L’obtention de signatures et d’approbations auprès des destinataires peut nécessiter différents niveaux d’authentification, selon le document. Adobe Sign prend en charge toute une variété de méthodes d’authentification allant de la vérification par e-mail simple et à facteur unique à l’authentification sophistiquée à deux facteurs basée sur des documents d’identité officiels.

Authentification de l’identité

L’authentification de l’identité d’un destinataire est un élément clé du système Adobe Sign pour obtenir une signature légale et réduire le nombre de rejets.

Toutefois, les exigences en matière d’authentification de l’identité varient en fonction des objectifs de l’entreprise. Tenez compte des différents niveaux de confirmation de l’identité que vous demanderiez pour les transactions suivantes :

  • Demande de congé au travail
  • Bulletin scolaire d’un enfant
  • Inscription à un événement privé
  • Abonnement à une salle de sport
  • Accès à des dossiers médicaux
  • Documents conformes à la réglementation CFR 21 Part 11

Adobe Sign fournit un ensemble de commandes qui permettent de définir les types d’authentification au niveau du compte et du groupe, avec des valeurs par défaut à définir, afin de rationaliser l’expérience de l’expéditeur et de mieux garantir la conformité aux stratégies de signature de l’entreprise.

Plus une méthode d’authentification est robuste, plus le processus de signature est complexe. Les administrateurs doivent donc configurer les paramètres par défaut du compte ou du groupe pour prendre en charge l’authentification la plus courante, en optant pour l’option la moins complexe lorsque cela est possible, et en autorisant des options modifiables si certaines transactions nécessitent des solutions plus complexes.


Terminologie importante

Destinataires internes et destinataires externes

Les commandes d’authentification permettent de configurer des méthodes pour authentifier deux types de destinataires, internes et externes :

  • Les destinataires internes comprennent tous les utilisateurs actifs (identifiés par leur adresse électronique) du même compte Adobe Sign à partir duquel l’accord a été envoyé.
    • Une liste des utilisateurs de votre compte est une liste de tous les utilisateurs internes.
    • Peu importe le groupe auquel le destinataire appartient, tant que l’utilisateur se trouve dans la même structure de compte.
  • Les destinataires externes comprennent toutes les adresses électroniques des destinataires qui ne sont pas associées à un utilisateur interne.
    • Toute adresse électronique non incluse dans une liste d’utilisateurs au niveau du compte est un utilisateur externe.

Distinguer ainsi les destinataires permet aux workflows d’exploiter l’authentification de haut niveau pour les destinataires externes et une authentification plus économique pour les utilisateurs internes.

Remarque :

Une entreprise (domaine de messagerie) peut avoir plusieurs comptes Adobe Sign.

Seuls les utilisateurs appartenant à un même compte sont considérés comme internes. Dans tous les cas, les comptes externes sont constitués de destinataires externes.


Méthodes d’authentification du destinataire

Authentification par email

Adobe Sign utilise l’adresse électronique comme premier facteur d’authentification par défaut, ce qui est conforme aux exigences liées à une signature électronique légale dans le cadre de la loi ESIGN. Cette méthode s’avère suffisante pour les besoins de la plupart des clients.

La vérification par email exige que le destinataire :

  • accède à l’accord à partir de sa boîte de réception ;
  • clique sur le lien dans l’email pour accéder à la vue de l’accord ;
  • effectue toutes les actions désignées (remplir les champs de formulaire, signer) sur l’accord ;
  • clique sur le dernier bouton Cliquer pour signer pour finaliser l’action.

L’accès au lien envoyé par e-mail permet d’établir une mesure raisonnable d’identification, car toutes les adresses électroniques sont uniques et leur accès nécessite la saisie d’un mot de passe.

Les intégrations ou actions qui ignorent la notification par e-mail envoyée à un destinataire doivent inclure une méthode d’authentification à deux facteurs appropriée pour éviter tout rejet.


