Gateway for digital identitet

Oversigt

Med Adobe Acrobat Sign Digital Identity Gateway kan organisationer vælge mellem en bred vifte af foruddefinerede tredjepartsleverandører af digital identitet (IDP) og benytte den type identitetsbekræftelse, der passer bedst til deres behov for funktionalitet, sikkerhed eller overholdelse. IDP-tjenester til brugergodkendelse, bekræftelse af underskrivers identitet og identitetsføderationsløsninger bruger standarden OpenID Connect (OIDC) godkendelsesprotokol til at integrere med Acrobat Sign. Afhængigt af den valgte IDP kan tjenesten omfatte:

  • Identitetsbekræftelse via video
  • Elektronisk identitetsautentificering (eID)
  • Bekræftelse af identitetsdokument
  • Videnbaseret godkendelse (KBA)
  • Biometrisk identifikation, godkendelse

Mange af IDP-tjenesterne opfylder NIST 800-63A/B/C-standarderne for multifaktorautentificeringsløsninger op til AAL3, identitetsverifikationsmuligheder op til IAL3 samt federationprogrammer op til FAL3. Nogle IDP-tjenester opfylder også ISO 29115 LoA4 og/eller EU-forordning 910/2014 (eIDAS) op til LoA High.

Alle IDP-tjenester kræver en kommerciel kontrakt og konfiguration med udbyderen før brug sammen med løbende overvågning for at sikre, at din organisation opretholder et tilstrækkeligt antal IDP-tjenestetransaktioner til dine anvendelsestilfælder.

Køb, forbrug og rapportering af godkendelsestransaktioner

Identitetsudbydere er ikke omfattet af Acrobat Sign-licensen, og Adobe tilbyder ikke en kommerciel kanal til indkøb af identifikationstjenester fra de forskellige IDP'er, der kan konfigureres. 

Det påhviler kunden at erhverve og opretholde et tilstrækkeligt antal identitetstransaktioner med IDP efter eget valg. 

IDP vil give klare retningslinjer for, hvordan transaktioner forbruges og faktureres, og rapportere forbrug/tilgængelighed direkte til kunden. 

Modtager oplevelse

Gennem Acrobat Sign-underskrivelsesprocessen får kunden en Gennemgang og underskriv-mail som med enhver anden aftale.

Når modtageren vælger knappen Gennemse og underskriv for at åbne aftalen, præsenteres denne for en dialogboks med oplysninger, der angiver, at identitetsbekræftelse er nødvendig for at få adgang til dokumentet. Afhængigt af de konfigurerede indstillinger, vil kunden se:

  • Et resumé på højt niveau af godkendelsesprocessen.
  • Navn og logo på den IDP, som udfører identitetsbekræftelsen.
  • En mail og et telefonnummer til at kontakte IDP'ens support, hvis der er et problem med bekræftelsesprocessen.
  • Mailadressen på den Acrobat Sign-bruger, der sendte aftalen, i tilfælde af at modtageren har brug for at kontakte dem.
  • En erklæring om, at modtagerens identitetsdata gemmes i underskriverens identitetsrapport (hvis afsenderens konto er konfigureret til at gøre det).
  • En advarselsmeddelelse om antallet af resterende verificeringsforsøg, der er tilgængelige for modtageren, før aftalen annulleres. Denne meddelelse vises først, når modtageren har forsøgt identifikationsprocessen og denne mislykkedes.
  • Knappen Bekræft identitet udløser bekræftelsesprocessen ved at åbne en pop-up-skærm og overdrage processen til IDP'en.
    • Modtagerens oplevelse af verifikationsprocessen og den type bekræftelse, der skal udføres, afhænger af den identitetsudbyder, som afsenderen har valgt.

Når bekræftelsesprocessen er gennemført, returneres modtageren til Acrobat Sign-vinduet, og aftalen præsenteres for modtageren.

Besked om godkendelse af modtager

Afsenders oplevelse

Valg af identitetsudbyder, når en ny aftale sammensættes

Når en eller flere IDP'er er konfigureret og aktiveret til afsenderens konto eller gruppe, vil brugerne se muligheden for at vælge IDP'en i rullemenuen, der indeholder alle de godkendelsesmetoder, der er tilgængelige for modtageren. Aktiverede IDP'er er angivet under afsnittet Digital Identity Gateway. Hvis ingen IDP'er er aktiveret, vil afsnittet Digital Identity Gateway ikke være til stede, og brugeren vil ikke se nogen IDP'er.

Når musen holdes hen over en IDP i menulisten, vises et værktøjstip, der giver en kort beskrivelse af IDP-tjenesten.

Valg af ny godkendelsesmetode

Opdatering af IDP'en, når aftalen er sendt

Hvis en bruger skal opdatere godkendelsen for at vælge en anden IDP (eller en anden godkendelsesmetode), kan brugeren bruge den samme proces til at redigere godkendelsesmetoden.

Brugeren er ikke tvunget til at vælge en anden IDP fra Digital Identity Gateway. Enhver anden aktiveret godkendelsesmetode kan vælges.

