Metodi di autenticazione dell’identità in Adobe Sign

Ottenere firme e approvazioni da parte dei destinatari può richiedere diversi livelli di autenticazione a seconda del documento interessato. Adobe Sign supporta una gamma completa di metodi di autenticazione, dalla semplice verifica tramite e-mail a fattore singolo fino all’autenticazione sofisticata a due fattori basata su documenti di identità.

Autenticazione dell’identità

L’autenticazione dell’identità dei destinatari è una funzionalità chiave del sistema Adobe Sign, che consente di ottenere firme valide a livello legale e di migliorare la conformità.

Tuttavia, esigenze aziendali diverse comportano requisiti diversi per l’autenticazione dell’identità. Esaminiamo, ad esempio, i diversi livelli di verifica dell’identità richiesti per le transazioni seguenti:

  • Richiesta per assenza dal lavoro
  • Pagelle scolastiche dei figli
  • Registrazione di eventi privati
  • Iscrizione a una palestra
  • Accesso a informazioni sanitarie
  • Conformità dei documenti alle direttive CFR 21, parte 11

Adobe Sign offre un set di controlli che consente di definire i tipi di autenticazione a livello di account e gruppo con valori predefiniti configurabili per ottimizzare l’esperienza del mittente e garantire una migliore conformità ai criteri di firma aziendale.

Tenendo presente che i metodi di autenticazione più affidabili aumentano la complessità del processo di firma, gli amministratori devono configurare le impostazioni predefinite dell’account o del gruppo in modo da supportare i requisiti di autenticazione più comuni, scegliendo se possibile l’opzione meno complessa e consentendo opzioni modificabili per le transazioni che richiedono soluzioni più complesse.


Terminologia chiave

Destinatari interni ed esterni

I controlli di autenticazione consentono di configurare i metodi di autenticazione per due tipi di destinatari: interni ed esterni.

  • Destinatari interni sono tutti gli utenti attivi (identificati dall’indirizzo e-mail) inclusi nello stesso account Adobe Sign da cui è stato inviato l’accordo.
    • Un elenco di tutti gli utenti inclusi nel tuo account è un elenco di tutti gli utenti interni.
    • Non importa in quale gruppo si trova il destinatario, purché l’utente sia incluso nella stessa struttura dell’account.
  • Destinatari esterni sono tutti gli indirizzi e-mail del destinatario non associati a un utente interno.
    • Qualsiasi indirizzo e-mail non incluso in un elenco di utenti a livello di account rappresenta un utente esterno.

La definizione dei destinatari in questo modo consente ai flussi di lavoro di sfruttare l’autenticazione di alto livello per i destinatari esterni, utilizzando al contempo un’autenticazione meno costosa per gli utenti interni.

Nota:

È possibile che un’azienda (dominio di posta elettronica) disponga di più account Adobe Sign.

Solo gli utenti che si trovano in ogni specifico account si possono considerare interni tra loro. Gli account esterni ospitano destinatari esterni in tutti i casi.


Metodi di autenticazione del destinatario

Autenticazione tramite e-mail

Adobe Sign usa l’e-mail come metodo di autenticazione predefinito a un fattore, soddisfacendo i requisiti di firma elettronica legale ai sensi dell’ESIGN Act. Questo metodo è sufficiente per le esigenze di molti clienti.

La verifica tramite e-mail richiede che il destinatario:

  • Acceda all’accordo dalla propria casella di posta elettronica
  • Faccia clic sul collegamento presente nell’e-mail per accedere alla visualizzazione dell’accordo
  • Completi tutte le azioni richieste (compilazione dei campi del modulo, firma) nell’accordo
  • Faccia clic sul pulsante finale Fai clic per firmare per completare l’azione del destinatario

L’accesso al collegamento e-mail rappresenta una misura di identificazione sufficientemente affidabile, poiché tutti gli indirizzi e-mail sono univoci e l’accesso alla casella di posta elettronica è autenticato tramite password.