Authentification à deux facteurs (2FA)

Adobe Sign prend en charge plusieurs méthodes d’authentification à deux facteurs pour les transactions de plus grande valeur qui nécessitent plus que de simples vérifications par e-mail.

La méthode d’authentification est généralement fonction du type de document ou du secteur d’activité des parties concernées. Il incombe à l’administrateur de comprendre leurs stratégies de signature internes et les éventuelles exigences de conformité.

Vous trouverez ci-dessous un résumé des options d’authentification à deux facteurs disponibles avec des liens vers des descriptions plus détaillées :

Pour l’authentification par mot de passe du signataire, l’expéditeur doit saisir le mot de passe (deux fois).

  • Les mots de passe sont alpha/numériques seulement. Aucun caractère spécial.
  • L’expéditeur doit communiquer le mot de passe au destinataire par le biais d’un canal externe.
  • Le mot de passe n’est pas stocké en texte clair dans l’application. Si le mot de passe est perdu, il ne peut pas être récupéré et l’expéditeur devra le réinitialiser.

Les destinataires sont invités à saisir le mot de passe avant de pouvoir afficher le contenu de l’accord :

Demande d’authentification par mot de passe

L’authentification Adobe Sign invite le destinataire à s’authentifier sur le système Adobe Sign.

Cette méthode est principalement utilisée comme option de contre-signature peu rigoureuse pour vos destinataires internes lorsque vos exigences de signature nécessitent un événement consigné/authentifié pour chaque signature.

Attention :

Avant d’affecter l’authentification Adobe Sign à des destinataires externes, vérifiez que :

  • Les destinataires internes (par définition) sont connus en tant qu’utilisateurs Adobe Sign actifs et peuvent donc s’authentifier sans problème.
  • Les destinataires externes peuvent ou non être des utilisateurs Adobe Sign actifs. Si ce n’est pas le cas, ils seront tenus de s’enregistrer et d’être vérifiés avant de s’authentifier.

 

Les destinataires sont invités à s’authentifier dans Adobe Sign avant de pouvoir afficher le contenu de l’accord :

Demande d’authentification Adobe Sign

L’authentification par téléphone fournit au destinataire un code à six chiffres qu’il devra saisir pour pouvoir accéder à l’accord.

  • Le numéro de téléphone du destinataire doit être saisi lors de la création de l’accord par l’expéditeur.
  • Si un destinataire délègue son autorité de signature, il sera invité à fournir un numéro de téléphone valide pour le nouveau destinataire. Un numéro de téléphone correct doit être fourni pour que l’authentification réussisse.
  • Le destinataire peut choisir entre un SMS (pour les smartphones qui peuvent recevoir des SMS) ou un appel vocal (si le téléphone ne permet pas de recevoir des SMS).
    • Le code d’authentification est valide pendant dix minutes après avoir été envoyé.

Le destinataire demande le code et doit le saisir avant de consulter le contenu de l’accord :

Demande d’authentification par téléphone

L’authentification fondée sur les connaissances est une méthode d’authentification de haut niveau utilisée principalement au sein d’établissements financiers et dans d’autres scénarios qui nécessitent une vérification rigoureuse de l’identité du signataire.

Le destinataire est invité à saisir des renseignements personnels, qui sont utilisés pour poser plusieurs questions pertinentes sur son passé (issues de bases de données publiques). Pour accéder à l’accord, le destinataire doit répondre correctement à chaque question.

L’authentification fondée sur les connaissances est valide uniquement pour les destinataires aux États-Unis.

Demande d’authentification fondée sur les connaissances

L’authentification par pièce d’identité officielle demande au destinataire de fournir une image d’un document délivré par le gouvernement (permis de conduire, passeport) et un selfie afin d’établir une vérification probante.

Au départ, les destinataires sont invités à fournir le numéro d’un smartphone, puis ils sont guidés tout au long du processus de téléchargement du document et des selfies :

Demande d’authentification par pièce d’identité officielle


<>Méthodes d’authentification des signataires Premium

Les méthodes d’authentification par téléphone, fondée sur les connaissances (KBA) et par pièce d’identité officielle sont dites « Premium ».

