Verifica dell’identità digitale

Panoramica

Digital Identity Gateway di Adobe Acrobat Sign consente alle organizzazioni di scegliere tra una vasta gamma di fornitori di identità digitale (IDP) preconfigurati di terze parti e sfrutta il tipo di verifica dell’identità che meglio si adatta alle loro esigenze funzionali, di sicurezza o di conformità. I servizi IDP per l’autenticazione degli utenti, la verifica dell’identità dei firmatari e le soluzioni di federazione dell’identità utilizzano il protocollo di autenticazione standard OpenID Connect (OIDC) da integrare con Acrobat Sign. A seconda dell’IDP selezionato, il servizio può includere:

  • Verifica video dell’identità
  • Autenticazione dell’identità elettronica (eID)
  • Conferma del documento di identità
  • Autenticazione basata su conoscenza (KBA)
  • Identificazione biometrica, autenticazione

Molti dei servizi IDP soddisfano gli standard NIST 800-63A/B/C per soluzioni di autenticazione a più fattori fino ad AAL3, opzioni di verifica dell’identità fino a IAL3, così come asserzione di federazione fino a FAL3. Alcuni servizi IDP possono anche soddisfare la norma ISO 29115 LoA4 e/o EU Regulation 910/2014 (eIDAS) fino a LoA High.

Tutti i servizi IDP richiedono un contratto commerciale e la configurazione presso il fornitore prima di essere utilizzati, nonché monitoraggio continuo affinché l’organizzazione possa mantenere un volume sufficiente di transazioni con servizi IDP per i propri specifici casi di utilizzo.

Acquisto, consumo e segnalazione di transazioni di autenticazione

I provider di identità non sono inclusi nella licenza Acrobat Sign e Adobe non fornisce un canale commerciale per acquistare servizi di identificazione dai vari IDP che possono essere configurati. 

Spetta al cliente acquisire e mantenere un volume sufficiente di transazioni di identità con l'IDP di sua scelta. 

L'IDP fornirà indicazioni chiare sul modo in cui le transazioni vengono utilizzate e fatturate e riferirà direttamente al cliente i consumi e la disponibilità. 

Destinatario esperienza

Tramite il processo di firma di Acrobat Sign, al cliente viene inviata un’e-mail Revisione e firma come qualsiasi altro accordo.

Quando il destinatario seleziona il pulsante Rivedi e firma per aprire l’accordo, viene visualizzata una finestra di dialogo con le informazioni che indica che per accedere al documento è necessaria la verifica dell’identità. A seconda delle impostazioni configurate, il cliente visualizzerà:

  • Un riepilogo di alto livello del processo di verifica.
  • Il nome e il logo dell'IDP che esegue la verifica dell'identità.
  • Un numero e-mail e di telefono per contattare il supporto dell'IDP in caso di problemi con il processo di verifica.
  • L’indirizzo e-mail dell’utente Acrobat Sign che ha inviato l’accordo, nel caso in cui il destinatario debba contattarlo.
  • Un'istruzione che indica che i dati di identità del destinatario saranno memorizzati nel Report identità firmatario (se l'account del mittente è configurato per farlo).
  • Un messaggio di avviso relativo al numero di tentativi di verifica rimanenti disponibili per il destinatario prima che l’accordo venga annullato. Questo messaggio viene visualizzato solo dopo che il destinatario ha provato il processo di identificazione e il tentativo è fallito.
  • Il pulsante Verifica identità attiva il processo di verifica aprendo una schermata a comparsa e trasferendo il processo all’IDP.
    • L’esperienza del destinatario nel processo di verifica e il tipo di verifica da effettuare dipendono dal provider di identità selezionato dal mittente.

Una volta completata correttamente la verifica, il destinatario viene restituito alla finestra dell’Acrobat Sign e l’accordo viene presentato alla sua attenzione.

Messaggio di autenticazione del destinatario

Esperienza del mittente

Scelta del provider di identità durante la composizione di un nuovo accordo

Quando uno o più IDP sono configurati e abilitati per l’account o il gruppo del mittente, gli utenti vedranno l’opzione per selezionare l’IDP nel menu a discesa che contiene tutti i metodi di autenticazione disponibili per il destinatario. Gli IDP abilitati verranno elencati nella sezione Digital Identity Gateway. Se non è abilitato nessun IDP, la sezione Digital Identity Gateway non sarà presente e l'utente non vedrà alcun IDP.

Quando si passa il mouse su un IDP nell’elenco dei menu, viene visualizzata una descrizione del servizio IDP.

Selezionare il metodo di autenticazione

Aggiornamento dell’IDP dopo l’invio dell’accordo

Se un utente deve aggiornare l’autenticazione per selezionare un IDP diverso (o qualsiasi altro metodo di autenticazione), l’utente può utilizzare lo stesso processo per modificare il metodo di autenticazione.