Le integrazioni o le azioni che ignorano la notifica e-mail a un destinatario dovrebbero includere un metodo di autenticazione a due fattori adatto per la conformità.


Autenticazione a due fattori (2FA)

Adobe Sign supporta diversi metodi di autenticazione a due fattori per transazioni di valore più elevato che richiedono più di una semplice verifica tramite e-mail.

Il metodo di autenticazione è solitamente dettato dal tipo di documento o di settore delle parti interessate. Spetta all’amministratore analizzare i requisiti interni in materia di firma e le eventuali esigenze di conformità.

Di seguito è riportato un riepilogo delle opzioni di autenticazione a due fattori disponibili con i rispettivi collegamenti a ulteriori informazioni.

Con l’autenticazione del firmatario tramite password, il mittente deve digitare la password (due volte).

  • Le password possono contenere solo caratteri alfanumerici. Non possono contenere caratteri speciali.
  • Il mittente deve comunicare la password al firmatario tramite un canale esterno.
  • La password non viene memorizzata in chiaro in alcuna area dell’applicazione. Se la password viene persa, non può essere recuperata e il mittente dovrà reimpostarla.

Ai destinatari viene richiesto di immettere la password prima di poter visualizzare il contenuto dell’accordo:

Autenticazione tramite password

L’autenticazione Adobe Sign richiede al destinatario l’autenticazione nel sistema Adobe Sign.

Questo metodo viene utilizzato principalmente come opzione di controfirma a “bassa complessità” per i destinatari interni quando si dispone di requisiti di firma che richiedono un evento registrato/autenticato per ogni firma.

Attenzione:

Prestare attenzione prima di assegnare l’ autenticazione Adobe Sign ai destinatari esterni.

  • I destinatari interni (per definizione) sono utenti attivi di Adobe Sign, pertanto possono autenticarsi senza problemi.
  • I destinatari esterni potrebbero disporre già di un ID utente Adobe Sign attivo, ma se così non fosse, dovranno registrare e verificare un nuovo ID utente prima dell’autenticazione.

 

I destinatari devono autenticarsi in Adobe Sign prima di poter visualizzare il contenuto dell’accordo:

Autenticazione Adobe Sign

Con l’autenticazione tramite telefono, viene inviato sul telefono cellulare del mittente un codice a sei cifre da immettere per poter accedere all’accordo.

  • Il numero di telefono del destinatario deve essere immesso durante la creazione dell’accordo da parte del mittente.
  • Se il destinatario delega la sua firma, verrà chiesto di fornire un numero di telefono valido per il nuovo destinatario. È necessario fornire un numero di telefono corretto, in caso contrario, l’autenticazione non avrà esito positivo.
  • Il destinatario può selezionare SMS (per i cellulari che possono ricevere SMS) o Chiamata telefonica (se non è disponibile un telefono con supporto di SMS).
    • Il codice di autenticazione resta valido per 10 minuti dopo l’invio.

Il destinatario richiede il codice e deve immetterlo prima di visualizzare il contenuto dell’accordo:

Autenticazione tramite telefono

L’autenticazione basata su conoscenza è un metodo di autenticazione di livello avanzato utilizzato principalmente dagli istituti finanziari e in altri scenari in cui è richiesta una verifica avanzata dell’identità del firmatario.

Al destinatario viene richiesto di immettere informazioni personali, che vengono utilizzate per raccogliere diverse domande non banali sul passato (utilizzando database pubblici). Per poter accedere all’accordo sarà quindi necessario rispondere correttamente a ogni domanda.

Il metodo KBA è valido solo per i destinatari che si trovano negli Stati Uniti.

Autenticazione KBA

L’autenticazione tramite documento di identità richiede al destinatario di fornire un’immagine di un documento emesso da un ente pubblico (patente di guida, passaporto) e un selfie per definire un record di verifica valido.