Ces méthodes Premium sont limitées dans leur usage et doivent être achetées avant utilisation. Pour plus de détails, contactez votre responsable du succès client ou votre agent commercial.

Remarque :

Les nouveaux comptes de niveau Entreprises bénéficient de 50 transactions gratuites d’authentification par téléphone et fondée sur les connaissances à leur création.


Seuils d’annulation automatique

Toutes les méthodes d’authentification à deux facteurs ont des seuils configurables qui annulent l’accord lorsqu’un destinataire ne parvient pas à s’authentifier après un certain nombre de tentatives.

  • Le propriétaire de l’accord (expéditeur) sera informé que l’accord est annulé.
    • Seul l’expéditeur est averti.
    • Les accords annulés ne peuvent pas redevenir actifs. Un nouvel accord doit être créé.


Sélection de la méthode d’authentification par les expéditeurs

Lors de la configuration d’un accord, l’expéditeur peut choisir une méthode d’authentification dans un menu déroulant situé à droite de l’adresse électronique du destinataire.

La méthode d’authentification par défaut peut être configurée par un administrateur pour simplifier le processus d’envoi. D’autres options peuvent être mises à disposition si nécessaire.

Interface utilisateur de l’expéditeur


Expérience du destinataire

En règle générale, un destinataire est d’abord informé d’un accord en attente par e-mail.

  • Si l’accord est envoyé avec authentification par email uniquement, le fait de cliquer sur le bouton Vérifier et signer dans l’email ouvre l’accord pour consultation et action.
  • Si l’accord est configuré avec une authentification à deux facteurs, le fait de cliquer sur le bouton Vérifier et signer dans l’email ouvre la page de demande d’authentification à deux facteurs.
    • Une fois cette authentification terminée, l’accord est ouvert pour consultation et action.
Vérifier et signer dans un e-mail


Événements du rapport d’audit

Chaque méthode d’authentification à deux facteurs comporte un message de réussite explicite qui identifie la méthode utilisée.

L’authentification par e-mail indique simplement que le document a été signé :

Rapport d’audit pour l’authentification par e-mail


Options et paramètres par défaut configurables

Commandes d’administration

Pour accéder aux paramètres au niveau du compte, connectez-vous en tant qu’administrateur de compte Adobe Sign et accédez à Paramètres du compte > Paramètres d’envoi > Méthodes d’authentification d’identité.

Les commandes sont divisées en deux sections :

  • Méthodes d’authentification d’identité : ensemble principal de paramètres d’authentification de l’identité. Ces valeurs sont appliquées à tous les destinataires de tous les accords créés dans le groupe d’envoi avec les exceptions suivantes :
    • processus basés sur l’API, qui peuvent restreindre les options de l’expéditeur (intégrations, workflows, applications personnalisées)
       ;
    • lorsque différentes méthodes d’authentification d’identité pour les destinataires internes sont activées (voir ci-dessous).
  • Authentification d’identité pour les destinataires internes : ce sous-ensemble de paramètres permet au groupe de définir un ensemble de méthodes d’authentification de l’identité différent pour les destinataires internes. Les avantages sont les suivants :
    • Moins de contraintes pour les signataires internes.
    • Un processus de signature moins complexe accélère la signature par les destinataires qui pourraient devoir contresigner plusieurs accords.
    • Les coûts liés à une authentification de qualité supérieure peuvent être évités pour les destinataires internes.
Méthodes d’authentification d’identité dans l’interface utilisateur d’administration


Méthodes d’authentification d’identité

Principales commandes d’authentification :

