Présentation
La Passerelle d’identités numériques d’Adobe Acrobat Sign permet aux organisations de choisir parmi une large gamme de fournisseurs d’identités numériques (IDP) tiers préconfigurés et d’exploiter le type de vérification d’identité le mieux adapté à leurs besoins fonctionnels, de sécurité ou de conformité. Les services d’IDP pour l’authentification des utilisateurs, la vérification de l’identité des signataires et les solutions de fédération d’identité utilisent la norme de protocole d’authentification OpenID Connect (OIDC) pour l’intégration à Acrobat Sign. En fonction de l’IDP sélectionné, le service peut inclure les éléments suivants :
- Vérification d’identité vidéo
- Authentification par pièce d’identité électronique (eID)
- Confirmation du document d’identité
- Authentification basée sur les connaissances (KBA)
- Identification et authentification biométriques
La plupart des services d’IDP respectent les normes NIST 800-63A/B/C pour les solutions d’authentification multifactorielle jusqu’à AAL3, les options de vérification d’identité jusqu’à IAL3, ainsi que l’affirmation de fédération jusqu’à FAL3. Certains services d’IDP respectent également les normes ISO 29115 LoA4 et/ou le règlement de l’UE 910/2014 (eIDAS) jusqu’à LoA High.
Tous les services d’IDP nécessitent un contrat commercial et une configuration avec le fournisseur avant d’être utilisés, ainsi qu’une surveillance permanente pour s’assurer que votre organisation conserve un volume suffisant de transactions de service IDP pour vos cas d’utilisation.
Achats, consommation et rapports des transactions d’authentification
Les fournisseurs d’identité ne sont pas inclus dans la licence d’Acrobat Sign, et Adobe ne propose pas de canal commercial pour obtenir des services d’identification auprès des différents FI pouvant être configurés.
Il incombe au client d’acquérir et de maintenir un volume suffisant de transactions d’identité avec le FI de son choix.
Le FI fournit des indications claires sur la manière dont les transactions sont consommées et facturées et signale la consommation/disponibilité directement au client.
Expérience du destinataire
Le processus de signature d’Acrobat Sign permet au client de recevoir un e-mail Vérifier et signer comme tout autre accord.
Lorsque le destinataire sélectionne le bouton Vérifier et signer pour ouvrir l’accord, une boîte de dialogue d’informations lui indiquant que la vérification d’identité est requise pour accéder au document s’affiche. En fonction des paramètres configurés, le client voit
- Un résumé global du processus de vérification.
- Le nom et le logo du FI qui effectue la vérification d’identité.
- Une adresse e-mail et un numéro de téléphone pour contacter l’assistance du FI en cas de problème lié au processus de vérification.
- L’adresse e-mail de l’utilisateur d’Acrobat Sign qui a envoyé l’accord, au cas où le destinataire aurait besoin de le contacter.
- Une instruction indiquant que les données d’identité du destinataire seront stockées dans le rapport d’identité du signataire (si le compte de l’expéditeur est configuré à cet effet).
- Un message d’avertissement indiquant le nombre de tentatives de vérification restantes disponibles pour le destinataire avant l’annulation de l’accord. Ce message s’affiche uniquement après que le destinataire a essayé le processus d’identification et a échoué.
- Le bouton Vérifier l’identité déclenche le processus de vérification en ouvrant un écran contextuel et en transférant le processus au FI.
- L’expérience du processus de vérification du destinataire et le type de vérification à effectuer dépendent du fournisseur d’identité sélectionné par l’expéditeur.
Une fois le processus de vérification terminé avec succès, le destinataire est renvoyé à la fenêtre Acrobat Sign, et l’accord est présenté à son attention.
Expérience de l’expéditeur
Choix du fournisseur d’identité lors de la création d’un nouvel accord
Lorsqu’un ou plusieurs FI sont configurés et activés pour le compte ou le groupe de l’expéditeur, les utilisateurs voient l’option permettant de sélectionner le FI dans le menu déroulant qui contient toutes les méthodes d’authentification disponibles pour le destinataire. Les FI activés sont répertoriés dans la section Passerelle d’identités numériques. Si aucun FI n’est activé, la section Passerelle d’identités numériques n’est pas présente et l’utilisateur ne voit aucun FI.
Placer le curseur sur un FI dans la liste de menus affiche une info-bulle qui fournit une brève description du service FI.
Mise à jour du FI après l’envoi de l’accord
Si un utilisateur doit mettre à jour l’authentification pour sélectionner un autre FI (ou toute autre méthode d’authentification), il peut utiliser le même processus pour modifier la méthode d’authentification.
