Sähköisen henkilöllisyyden tarkistaminen

Yleiskatsaus

Adobe Acrobat Signin sähköisen identiteetin yhdyskäytävän avulla organisaatiot voivat valita laajasta valikoimasta esimääritettyjä kolmannen osapuolen sähköisen identiteetin tarjoajia (IDP) ja hyödyntää henkilöllisyyden sitä varmennustyyppiä, joka parhaiten vastaa niiden toiminnallisia, tietoturva- tai vaatimustenmukaisuustarpeita. IDP-palvelut käyttäjän tunnistautumiseen, allekirjoittajan henkilöllisyyden todentamiseen ja identiteetin yhdistämiseen käyttävät standardoitua OpenID Connect (OIDC) -todennusprotokollaa Acrobat Signiin integroimiseksi. Riippuen valitusta IDP:stä palveluun voi sisältyä:

  • Videomuotoinen henkilöllisyyden varmennus
  • Sähköisen identiteetin (eID) todentaminen
  • Henkilöllisyystodistuksen vahvistus
  • Tietoon perustuva todennus (KBA)
  • Biometrinen tunnistus, todennus

Monet IDP-palvelut täyttävät monivaiheisille todennusratkaisuille tarkoitetut NIST 800-63A/B/C -standardit aina AAL3:een asti, henkilöllisyyden todentamisvaihtoehdoille aina IAL3:een asti sekä federaatiovahvistuksen FAL3:een asti. Jotkin IDP-palvelut täyttävät myös ISO 29115 LoA4:n ja/tai EU:n asetuksen 910/2014 (eIDAS) LoA High:iin asti.

Kaikki IDP-palvelut edellyttävät kaupallista sopimusta ja määritystä, jotka on tehtävä palveluntarjoajan kanssa ennen käyttöä sekä jatkuvaa seurantaa sen varmistamiseksi, että organisaatiosi ylläpitää riittävää määrää IDP-palvelutapahtumia käyttötapauksia varten.

Todentamistapahtumien hankinta, kulutus ja raportointi

Tunnistetietojen toimittajat eivät sisälly Acrobat Signin lisenssiin, eikä Adobe tarjoa kaupallista kanavaa tunnistamispalvelujen hankkimiseen eri määritettävissä olevilta IDP:iltä. 

Asiakkaan velvollisuudeksi jää hankkia ja ylläpitää riittävää määrää henkilöllisyystapahtumia valitsemansa IDP:n kanssa. 

IDP antaa selkeät ohjeet siitä, miten tapahtumat kulutetaan ja laskutetaan, ja raportoi kulutuksesta/saatavuudesta suoraan asiakkaalle. 

Vastaanottaja kokemus

Acrobat Sign -allekirjoitusprosessin kautta asiakkaalle toimitetaan Lue ja allekirjoita -sähköposti, kuten muissakin sopimuksissa.

Kun vastaanottaja valitsee Lue ja allekirjoita -painikkeen avatakseen sopimuksen, hänelle näytetään informaatioikkuna joka osoittaa, että asiakirjan käyttö edellyttää henkilöllisyyden todentamista. Määritetyistä asetuksista riippuen asiakas näkee jonkin seuraavista:

  • Korkean tason yhteenveto todentamisprosessista.
  • Henkilöllisyyden todentamisen tekevän IDP:n nimi ja logo.
  • Sähköpostiosoite ja puhelinnumero, joiden avulla voit ottaa yhteyttä IDP:n tukeen, jos vahvistusprosessissa on ongelmia.
  • Sopimuksen lähettäneen Acrobat Sign -käyttäjän sähköpostiosoite siltä varalta, että vastaanottajan on otettava heihin yhteyttä.
  • Lausunto siitä, että vastaanottajan henkilötiedot tallennetaan allekirjoittajan henkilötietoraporttiin (jos lähettäjän tili on määritetty tekemään niin).
  • Varoitusviesti, joka koskee vastaanottajan jäljellä olevien vahvistusyritysten määrää, ennen kuin sopimus peruutetaan. Tämä viesti ilmestyy vasta silloin, kun vastaanottaja on kokeillut tunnistamisprosessia ja epäonnistunut.
  • Vahvista henkilöllisyys -painike käynnistää vahvistusprosessin avaamalla ponnahdusikkunan ja luovuttamalla prosessin IDP:lle.
    • Vastaanottajan kokemus vahvistusprosessista ja tehtävästä vahvistustyypistä riippuvat lähettäjän valitsemasta tunnistetietojen toimittajasta.