  • Exiger des expéditeurs qu’ils spécifient l’une des méthodes d’authentification autorisées pour les destinataires : lorsque cette option est activée, vous devez sélectionner une méthode d’authentification à deux facteurs par défaut. E-mail peut ne pas être sélectionné.
  • Autoriser Adobe Sign à renseigner automatiquement l’adresse e-mail des signataires pour chaque demande d’authentification : ce paramètre s’applique uniquement à la méthode d’authentification Adobe Sign. Lorsque cette option est activée, l’adresse électronique du destinataire est automatiquement insérée là où elle est nécessaire pour l’authentification.
  • Ne pas demander au signataire de s’authentifier à nouveau s’il est déjà connecté à Adobe Sign : ce paramètre s’applique uniquement à la méthode d’authentification Adobe Sign. Lorsque cette option est activée, les signataires ne sont pas invités à s’authentifier à nouveau s’ils sont actuellement connectés à Adobe Sign.
  • Autoriser les méthodes d’authentification d’identité suivantes pour les destinataires : cette option introduit la liste des options d’authentification à deux facteurs disponibles pour les expéditeurs.  Sélectionnez une ou plusieurs options en fonction de vos besoins en matière de sécurité/conformité.
  • Par défaut, utiliser la méthode suivante : établit la méthode d’authentification par défaut insérée quand un destinataire est ajouté à un nouvel accord.
  • Autoriser les expéditeurs à modifier la méthode d’authentification par défaut : si cette option est activée, l’expéditeur peut sélectionner n’importe quelle méthode activée pour le groupe à partir duquel il envoie l’accord.
    • Si elle est désactivée, seule la méthode d’authentification par défaut peut être employée.


Authentification d’identité pour les destinataires internes

Les commandes pour les destinataires internes indiquent les options que vous souhaitez appliquer aux destinataires internes :

  • Autoriser différentes méthodes d’authentification d’identité pour les destinataires internes : lorsque cette option est activée, les destinataires internes sont traités comme une exception aux règles d’authentification principales et reçoivent plutôt les options de valeur/authentification par défaut définies dans la section Authentification d’identité pour les destinataires internes.
  • Autoriser les méthodes d’authentification d’identité suivantes : cette option introduit la liste des options disponibles pour l’authentification des destinataires internes.  Sélectionnez une ou plusieurs options en fonction de vos besoins en matière de sécurité/conformité.
    • L’authentification Adobe Sign fournit une méthode d’authentification peu rigoureuse/moins onéreuse si vos expéditeurs sont également contre-signataires.
  • Par défaut, utiliser la méthode suivante : établit la méthode par défaut pour les destinataires internes lors de la création d’un nouvel accord.
  • Autoriser les expéditeurs à modifier la méthode d’authentification par défaut : permet à l’expéditeur de modifier la méthode d’authentification par défaut pour n’importe quelle autre option activée par l’administrateur.


Configuration au niveau du groupe

Chaque groupe d’un compte hérite des paramètres d’authentification par défaut au niveau du compte.

Chaque groupe a la possibilité de remplacer les paramètres de compte hérités afin de modifier les valeurs par défaut et les options disponibles pour les accords générés dans ce groupe.

Les commandes d’administration au niveau du groupe pour l’authentification d’identité sont accessibles en vous connectant en tant qu’administrateur Adobe Sign :

Pour les administrateurs de groupe qui n’ont pas d’accès de niveau compte :

  • Accédez à Mon groupe d’utilisateurs > Paramètres d’envoi
    .
  • Cochez la case Remplacer les paramètres de compte pour cette page.
    • Cochez cette case pour permettre au groupe de ne pas utiliser automatiquement les paramètres hérités du niveau compte et de les remplacer par des valeurs explicitement choisies pour le groupe. Les mises à jour des valeurs de paramètres du niveau compte ne seront plus héritées.
    • Si vous n’avez pas la possibilité de remplacer les paramètres, vos paramètres d’administrateur au niveau du compte ont supprimé l’autorisation de modification de groupe.
  • Faites défiler la page jusqu’à la section Méthodes d’authentification d’identité et configurez-la selon vos besoins.
Navigation pour les administrateurs de groupes

