L’authentification fondée sur les connaissances (KBA) est une méthode d’authentification à deux facteurs qui garantit une vérification de l’identité de haut niveau. L’authentification fondée sur les connaissances (KBA) permet uniquement de valider l’identité des destinataires basés aux États-Unis.

Le processus d’authentification demande au destinataire de saisir son prénom et son nom de famille, en plus de son adresse personnelle. Le destinataire peut éventuellement saisir les quatre derniers chiffres de son numéro de sécurité sociale américain.

Les informations saisies sont utilisées pour interroger plusieurs bases de données publiques, et générer une liste de trois à quatre questions pertinentes pour le destinataire.

Exemples de questions :

• Sélectionnez le numéro du domicile que vous avez partagé avec {nom d’une personne}.
• Parmi les avions suivants, lequel avez-vous possédé ?
• Dans laquelle des villes suivantes se trouvait votre université ?
• Qui vous a vendu la propriété située {adresse} ?
• Quelle est la tranche d’âge de {nom d’une personne} ?

Une fois l’authentification terminée, le destinataire se voit accorder l’accès pour consulter l’accord et interagir avec lui.

Si, pour quelque raison que ce soit, le destinataire ferme l’accord avant de terminer son action, il devra s’authentifier à nouveau.

Pour parer les tentatives d’authentification forcée, la méthode KBA peut être configurée pour annuler l’accord après un nombre défini de tentatives échouées.

Remarque concernant les données personnelles du destinataire

L’authentification fondée sur les connaissances est un service fourni en partenariat avec InstantID Q&A de LexisNexis.

La page de question est un iframe vers le service LexisNexis. Toutes les données du destinataire saisies et renvoyées pendant le processus d’authentification transitent uniquement par LexisNexis, jamais le service Adobe Acrobat Sign.

Une fois que LexisNexis a confirmé l’identité du destinataire, un jeton d’authentification est transmis à Acrobat Sign et approuve l’accès. L’ID de jeton est conservé dans le rapport d’audit, dans le registre des authentifications réussies.

Configuration de la méthode Authentification fondée sur les connaissances lors de la création d’un nouvel accord

Lorsque l’authentification fondée sur les connaissances est activée, l’expéditeur peut la sélectionner dans la liste déroulante Authentification située juste à droite de l’adresse électronique du destinataire :

Une configuration facultative de la méthode KBA peut exiger que l’expéditeur insère le nom du destinataire.

Cette option garantit que le nom du destinataire reste cohérent tout au long de la transaction.

Consommation de transactions d’authentification Premium

En tant que méthode d’authentification Premium, les transactions KBA doivent être achetées et mises à disposition sur le compte avant que des accords ne soient envoyés avec cette méthode configurée.

Les transactions d’authentification fondée sur les connaissances s’appliquent par destinataire.

Par exemple, un accord configuré avec trois destinataires authentifiés par KBA consomme trois transactions d’authentification.

La configuration d’un accord avec plusieurs destinataires implique qu’une transaction est déduite du total disponible sur le compte pour chaque destinataire authentifié par KBA.

• L’annulation d’un brouillon d’accord avec authentification KBA recrédite toutes les transactions KBA au total disponible sur le compte.
• L’annulation d’une transaction En cours ne recrédite pas la transaction KBA au total disponible sur le compte.
• La modification de la méthode d’authentification, depuis n’importe quelle méthode au profit de KBA, consomme une transaction.
  • Si vous basculez un même destinataire de KBA vers une autre méthode puis à nouveau vers KBA, vous ne consommez qu’une seule transaction.
    
• Le changement de méthode d’authentification de KBA vers une autre méthode ne recrédite pas la transaction.
• Chaque destinataire qui s’authentifie avec l’authentification fondée sur les connaissances (KBA) ne consomme qu’une seule transaction, quel que soit le nombre de tentatives de traitement.

Suivi du volume disponible

Pour contrôler le volume des transactions d’authentification fondée sur les connaissances disponibles pour le compte :

• Accédez à Paramètres du compte > Paramètres d’envoi > Méthodes d’authentification d’identité.
• Cliquez sur le lien Suivi de l’utilisation :

Rapport d’audit

Une vérification réussie de l’identité via l’authentification fondée sur les connaissances (KBA) est explicitement consignée dans le rapport d’audit avec le jeton d’authentification fourni par LexisNexis.

Si l’accord est annulé en raison de l’incapacité du destinataire à s’authentifier, le motif est explicitement indiqué :

Bonnes pratiques et autres considérations

• Si vous utilisez l’authentification à deux facteurs pour les destinataires internes, pensez à la méthode d’authentification Acrobat Sign au lieu de l’authentification fondée sur les connaissances (KBA) pour simplifier la signature tout en économisant des transactions d’authentification Premium.
  