Kun vahvistusprosessi on suoritettu onnistuneesti, vastaanottaja palautetaan Acrobat Sign -ikkunaan ja sopimus esitellään hänelle.

Vastaanottajan todentamisviesti

Lähettäjän kokemus

Tunnistetietojen toimittajan valitseminen uutta sopimusta tehtäessä

Kun yksi tai useampi IDP on määritetty ja otettu käyttöön lähettäjän tilille tai ryhmälle, käyttäjät näkevät vaihtoehdon valita IDP:n pudotusvalikosta, joka sisältää kaikki vastaanottajan käytössä olevat todentamismenetelmät. Käytössä olevat IDP:t luetellaan Sähköisen henkilöllisyyden yhdyskäytävä -osiossa. Jos IDP:itä ei ole käytössä, Sähköisen henkilöllisyyden yhdyskäytävä -osiota ei näytetä, eikä käyttäjä näe IDP:itä.

Hiiren siirtäminen IDP:n päälle valikkoluettelossa näyttää työkaluvihjeen, joka antaa lyhyen kuvauksen IDP-palvelusta.

Valitse todennusmenetelmä

IDP:n päivittäminen sopimuksen lähettämisen jälkeen

Jos käyttäjän täytyy päivittää todennus toisen IDP:n (tai muun todennusmenetelmän) valitsemiseksi, käyttäjä voi käyttää samaa prosessia todennusmenetelmän muokkaamiseen.

Käyttäjän ei tarvitse valita toista IDP:tä sähköisen henkilöllisyyden yhdyskäytävästä. Mikä tahansa muu käytössä oleva todennusmenetelmä voidaan valita.

Muokkaa todennusmenetelmää

Valvontaraportti

Valvontaraportista käy selvästi ilmi, että tunnistetietojen toimittaja on todentanut vastaanottajan sähköisen henkilöllisyyden yhdyskäytävässä, ja siinä täsmennetään, mikä IDP oli osallisena sekä kuvaus sen tarjoamasta palvelusta:

Valvontaraportti

Allekirjoittajan henkilötietoraportti (SIR)

Acrobat Sign ei oletusarvoisesti säilytä IDP:n palauttamia tunnistetietoja. Tilin ja ryhmän hallinnoijat voivat kuitenkin ottaa käyttöön vaihtoehdon tallentaa henkilöllisyystiedot Acrobat Sign -palvelimille.

Lisäksi järjestelmänvalvojat voivat määrittää tili- ja ryhmätasolla käyttäjille mahdollisuuden ladata henkilötietoraportin Hallinta-sivulla olevien toimintojen luettelosta.

SIR-raportin lataaminen Hallinta-sivulla

Allekirjoittajan henkilöllisyysraportti sisältää kaikki henkilöllisyyden todentamistapahtuman onnistuessa palautetut henkilötiedot sekä tapahtuman epäonnistuessa asiaankuuluvat tiedot. Sisältö vaihtelee toimittajan ja todennustavan mukaan. Yleisiä tietoja ovat:

  • Viitetunnus: IDP:n lopussa esiintyneen tapahtuman yksilöllinen tunniste. Hyödyllinen tukipyyntöihin ja oikeusopilliseen analyysiin.
  • sub (Subject Identifier): Antaa vastaanottajalle yksilöllisen tunnisteen IDP-järjestelmään.
  • ID Token Raw -arvo: Esittää IDP:n allekirjoittaman vahvistuksen, joka sisältää tunnistusprosessin tuloksen. Todiste henkilöllisyyden varmistamisesta nykyisen tapahtuman kohdalla.
SIR-raportin lataaminen Hallinta-sivulla

Saat lisätietoja allekirjoittajan henkilötietoraportista tältä sivulta > 

Määritysoikeus käyttää IDP:eitä henkilöllisyyden vahvistamiseen

Ota todennustapa käyttöön järjestelmänvalikon Sähköinen henkilöllisyys -välilehdellä.

Näkymässä on kolme korkean tason asetusta, ja sivun alareunassa on luettelo kaikista käytettävissä olevista IDP:istä.