L'utente non è vincolato a selezionare un altro IDP dal gateway di identità digitale. È possibile selezionare qualsiasi altro metodo di autenticazione abilitato.

Modificare il metodo di autenticazione

Report di audit

Il report di audit indica chiaramente che il destinatario è stato verificato da un provider di identità da Digital Identity Gateway e specifica quale IDP era coinvolto e una descrizione del servizio:

Report di audit

Report identità firmatario

Per impostazione predefinita, Acrobat Sign non conserva le informazioni sull’identità restituite dall’IDP. Tuttavia, gli amministratori di account e gruppi possono abilitare l’opzione per salvare le informazioni di identità sui server Acrobat Sign.

Inoltre, gli amministratori possono configurare, a livello di account e di gruppo, l’opzione per permettere agli utenti di scaricare il report identità nella pagina Gestisci dall'elenco delle azioni disponibili.

Scarica il report SIR nella pagina Gestisci.

Il report identità firmatario contiene tutte le informazioni sull’identità restituite dall’IDP quando la transazione di verifica dell’identità ha esito positivo, nonché i dati pertinenti quando una transazione non riesce. Il contenuto varia a seconda del fornitore e del metodo di autenticazione. I dati più comuni includono:

  • ID riferimento: identificatore univoco della transazione verificatasi alla fine dell’IDP. Utile per richieste di supporto e analisi forense.
  • sub (identificatore soggetto): fornisce un identificatore univoco per il destinatario nel contesto del sistema IDP.
  • Token ID, valore raw: fornisce un’asserzione firmata dall’IDP contenente il risultato del processo di identificazione. Prova che l’identità è stata verificata nel contesto della transazione corrente.
Scarica il report SIR nella pagina Gestisci.

Per ulteriori informazioni sul Report identità firmatario, consulta questa pagina > 

Accesso alla configurazione per utilizzare gli IDP come verifica dell’identità

Abilita il metodo di autenticazione nella scheda Identità digitale nel menu di amministrazione.

In questa vista sono disponibili tre impostazioni di alto livello, con l’elenco completo degli IDP disponibili che vengono compilati nella parte inferiore della pagina.

  • Digital Identity Gateway - Questa impostazione è la porta che consente l'accesso ai servizi di identità digitale.
    • Consenti ai firmatari X tentativi di convalida della firma prima di annullare l’accordo - Qualsiasi destinatario che viola il numero massimo di tentativi di convalida della propria identità annulla automaticamente l’accordo.
      • Il numero massimo di tentativi è dieci
      • Comprendi la natura della politica di consumo delle transazioni del tuo IDP quando imposti questo valore. Alcuni fornitori fanno pagare per tentativo.
    • Archivia i dati sulle identità verificate per consentire la creazione di report sull’identità dei firmatari
      •  Quando questa opzione è attivata, le informazioni sulla verifica dell’identità vengono memorizzate sui server Acrobat Sign e possono essere recuperate utilizzando il SIR.
      • Quando è disattivata, le informazioni sull’identità non vengono memorizzate sui server Acrobat Sign.
      • La raccolta dei dati inizia non appena l’impostazione è abilitata e salvata. Analogamente, la raccolta dei dati si interrompe non appena l'impostazione viene disattivata e salvata.
      • I dati non raccolti al momento della verifica del destinatario non possono essere raccolti in un secondo momento.
Gateway di identità digitale

Controlli correlati

Se desideri consentire agli utenti di scaricare il Report identità firmatario, sono disponibili due impostazioni aggiuntive:

Se desideri che gli utenti possano scaricare il SIR, devi abilitarne esplicitamente l’accesso a livello di account o di gruppo.

  1. Passa a Impostazioni account > Impostazioni di invio > Opzioni di identificazione firmatario.
  2. Abilita Consenti ai mittenti di scaricare un report sull’identità dei firmatari per gli accordi contenenti firme verificate.
  3. Salva la configurazione della pagina.
DIG - Accessibilità del firmatario

Nota:

Questa impostazione attiva il report SIR per i fornitori di Identità digitale.

Non è la stessa impostazione che utilizza il Documento di identità.

Quando si scarica un rapporto di identità, l’utente deve proteggere il PDF con una password.

Per la documentazione riservata PII, imposta la policy di protezione della password di PDF in base alla politica aziendale.

  1. Passa a Impostazioni account > Impostazioni protezione > Efficacia password del documento.
  2. Imposta la complessità appropriata.
  3. Salva la configurazione della pagina.
Sicurezza della password del documento DIG

Configurazione dei singoli IDP

In fondo alla pagina Identità digitale si trovano le “carte” dell'IDP. Ogni scheda rappresenta uno o più metodi di autenticazione dell’IDP.