Options de configuration

L’authentification fondée sur les connaissances comporte deux ensembles de contrôles, qui peuvent être configurés aux niveaux du compte et du groupe :

• les Paramètres d’envoi qui contrôlent l’accès de l’expéditeur à l’option d’authentification fondée sur les connaissances (KBA) ;
• les Paramètres de sécurité qui régissent l’expérience du destinataire.

Activation de la méthode d’authentification sous Paramètres d’envoi

L’option permettant d’utiliser l’authentification fondée sur les connaissances peut être activée pour les expéditeurs en accédant à Paramètres d’envoi > Méthodes d’authentification d’identité.

• Case à cocher Authentification fondée sur les connaissances : lorsque cette case est cochée, l’option KBA est disponible pour les accords composés dans le groupe.
• (Facultatif) Demander le nom du signataire sur la page Envoyer : lorsque cette case est cochée, les expéditeurs doivent fournir le nom du destinataire. Cette valeur de nom est conservée tout au long du cycle de signature ; le destinataire n’est pas autorisé à le modifier.
  • L’activation de cette option empêche la délégation de l’accord par le destinataire (y compris la délégation automatique).
  • L’option Remplacer le signataire fonctionnera pour l’expéditeur à partir de la nouvelle page Gérer.
    
• (Facultatif) Utiliser l’authentification KBA lors de l’affichage de l’accord après sa signature : lorsque cette option est activée, toute tentative d’accès à l’accord en ligne stocké dans Acrobat Sign via le lien invite le demandeur à s’authentifier à nouveau via le processus KBA (voir ci-dessous).
  • Remarque : cette authentification concerne uniquement l’accès à l’accord d’origine par le biais d’un lien et est différente de la protection par mot de passe pour afficher le PDF d’un accord.
    
• (Facultatif) Une fois l’authentification fondée sur les connaissances (KBA) activée, vous pouvez la définir comme méthode proposée par défaut lors de la composition des nouveaux accords.
• Enregistrez les modifications sur la page.

Demande d’authentification pour afficher l’accord en ligne original via un lien web

Les modèles d’e-mail, tels que la vérification post-signature pour le destinataire, peuvent contenir un lien vers l’accord original sur les serveurs Acrobat Sign :

En activant le paramètre Utiliser l’authentification KBA lors de l’affichage de l’accord après sa signature, toute tentative d’accès à l’accord par le biais d’un lien exigera du destinataire qu’il valide à nouveau son identité via l’authentification fondée sur les connaissances (KBA).

• Ce paramètre est intégré à l’accord lors de sa création. La modification du paramètre ne change pas l’expérience des accords déjà en cours de traitement.
• Si la méthode de vérification de l’identité est modifiée pour le destinataire, l’authentification pour afficher l’accord via le lien est désactivée.
• Chaque fois qu’un destinataire s’authentifie pour consulter l’accord, des transactions d’authentification Premium sont consommées.
  

Le processus de demande d’authentification est exactement le même que le processus d’authentification du destinataire d’origine :

L’accord ne s’ouvre pas pour consultation tant que l’authentification fondée sur les connaissances n’est pas correctement résolue.

Il n’existe aucune option pour modifier ou désactiver l’authentification une fois que le destinataire a signé et terminé son action.

Configuration des paramètres de sécurité

L’authentification fondée sur les connaissances comporte trois options configurables qui se trouvent sur la page Paramètres de sécurité :

• Limiter le nombre de tentatives : cette case est cochée par défaut. Elle active l’option de sécurité pour annuler l’accord si un destinataire ne parvient pas à s’authentifier après le nombre défini de tentatives. Si cette option est désactivée, le nombre de tentatives d’authentification par les destinataires est illimité. 
  • Autoriser XX tentatives par le signataire de validation de son identité avant d’annuler l’accord : l’administrateur peut définir le nombre maximal de tentatives d’authentification. Une fois le nombre de tentatives dépassé, l’accord est automatiquement annulé.
• Niveau de difficulté de l’authentification fondée sur les connaissances : définit la complexité du processus de validation :
  • Par défaut : les signataires devront répondre correctement à 3 questions. S’ils répondent correctement à 2 questions uniquement, ils devront répondre correctement à 2 nouvelles questions.
  • Difficile : les signataires devront répondre correctement à 4 questions. S’ils répondent correctement à 3 questions uniquement, ils devront répondre correctement à 2 nouvelles questions.

Annulation automatique de l’accord lorsqu’un destinataire ne parvient pas à s’authentifier

Si les paramètres limitent le nombre de tentatives d’authentification KBA et si le destinataire ne parvient pas à s’authentifier après ce nombre de tentatives, l’accord est automatiquement annulé.

L’expéditeur de l’accord reçoit un email annonçant l’annulation, accompagné d’une note identifiant le destinataire qui n’a pas réussi à s’authentifier.

Aucune autre partie n’est notifiée.