Rediger godkendelsesmetode

Revisionsrapport

Revisionsrapporten angiver klart, at modtageren blev verificeret af en identitetsudbyder fra Digital Identity Gateway, og angiver, hvilken IDP der var involveret, og en beskrivelse af deres service:

Revisionsrapport

Rapport om underskriveridentitet (RUI)

Acrobat Sign gemmer som standard ikke de identitetsoplysninger, der returneres af IDP'en. Konto- og gruppeadministratorer kan dog aktivere muligheden for at gemme identitetsoplysninger på Acrobat Sign-servere.

Derudover kan administratorer på konto- og gruppeniveau konfigurere muligheden for, at brugerne kan downloade identitetsrapporten på siden Administrer fra listen over tilgængelige handlinger.

Download RUI på siden Administrer

Rapport om underskriveridentitet indeholder alle de identitetsoplysninger, der returneres af IDP'en, når identitetsverifikationstransaktionen lykkes, samt relevante data, når en transaktion mislykkes. Indholdet afhænger af sælger og godkendelsesmetode. Almindelige data omfatter:

  • Reference-id: En unik identifikator for den transaktion, der fandt sted ved IDP-afslutningen. Nyttig til supportanmodninger samt teknisk analyse.
  • sub (Subject Identifier): Giver en entydig identifikator for modtageren i forbindelse med IDP-systemet.
  • ID Token Raw-værdi: Giver en påstand om underskrevet af IDP'en, der indeholder resultatet af identifikationsprocessen. Bevis for at identiteten blev verificeret i forbindelse med den aktuelle transaktion.
Download RUI på siden Administrer

Yderligere oplysninger om rapporten om underskriveridentitet findes på denne side > 

Konfigurationsadgang til at bruge IDP'er som identitetsverificering

Aktivér godkendelsesmetoden under fanen Digital identitet i administratormenuen.

Der er tre indstillinger på højt niveau i denne visning med den fulde liste over tilgængelige IDP'er nederst på siden.

  • Digital Identity Gateway ─ Denne indstilling er den port, der giver adgang til digitale identitetstjenester.
    • Tillad underskrivere X forsøg på at validere deres underskrift før annullering af aftalen ─ Enhver modtager, der overtræder det maksimale antal forsøg på at validere deres identitet, annullerer aftalen automatisk.
      • Det maksimale antal forsøg er ti
      • Forstå, hvordan din IDP's politik for transaktionsforbrug fungerer, når du indstiller denne værdi. Nogle udbydere opkræver pr. forsøg.
    • Gem bekræftede identitetsdata for at tillade underskriveridentitetsrapporter
      •  Når det er aktiveret, gemmes identitetsbekræftelsesoplysningerne på Acrobat Sign-servere og kan hentes ved hjælp af SIR.
      • Når det er deaktiveret, gemmes identitetsoplysningerne ikke på Acrobat Sign-serverne.
      • Dataindsamling starter, så snart indstillingen er aktiveret og gemt. På samme måde stopper dataindsamlingen, så snart indstillingen er deaktiveret og gemt.
      • Data, der ikke indsamles på det tidspunkt, hvor modtageren kontrolleres, kan ikke indsamles senere.
Gateway for digital identitet

Når Digital Identity Gateway er aktiveret, er identitetsgodkendelsesmetoden for interne modtagere via Digital Identity Gateway også aktiveret. Denne mulighed er muligvis ikke deaktiveret, mens Digital Identity Gateway er aktiveret.

Konfiguration af interne modtagere

Bemærk:

Det er ikke muligt at konfigurere forskellige IDP'er for eksterne og interne modtagere. Alle tilgængelige muligheder i grænsefladen for Digital identitet er tilgængelige for begge typer modtagere.

Relaterede kontrolelementer

Der er to yderligere indstillinger, der skal gennemgås, hvis du har til hensigt at tillade brugere at downloade rapporten om underskriveridentitet:

Hvis du ønsker, at brugerne skal kunne downloade RUI'en, skal du udtrykkeligt aktivere deres adgang på konto- eller gruppeniveau.

  1. Gå til Kontoindstillinger > Afsendelsesindstillinger > Indstillinger for identifikation af underskriver.
  2. Aktiver Tillad afsendere at downloade en underskriveridentitetsrapport for aftaler, der indeholder bekræftede signaturer.
  3. Gem sidekonfigurationen.
DIG - Tilgængelighed for underskrivere

Bemærk:

Denne indstilling aktiverer RUI for Digital identitets-udbydere.

Det er ikke den samme indstilling, som det id-kortet anvender.

Når du downloader en identitetsrapport, skal brugeren beskytte PDF'en med en adgangskode.

Indstil styrkelsespolitikken for PDF-adgangskoden i henhold til din virksomhedspolitik for fortrolig PII-dokumentation.

  1. Gå til Kontoindstillinger > Sikkerhedsindstillinger > Dokumentadgangskodestyrke
  2. Angiv den relevante kompleksitet.
  3. Gem sidekonfigurationen.
DIG-dokumentets adgangskodestyrke

Konfiguration af de enkelte IDP'er

Nederst på siden Digital identitet findes IDP-"kortene". Hvert kort repræsenterer en eller flere godkendelsesmetoder fra IDP'en.