  • Sähköisen henkilöllisyyden yhdyskäytävä - Tämä asetus on portti, jonka kautta päästään sähköisiin tunnistetietopalveluihin.
    • Salli allekirjoittajille X yritystä vahvistaa allekirjoituksensa ennen sopimuksen peruuttamista - Jokainen vastaanottaja, joka rikkoo henkilöllisyytensä vahvistamisyritysten enimmäismäärää, peruuttaa sopimuksen automaattisesti.
      • Yritysten enimmäismäärä on kymmenen
      • Ota selvää IDP:eisi maksutapahtumien kulutuskäytännöstä, kun asetat tämän arvon. Jotkut myyjät veloittavat jokaisesta yrityksestä.
    • Kauppa vahvisti henkilöllisyystiedot allekirjoittajien henkilöllisyysraportin sallimiseksi.
      •  Kun asetus on käytössä, henkilöllisyyden vahvistustiedot tallennetaan Acrobat Sign -palvelimille, ja ne voidaan noutaa SIR:n avulla.
      • Jos asetus ei ole käytössä, tunnistetietoja ei tallenneta Acrobat Sign -palvelimille.
      • Tietojen kerääminen alkaa heti, kun asetus on otettu käyttöön ja tallennettu. Samoin myös tietojen kerääminen loppuu heti, kun asetus poistetaan käytöstä ja tallennetaan.
      • Tietoja, joita ei kerätä vastaanottajan tarkastuksen yhteydessä, ei voida kerätä myöhemmin.
Sähköisen identiteetin yhdyskäytävä

Liittyvät toiminnot

Sinun on tarkistettava kaksi lisäasetusta, jos sallit käyttäjien ladata allekirjoittajan henkilötietoraportin:

Jos haluat, että käyttäjät voivat ladata SIR:in, sinun on erikseen myönnettävä heille käyttöoikeus tili- tai ryhmätasolla.

  1. Siirry kohtaan Tilin asetukset > Lähetysasetukset > Allekirjoittajan tunnistusvaihtoehdot.
  2. Ota käyttöön asetus Anna käyttäjien ladata allekirjoittajien henkilötietoraportti sopimuksia varten, jotka sisältävät vahvistettuja allekirjoituksia.
  3. Tallenna sivumääritys.
DIG - Allekirjoittajan saavutettavuus

Huomautus:

Tämä asetus ottaa SIR:n käyttöön Sähköisen henkillöllisyyden tarjoajia varten.

Kyseessä ei ole sama asetus, jota henkilötodistus käyttää.

Käyttäjän on henkilöllisyysraporttia ladatessaan suojattava PDF salasanalla.

Määritä PDF-salasanan vahvuuskäytäntö yrityksesi käytäntöjen mukaisesti luottamuksellisia PII-dokumentaatioita varten.

  1. Siirry kohtaan Tilin asetukset > Suojausasetukset > Asiakirjan salasanan vahvuus
  2. Määritä sopiva monimutkaisuus.
  3. Tallenna sivumääritys.
DIG-asiakirjan salasanan vahvuus

Yksittäisten IDP:iden määrittäminen

Sähköinen henkilöllisyys -sivun alareunasta löytyy IDP-"kortit". Jokainen kortti edustaa yhtä tai useampaa todennusmenetelmää IDP:ltä.

Ota IDP-kortti käyttöön napsauttamalla rataskuvaketta:

Määritä IDP-kortti

Huomautus:

Adobe Okta IDP:tä käytetään tässä oppaassa vain esimerkkinä. Asiakkailla ei ole tämän IDP:n käyttöoikeutta.

Yksi IDP voidaan määrittää tili- ja/tai ryhmätasolla tarpeistasi riippuen. Käyttöliittymä muuttuu hieman, jotta ryhmätason asetuksen periytyvän tilan kontekstiin pääsee käsiksi:

Tilitasolla käyttöliittymä vaatii vain Ota tämä palvelu käyttöön vahvistusta varten -valintaruudun valitsemista:

Tilitason IDP-määritys

Jos Ota tämä palvelu käyttöön vahvistusta varten -valintaruutu poistetaan ja rivi on harmaa katsoessasi IDP-määritystä ryhmätasolla, tilitason IDP-palvelua ei ole määritetty.

Ryhmätason konfigurointi voidaan ottaa käyttöön valitsemalla Ohita tilin asetukset ryhmätason konfiguroinnilla -valintaruutu.

Ryhmätason konfiguraatio - IDP:tä ei ole määritetty tilitasolla

Jos Ota tämä palvelu käyttöön vahvistusta varten -valintaruutu ei ole valittuna, kun IDP-määritystä tarkastellaan ryhmätasolla, tilitason IDP-palvelu on määritetty.