Per abilitare una scheda IDP, fai clic sull’icona dell’ingranaggio:

Configurare la scheda IDP

Nota:

L' IDP Adobe Okta viene utilizzato in questa documentazione solo a scopo di esempio. I clienti non hanno accesso a questo IDP.

Un IDP può essere configurato a livello di account e/o gruppo, a seconda delle tue esigenze. L’interfaccia cambia leggermente per fornire un contesto relativo allo stato di ereditarietà dell’impostazione a livello di gruppo:

A livello di account, l'interfaccia richiede che venga spuntata solo la casella di controllo Abilita questo servizio per la verifica:

Configurazione IDP a livello di account

Se la casella di controllo Abilita questo servizio per la verifica è deselezionata e la riga è disattivata quando si visualizza una configurazione IDP a livello di gruppo; il servizio IDP a livello di account non è configurato.

La configurazione a livello di gruppo può essere abilitata spuntando la casella di controllo Ignora le impostazioni dell’account con la configurazione a livello di gruppo.

Configurazione a livello di gruppo: IDP non è configurato a livello di account

Se la casella di controllo Abilita questo servizio per la verifica è deselezionata quando si visualizza una configurazione IDP a livello di gruppo; il servizio IDP a livello di account è configurato.

La configurazione a livello di gruppo può essere attivata e definita con parametri specifici per ogni gruppo spuntando la casella di controllo Ignora le impostazioni dell’account con la configurazione a livello di gruppo.

Configurazione a livello di gruppo: stesso IDP configurato a livello di account

Quando le caselle di controllo  Abilita questo servizio per la verifica e Ignora le impostazioni dell’account con la configurazione a livello di gruppo sono selezionate, il servizio IDP è configurato in modo esplicito per il gruppo.

Configurazione a livello di gruppo: sostituzione della configurazione a livello di account

 

I requisiti di configurazione IDP dipendono dal metodo di autenticazione utilizzato dall’IDP:

L’autenticazione di base richiede due elementi che il tuo IDP ti fornirà:

  • L’ID client
  • Il segreto del client

Salva al termine della configurazione.

Autenticazione di base

Il file JWT a chiave privata richiede tre elementi che verranno forniti dall'IDP:

  • L’ID client
  • Il certificato di firma (in formato .p12 o .pfx).
  • La password utilizzata per proteggere il certificato di firma.

Salva al termine della configurazione.

Chiave privata JWT

L’autenticazione con segreto client Post richiede due elementi che il tuo IDP ti fornirà:

  • L’ID client
  • Il segreto del client

Salva al termine della configurazione.

Autenticazione con segreto cliente Post

L’autenticazione JWT segreta del client richiede due elementi che il tuo IDP ti fornirà:

  • L’ID client
  • Il segreto del client

Salva al termine della configurazione.

Autenticazione con segreto cliente JWT

Disattivare/attivare un IDP configurato

Il servizio IdP può essere disattivato senza eliminare le informazioni di configurazione sulla scheda IDP premendo l’icona della casella di controllo nell’angolo in alto a sinistra e salvando la configurazione della pagina. La disabilitazione di un servizio IDP in questo modo mantiene le informazioni di configurazione nel caso in cui sia necessario riattivare l'IDP in un secondo momento.

La disabilitazione di un servizio IDP in questo modo non rappresenta una sfida, poiché le informazioni vengono perse e il servizio può essere rapidamente riabilitato premendo nuovamente la casella di controllo e salvando la configurazione della pagina.

Disattiva-Attiva la scheda IDP

Eliminazione della configurazione IDP

Una configurazione IdP può essere eliminata direttamente dalla pannello Identità digitale l’icona del cestino sulla scheda IdP.

Una finestra di dialogo richiede all’amministratore di confermare l’eliminazione della configurazione.

Questa finestra di dialogo segnala inoltre l’impatto sui destinatari che non hanno ancora completato l’autenticazione con l’IDP.

Se la configurazione IDP viene eliminata o il servizio è disattivato, il destinatario visualizza un errore quando tenta di verificare la propria identità.

Richiesta di eliminazione

Aspetti da considerare

Se il servizio IDP è disattivato per qualsiasi motivo quando un destinatario tenta di verificare la propria identità, viene generato un errore che indica di base che il servizio è disattivato e che richiede di contattare il mittente dell’accordo. Viene fornito l'indirizzo e-mail del mittente.

I mittenti che ricevono una notifica di un problema relativo al servizio IDP potrebbero dover cambiare il metodo di autenticazione con un nuovo IDP o con un altro metodo accettabile.

Errore del servizio disabilitato

Al momento non possibile applicare un servizio IDP diverso per i destinatari interni.

Se l’impostazione Abilita metodi diversi di autenticazione dell’identità per i destinatari interni è abilitata, la funzione Digital Identity Gateway è completamente disattivata.