Klik på tandhjulsikonet for at aktivere et IDP-kort:

Konfigurer IDP-kortet

Bemærk:

Adobe Okta IDP bruges i denne dokumentation kun til eksempelformål. Kunderne har ikke adgang til dette IDP.

En IDP kan konfigureres på konto- og/eller gruppeniveau, afhængigt af dine behov. Grænsefladen ændrer sig en smule for at give kontekst om arvestatus for indstillingen på gruppeniveau:

På kontoniveau kræver grænsefladen kun, at afkrydsningsfeltet Aktivér denne tjeneste for at blive aktiveret:

Kontoniveau IDP-konfiguration

Hvis afkrydsningsfeltet Aktivér denne tjeneste til bekræftelse ikke er afkrydset, og linjen er grå, når der vises en IDP-konfiguration på gruppeniveau, er IDP-tjenesten på kontoniveau ikke konfigureret.

Konfigurationen på gruppeniveau kan aktiveres ved at markere afkrydsningsfeltet Tilsidesæt kontoindstillinger med konfiguration på gruppeniveau.

Konfiguration på gruppeniveau ─ IDP er ikke konfigureret på kontoniveau

Hvis afkrydsningsfeltet Aktivér denne tjeneste til bekræftelse ikke er afkrydset, når en IDP-konfiguration vises på gruppeniveau, konfigureres IDP-tjenesten på kontoniveau.

Gruppeniveau-konfigurationen kan aktiveres og angives med gruppespecifikke parametre ved at markere afkrydsningsfeltet Tilsidesæt kontoindstillinger med gruppeniveau-konfiguration.

Konfiguration på gruppeniveau ─ Samme IDP konfigureret på kontoniveau

Når afkrydsningsfelterne Aktivér denne tjeneste for verifikation og Tilsidesæt kontoindstillinger med konfigurationsfelter på gruppeniveau, konfigureres IDP-tjenesten eksplicit for gruppen.

Konfiguration på gruppeniveau ─ tilsidesættelse af konfigurationen af kontoniveauet

 

IDP-konfigurationskravene afhænger af den godkendelsesmetode, som IDP'en bruger:

Basisgodkendelse kræver to elementer, som din IDP giver dig:

  • Klient-id'et
  • Klienthemmeligheden

Gem konfigurationen, når du er færdig.

Basisgodkendelse

Privat nøgle-JWT kræver tre elementer, der vil blive leveret til dig af din IDP:

  • Klient-id'et
  • Signeringscertifikatet (i .p12- eller .pfx-format).
  • Adgangskoden, der bruges til at sikre signeringscertifikatet.

Gem konfigurationen, når du er færdig.

Private nøgle-JWT

Klienthemmelighed efter-godkendelse kræver to elementer, som din IDP vil give dig:

  • Klient-id'et
  • Klienthemmeligheden

Gem konfigurationen, når du er færdig.

Klienthemmelighed efter-godkendelse

Klienthemmelighed JWT-godkendelse kræver to elementer, som din IDP vil give dig:

  • Klient-id'et
  • Klienthemmeligheden

Gem konfigurationen, når du er færdig.

Klienthemmelighed JWT-godkendelse

Deaktiver/Aktiver en konfigureret IDP

IDP-tjenesten kan deaktiveres uden at slette konfigurationsoplysningerne på IDP-kortet ved at trykke på afkrydsningsfeltikonet i øverste, venstre hjørne og gemme sidekonfigurationen. Hvis du deaktiverer en IDP-tjeneste på denne måde, bevares konfigurationsoplysningerne i tilfælde af, at du senere skal genaktivere IDP'en.

Deaktivering af en IDP-tjeneste på denne måde giver ikke en udfordring, da oplysninger går tabt, og tjenesten kan hurtigt genaktiveres ved at trykke på afkrydsningsfeltet igen og gemme sidekonfigurationen.

Deaktiver-aktiver IDP-kortet

Sletning af IDP-konfigurationen

En IDP-konfiguration kan slettes direkte fra Digital identitet-panelet ved at trykke på papirkurvikonet på IDP-kortet.

En dialogboks vil bede administratoren til at bekræfte, at konfigurationen skal slettes.

Denne dialogboks advarer også om indvirkningen på modtagere, der endnu ikke har godkendt med IDP'en.

Hvis IDP-konfigurationen er slettet, eller tjenesten er deaktiveret, vises der en fejl hos modtageren, når denne forsøger at bekræfte sin identitet.

Spørgsmål om at slette

Bemærk følgende

Hvis IDP-tjenesten er deaktiveret af en eller anden grund, når en modtager forsøger at bekræfte sin identitet, vises en fejl, der giver en grundlæggende besked om, at tjenesten er deaktiveret, og besked om at kontakte aftaleafsenderen. Afsenderens mailadresse er angivet.

Afsendere, der får besked om et problem med IDP-tjenesten, skal muligvis ændre godkendelsesmetoden til en ny IDP eller en anden accepteret metode.

Deaktiveret tjenestefejl