L’utilisateur n’est pas obligé de sélectionner un autre FI à partir de la passerelle d’identités numériques. Toute autre méthode d’authentification activée peut être sélectionnée.
Rapport d’audit
Le rapport d’audit indique clairement que le destinataire a été vérifié par un fournisseur d’identité à partir de la passerelle d’identités numériques et spécifie le FI impliqué ainsi qu’une description de son service :
Rapport d’identité du signataire (SIR)
Par défaut, Acrobat Sign ne conserve pas les informations d’identité renvoyées par le FI. Toutefois, les administrateurs de compte et de groupe peuvent activer l’option permettant d’enregistrer les informations d’identité sur les serveurs d’Acrobat Sign.
En outre, les administrateurs peuvent configurer, au niveau du compte et du groupe, l’option permettant aux utilisateurs de télécharger le rapport d’identité sur la page Gérer à partir de la liste des actions disponibles.
Le rapport d’identité du signataire contient toutes les informations d’identité renvoyées par l’IDP lorsque la transaction de vérification d’identité aboutit, ainsi que les données pertinentes lorsqu’une transaction échoue. Le contenu varie en fonction du fournisseur et de la méthode d’authentification. Les données courantes comprennent les éléments suivants :
- ID de référence : identifiant unique de la transaction qui s’est produite du côté de l’IDP. Utile pour les demandes d’assistance et les analyses médico-légales.
- sub (Identifiant du sujet) : fournit un identifiant unique pour le destinataire dans le contexte du système d’IDP.
- Valeur brute du token d’identification (ID Token Raw) : fournit une affirmation signée par l’IDP contenant le résultat du processus d’identification. Preuve que l’identité a été vérifiée dans le contexte de la transaction en cours.
Pour plus d’informations sur le rapport d’identité du signataire, consultez cette page >
Accès à la configuration pour utiliser des FI comme vérification d’identité
Activez la méthode d’authentification sous l’onglet Identité numérique du menu Administrateur.
Il existe trois paramètres de niveau supérieur dans cette vue, la liste complète des FI disponibles occupant le bas de la page.
- Passerelle d’identités numériques : ce paramètre est la porte qui permet l’accès aux services d’identité numérique.
- Autoriser les signataires à effectuer X tentatives de validation de leur signature avant d’annuler l’accord : tout destinataire qui enfreint le nombre maximal de tentatives de validation de son identité annule automatiquement l’accord.
- Le nombre maximal de tentatives est de dix.
- Assurez-vous d’avoir bien compris la politique de consommation des transactions de votre FI lors de la définition de cette valeur. Certains fournisseurs facturent chaque tentative.
- Stocker les données d’identité vérifiées pour autoriser les rapports d’identité des signataires
- Lorsque cette option est activée, les informations de vérification d’identité sont stockées sur les serveurs Acrobat Sign et peuvent être récupérées à l’aide du SIR.
- Lorsque cette option est désactivée, les informations d’identité ne sont pas stockées sur les serveurs Acrobat Sign.
- La collecte de données démarre dès que le paramètre est activé et enregistré. De même, elle s’arrête dès que le paramètre est désactivé et enregistré.
- Les données qui ne sont pas collectées au moment où le destinataire est validé ne peuvent pas l’être ultérieurement.
- Autoriser les signataires à effectuer X tentatives de validation de leur signature avant d’annuler l’accord : tout destinataire qui enfreint le nombre maximal de tentatives de validation de son identité annule automatiquement l’accord.
Contrôles associés
Deux paramètres supplémentaires sont à vérifier si vous souhaitez autoriser les utilisateurs à télécharger le rapport d’identité du signataire :
Si vous souhaitez que les utilisateurs puissent télécharger le SIR, vous devez explicitement autoriser leur accès au niveau du compte ou du groupe.
- Accédez à Paramètres de compte > Paramètres d’envoi > Options d’identification du signataire.
- Activez l’option Autoriser les expéditeurs à télécharger un rapport d’identité du signataire pour les accords contenant des signatures vérifiées.
- Enregistrez la configuration de la page.
Ce paramètre active le SIR pour les fournisseurs d’identité numérique.
Ce n’est pas le même paramètre que celui utilisé par Pièce d’identité officielle.
Lors du téléchargement d’un rapport d’identité, l’utilisateur doit protéger le PDF par un mot de passe.
Définissez la politique de sécurité du mot de passe PDF en fonction de la politique de votre entreprise en matière de documents confidentiels PII.
- Accédez à Paramètres de compte > Paramètres de sécurité > Sécurité du mot de passe du document.