  • Accédez à l’onglet Groupes.
  • Cliquez sur le groupe pour afficher les liens d’action en haut de la liste.
  • Cliquez sur le lien Paramètres de groupe.
    • Le menu des paramètres du groupe s’affiche.
  • Sélectionnez Paramètres d’envoi parmi les options du menu de gauche.
  • Cochez la case Remplacer les paramètres de compte pour cette page.
    • Cochez cette case pour permettre au groupe de ne pas utiliser automatiquement les paramètres hérités du niveau compte et de les remplacer par des valeurs explicitement choisies pour le groupe. Les mises à jour des valeurs de paramètres du niveau compte ne seront plus héritées.
    • Si vous n’avez pas la possibilité de remplacer les paramètres, vos paramètres d’administrateur au niveau du compte ont supprimé l’autorisation de modification de groupe.
  • Faites défiler la page jusqu’à la section Méthodes d’authentification d’identité et configurez-la selon vos besoins.
Accès administrateur aux commandes de groupe


Exception à l’authentification d’identité dans un formulaire web

Les formulaires web sont utilisés dans divers cas d’utilisation uniques. Une authentification stricte de l’identité n’est pas si souvent exigée.  

Pour les comptes/groupes qui n’ont pas besoin d’authentifier les signatures d’un formulaire web, l’option permettant de désactiver la vérification par e-mail peut être configurée comme suit :

  • Accédez à Paramètres du compte > Paramètres généraux > Formulaires web (pour les paramètres au niveau du compte)
    .
    • Modifiez Groupe : {Nom du groupe} > Paramètres de groupe > Formulaires web (pour les paramètres au niveau du groupe).
  • Décochez l’option Exiger du signataire qu’il vérifie son adresse électronique pour accepter les signatures d’un formulaire web sans vérification.
    • Supprimer l’obligation de vérification de signature dans les formulaires web ne supprime pas l’obligation pour le signataire de fournir une adresse électronique.
Commandes pour les formulaires web


Bonnes pratiques et autres considérations

  • Toutes les méthodes et options d’authentification peuvent être configurées au niveau du compte et du groupe.
  • Tous les groupes héritent leurs valeurs par défaut des paramètres de niveau compte. Définissez vos paramètres de niveau compte pour tirer le meilleur parti de l’application automatique des propriétés afin de gagner lors de la configuration des groupes par la suite.
  • Les accords sont soumis aux options d’authentification correspondant au groupe d’où provient l’accord. Si vous ne voyez pas les options que vous attendiez, vérifiez vos paramètres de niveau groupe.
  • Évaluez vos exigences en matière d’authentification de l’identité en fonction des types de documents que vous envoyez et de leur éventuel devoir de conformité à une réglementation en vigueur. Si une authentification Premium est requise, assurez-vous que le volume de transactions nécessaire pour le nombre de destinataires a été acheté.
  • Déterminez si certains flux de signature nécessitent l’authentification à deux facteurs, par exemple :
    • Signatures hébergées.
    • Solutions personnalisées conçues pour supprimer les notifications par e-mail (par exemple Workday).
    • Flux de signature qui cherchent à obtenir des signatures légales de deux destinataires ou plus à l’aide de la même adresse électronique (partagée).
  • Identifiez s’il peut être utile d’avoir des normes d’authentification différentes pour les destinataires internes.
  • Les comptes ayant accès à des workflows personnalisés peuvent définir des méthodes d’authentification très précises pour chacun des flux de signature. Cela permet de réduire le niveau de rigueur par défaut (et potentiellement un volume plus important d’exigences), tout en garantissant la conformité aux processus de signature critiques.
  • N’oubliez pas que les méthodes d’authentification individuelles doivent être activées pour être mises à disposition d’autres services. L’activation d’une méthode la rend accessible pour :
    • les autres commandes administratives, tels que les Paramètres de sécurité pour les méthodes d’authentification à deux facteurs,
    • les utilisateurs à sélectionner lors du processus d’envoi standard,
    • les workflows personnalisés intégrés au concepteur de workflows,
    • les événements d’envoi pilotés par l’API,
    • les accès à l’intégration (Dynamics, Salesforce).