der Seite die vollständige Liste der verfügbaren IdP-Dienste angezeigt wird.

  • Digital Identity Gateway: Diese Einstellung ist das Tor, das den Zugriff auf digitale Identitätsdienste ermöglicht.
    • Unterzeichnenden X Versuche zur Bestätigung ihrer Signatur bis zum Abbruch der Vereinbarung erlauben: Wenn eine empfangende Partei die maximale Anzahl der Versuche zur Bestätigung ihrer Identität verletzt, wird die Vereinbarung automatisch abgebrochen.
      • Die maximale Anzahl von Versuchen beträgt zehn.
      • Wenn Sie diesen Wert festlegen, müssen Sie die Bestimmungen der Transaktionsverbrauchsrichtlinie kennen, die Ihr IdP-Dienst anwendet. Einige Anbietende rechnen pro Versuch ab.
    • Speichern Sie verifizierte Identitätsdaten, um Berichte zur Identität des/der Unterzeichners*in zu ermöglichen
      •  Wenn diese Option aktiviert ist, werden die Informationen zur Identitätsbestätigung auf Acrobat Sign-Servern gespeichert und können über den SIR abgerufen werden.
      • Ist die Option deaktiviert, werden die Identitätsinformationen nicht auf den Acrobat Sign-Servern gespeichert.
      • Die Datenerfassung beginnt, sobald die Einstellung aktiviert und gespeichert ist. Ebenso wird die Datenerfassung beendet, sobald die Einstellung deaktiviert und gespeichert ist.
      • Daten, die zum Zeitpunkt der Überprüfung der empfangenden Partei nicht erfasst werden, können nicht zu einem späteren Zeitpunkt erfasst werden.
Digital Identity Gateway

Ist Digital Identity Gateway aktiviert, ist die Identitätsauthentifizierungsmethode für interne Empfangende über Digital Identity Gateway ebenfalls aktiviert. Diese Option darf nicht deaktiviert werden, während Digital Identity Gateway aktiviert ist.

Konfiguration der internen empfangenden Partei

Hinweis:

Es ist nicht möglich, verschiedene IdP-Dienste für externe und interne Empfangende zu konfigurieren. Alle auf der Benutzeroberfläche für die Digitale Identität verfügbaren Optionen stehen beiden Typen von Empfangenden zur Verfügung.

Zugehörige Optionen

Es sind zwei zusätzliche Einstellungen zu überprüfen, wenn Sie Nutzenden das Herunterladen des Berichts zur Identität der Unterzeichnenden erlauben möchten:

Konfigurieren der einzelnen IdP-Dienste

Unten auf der Seite Digitale Identität befinden sich die „Karten“ der IdP-Dienste. Jede Karte stellt eine oder mehrere Authentifizierungsmethoden des IdP-Dienstes dar.

Um eine IdP-Karte zu aktivieren, klicken Sie auf das Zahnradsymbol:

IdP-Karte konfigurieren

Hinweis:

Der Adobe Okta-IdP-Dienst wird in dieser Dokumentation nur zu Beispielzwecken verwendet. Kund*innen haben keinen Zugriff auf diesen IdP-Dienst.

Ein IdP-Dienst kann je nach Ihren Anforderungen auf Konto- und/oder Gruppenebene konfiguriert werden. Die Bedienoberfläche ändert sich leicht und bietet Kontext zum Übernahmestatus der Einstellung auf Gruppenebene:

 

Die Anforderungen an die IdP-Konfiguration hängen von der Authentifizierungsmethode ab, die der IdP-Dienst verwendet:

Konfigurierten IdP-Dienst deaktivieren/aktivieren

Der IdP-Dienst kann deaktiviert werden, ohne die Konfigurationsinformationen auf der IdP-Karte zu löschen, indem Sie auf das Kontrollkästchensymbol in der oberen linken Ecke klicken und die Seitenkonfiguration speichern. Wenn Sie einen IdP-Dienst auf diese Weise deaktivieren, bleiben die Konfigurationsinformationen für den Fall erhalten, wenn Sie den IdP-Dienst zu einem späteren Zeitpunkt erneut aktivieren müssen.

Wenn Sie einen IdP-Dienst auf diese Weise deaktivieren, wird keine Aufforderung zur Bestätigung der Datenlöschung angezeigt. Der Dienst kann schnell wieder aktiviert werden, indem Sie erneut auf das Kontrollkästchen klicken und die Seitenkonfiguration speichern.

IdP-Karte deaktivieren/aktivieren

Löschen der IdP-Konfiguration

Eine IdP-Konfiguration kann direkt im Bereich Digitale Identität gelöscht werden, indem Sie auf der IdP-Karte auf das Papierkorbsymbol klicken.

In einem Dialogfeld wird die für die Administration zuständige Person aufgefordert zu bestätigen, dass die Konfiguration gelöscht werden soll.

Dieses Dialogfeld warnt außerdem vor den Auswirkungen auf empfangende Parteien, die ihre Authentifizierung beim IdP-Dienst noch nicht abgeschlossen haben.

Wenn die IdP-Konfiguration gelöscht oder der Dienst deaktiviert wird, wird empfangenden Parteien ein Fehler angezeigt, wenn sie versuchen, ihre Identität zu bestätigen.

Löschaufforderung

Wissenswertes