- Définissez la complexité appropriée.
- Enregistrez la configuration de la page.
Configuration des FI individuels
Les « cartes » de FI se trouvent au bas de la page Identité numérique. Chaque carte représente une ou plusieurs méthodes d’authentification du FI.
Pour activer une carte de FI, cliquez sur l’icône d’engrenage :
Le FI Adobe Okta est utilisé dans cette documentation à titre d’exemple uniquement. Les clients n’ont pas accès à ce FI.
Un FI peut être configuré au niveau du compte et/ou du groupe, en fonction de vos besoins. L’interface change légèrement pour fournir un contexte sur le statut d’héritage du paramètre au niveau du groupe :
Au niveau du compte, l’interface nécessite uniquement l’activation de la case à cocher Activer ce service pour la vérification de l’identité :
Si la case Activer ce service pour la vérification de l’identité est décochée et si la ligne est grisée lors de l’affichage d’une configuration de FI au niveau du groupe, le service FI au niveau du compte n’est pas configuré.
La configuration au niveau du groupe peut être activée en cochant la case Remplacer les paramètres du compte par une configuration au niveau du groupe.
Si la case Activer ce service pour la vérification de l’identité est décochée lors de l’affichage d’une configuration de FI au niveau du groupe, le service FI au niveau du compte est configuré.
La configuration au niveau du groupe peut être activée et définie avec des paramètres propres au groupe en cochant la case Remplacer les paramètres du compte par une configuration au niveau du groupe.
Lorsque les cases Activer ce service pour la vérification de l’identité et Remplacer les paramètres du compte par une configuration au niveau du groupe sont cochées, le service FI est configuré explicitement pour le groupe.
Les exigences de configuration du FI dépendent de la méthode d’authentification qu’il utilise :
L’authentification de base requiert deux éléments qui vous sont fournis par votre FI :
- L’ID client
- La clé secrète client
Enregistrez la configuration lorsque vous avez terminé.
La clé privée JWT nécessite trois éléments qui vous seront fournis par votre FI :
- L’ID client
- Le certificat de signature (au format .p12 ou .pfx)
- Le mot de passe utilisé pour sécuriser le certificat de signature
Enregistrez la configuration lorsque vous avez terminé.
L’authentification POST avec secret du client nécessite deux éléments qui vous sont fournis par votre FI :
- L’ID client
- La clé secrète client
Enregistrez la configuration lorsque vous avez terminé.
L’authentification JWT avec secret du client nécessite deux éléments qui vous sont fournis par votre FI :
- L’ID client
- La clé secrète client
Enregistrez la configuration lorsque vous avez terminé.
Désactivation/Activation d’un FI configuré
Le service FI peut être désactivé sans supprimer les informations de configuration de la carte de FI en appuyant sur l’icône en forme de case à cocher dans le coin supérieur gauche et en enregistrant la configuration de la page. La désactivation d’un service FI de cette manière préserve les informations de configuration dans le cas où vous auriez besoin de réactiver le FI ultérieurement.
La désactivation d’un service FI de cette manière ne pose aucun problème puisque les informations sont perdues, et le service peut être rapidement réactivé en cochant à nouveau la case et en enregistrant la configuration de la page.
Suppression de la configuration du FI
Une configuration de FI peut être supprimée directement à partir du panneau Identité numérique en appuyant sur l’icône de la corbeille sur la carte de FI.
Une boîte de dialogue invite l’administrateur à confirmer que la configuration doit être supprimée.
Cette boîte de dialogue vous avertit également de l’impact sur les destinataires qui n’ont pas encore terminé leur authentification auprès du FI.
Si la configuration du FI est supprimée ou si le service est désactivé, une erreur s’affiche pour le destinataire lorsqu’il tente de vérifier son identité.
Ce qu’il faut savoir
Si le service FI est désactivé pour une raison quelconque lorsqu’un destinataire tente de vérifier son identité, une erreur est générée. Elle fournit un message de base indiquant que le service est désactivé et des instructions pour contacter l’expéditeur de l’accord. L’adresse e-mail de l’expéditeur est indiquée.
Les expéditeurs qui sont informés d’un problème lié au service FI peuvent avoir besoin de modifier la méthode d’authentification pour un nouveau FI ou une autre méthode acceptable.
À l’heure actuelle, il n’est pas possible d’appliquer un autre service d’IDP aux destinataires internes.
Si le paramètre Activation de différentes méthodes d’authentification d’identité pour les destinataires internes est activé, la Passerelle d’identités numériques est complètement désactivée.