Ryhmätason määritys voidaan ottaa käyttöön ja määrittää ryhmäkohtaisilla parametreilla valitsemalla Ohita tilin asetukset ryhmätason määrityksellä -valintaruudun.

Ryhmätason määritys - Sama IDP määritetty tilitasolla

Kun Ota tämä palvelu käyttöön vahvistusta varten ja Ohita tiliasetukset ryhmätason määrityksellä -valintaruudut on valittu, IDP-palvelu on määritetty nimenomaan kyseiselle ryhmälle.

Ryhmätason asetukset - Tilitason määritysten ohittaminen

 

IDP:n konfigurointivaatimukset riippuvat IDP:n käyttämästä tunnistusmenetelmästä:

Perustunnistautumiseen tarvitaan kaksi osatekijää, jotka IDP toimittaa:

  • Asiakastunnus
  • Asiakassalaisuus

Tallenna määritys, kun olet valmis.

Perustunnistautuminen

Yksityinen avain JWT edellyttää kolmea osatekijää, jotka saat IDP:ltäsi:

  • Asiakastunnus
  • Allekirjoitusvarmenne (.p12- tai .pfx-muodossa).
  • Salasana, jota käytetään allekirjoitussertifikaatin suojaamiseen.

Tallenna määritys, kun olet valmis.

Yksityinen avain JWT

Todennuksen jälkeinen asiakassalaisuus edellyttää kahta osatekijää, jotka IDP toimittaa:

  • Asiakastunnus
  • Asiakassalaisuus

Tallenna määritys, kun olet valmis.

Todennuksen jälkeinen asiakassalaisuus

Asiakassalaisuus-JWT-todennus edellyttää kahta tekijää, jotka saat IDP:ltäsi:

  • Asiakastunnus
  • Asiakassalaisuus

Tallenna määritys, kun olet valmis.

Asiakassalaisuus-JWT-todennus

Ota määritetty IDP käyttöön tai pois käytöstä

Voit poistaa IdP-palvelun käytöstä poistamatta IDP-kortin määritystietoja painamalla vasemmassa yläkulmassa olevaa valintaruutukuvaketta ja tallentamalla sivun määritykset. IDP-palvelun poistaminen käytöstä tällä tavalla säilyttää määritystiedot siinä tapauksessa, että sinun on otettava IDP uudelleen käyttöön myöhemmin.

IDP-palvelun poistaminen käytöstä tällä tavalla ei aiheuta ongelmaa, koska tiedot menetetään, ja palvelu voidaan ottaa nopeasti uudelleen käyttöön napsauttamalla valintaruutua uudelleen ja tallentamalla sivun määritykset.

IDP-kortin käytöstä poisto tai käyttöön otto

IDP-asetusten poistaminen

Voit poistaa IdP-asetukset suoraan Digitaalinen identiteetti -paneelista napsauttamalla IdP-kortin roskakorikuvaketta.

Järjestelmänvalvojan on vahvistettava valintaikkunasta, että asetukset poistetaan.

Valintaikkuna varoittaa myös vaikutuksista vastaanottajiin, jotka eivät ole vielä suorittaneet loppuun todennustaan IDP:llä.

Jos IDP-määritys poistetaan tai palvelu poistetaan käytöstä, vastaanottajalle näytetään virhe, kun hän yrittää todentaa henkilöllisyytensä.

Poistovaatimus

Hyvä tietää

Jos IDP-palvelu ei syystä tai toisesta ole toiminnassa, kun vastaanottaja yrittää todentaa henkilöllisyytensä, palvelun estymisestä näytetään virheilmoitus, ja vastaanottajaa ohjeistetaan ottamaan yhteyttä sopimuksen lähettäjään. Lähettäjän sähköpostiosoite on annettu.

IDP-palvelun häiriöstä ilmoituksen saaneet lähettäjät saattavat joutua vaihtamaan todentamismenetelmän uuteen IDP:hen tai muuhun hyväksyttyyn menetelmään.

Palvelu ei käytettävissä -virhe

Tällä hetkellä ei ole mahdollista soveltaa erilaista IDP-palvelua sisäisiin vastaanottajiin.

Jos asetus Ota käyttöön sisäisten vastaanottajien erilaiset henkilöllisyyden todennusmenetelmät on käytössä, Sähköisen identiteetin yhdyskäytävä -toiminto poistetaan kokonaan käytöstä.