I destinatari devono fornire inizialmente un numero di telefono di uno smartphone e quindi seguire il processo di caricamento del documento e di selezione delle immagini del selfie:

Autenticazione con documento di identità


Metodi di autenticazione del firmatario Premium (a pagamento)

Telefono, KBA e Documento di identità sono metodi di autenticazione premium (a pagamento).

I metodi di autenticazione premium (a pagamento) sono risorse soggette a misurazione che devono essere acquistate prima dell’uso. Per ulteriori informazioni, rivolgiti al tuo Success Manager o agente commerciale.

Nota:

I nuovi account di livello Enterprise e Business ricevono 50 transazioni gratuite per l’autenticazione tramite Telefono e KBA al lancio dell’account.


Soglie di annullamento automatico

Tutti i metodi di autenticazione a due fattori prevedono la configurazione di una soglia il cui superamento da parte del destinatario determina l’annullamento dell’accordo.

  • Il proprietario dell’accordo (mittente) riceverà la notifica che l’accordo è stato annullato.
    • La notifica viene inviata solo al mittente.
    • Gli accordi annullati non possono essere ripristinati a uno stato attivo. È necessario creare un nuovo accordo.


Selezione di un metodo di autenticazione da parte dei mittenti

Durante la configurazione di un accordo, i mittenti possono selezionare un metodo di autenticazione da un menu a discesa disponibile a destra dell’indirizzo e-mail del destinatario.

Il metodo di autenticazione predefinito può essere configurato da un amministratore per semplificare il processo di invio. Se necessario, è possibile rendere disponibili altre opzioni.

Interfaccia utente del mittente


Esperienza del destinatario

In genere, un destinatario viene prima informato di un accordo che richiede la sua attenzione tramite e-mail.

  • Se l’accordo viene inviato solo con autenticazione di tipo E-mail, facendo clic sul pulsante Rivedi e firma nel messaggio e-mail si apre l’accordo per la visualizzazione e l’azione.
  • Se per l’accordo è configurata l’autenticazione a due fattori, facendo clic sul pulsante Rivedi e firma nell’e-mail si apre la pagina di verifica mediante il secondo fattore di autenticazione.
    • Una volta soddisfatto il secondo requisito di verifica, l’accordo si apre per la visualizzazione e l’azione.
E-mail “Rivedi e firma”


Eventi del report di audit

Ogni metodo di autenticazione a due fattori prevede un messaggio di riuscita esplicito in cui è identificato il metodo utilizzato.

Con l’autenticazione tramite e-mail viene indicato semplicemente che il documento è stato firmato:

Report di audit per l’autenticazione dell’identità tramite e-mail


Opzioni configurabili e impostazioni predefinite

Controlli per l’amministratore

È possibile accedere alle impostazioni a livello di account accedendo come amministratore a livello di account Adobe Sign e passando a Impostazioni account > Impostazioni di invio > Metodi di autenticazione identità.

I controlli sono suddivisi in due sezioni:

  • Metodi di autenticazione dell’identità: la serie principale di impostazioni di autenticazione dell’identità. Questi valori vengono applicati a tutti i destinatari di tutti gli accordi creati nel gruppo di invio con le seguenti eccezioni:
    • Processi basati su API, che possono limitare le opzioni del mittente (integrazioni, flussi di lavoro, applicazioni personalizzate)
    • Abilitazione di un diverso metodo di autenticazione dell’identità per i destinatari interni (vedi di seguito)
  • Autenticazione dell’identità per i destinatari interni: questo sottoinsieme di impostazioni consente al gruppo di definire un insieme diverso di metodi di autenticazione dell’identità per i destinatari interni. Questa caratteristica offre i seguenti vantaggi:
    • Un livello di complessità inferiore per i firmatari interni
    • Un processo di firma meno complesso e più rapido per chi deve controfirmare numerosi accordi
    • Nessun costo per l’autenticazione premium (a pagamento) per i destinatari interni
Metodi di autenticazione dell’identità nell’interfaccia utente dell’amministratore


Metodi di autenticazione identità

Controlli di autenticazione principali:

  • Richiedi ai mittenti di specificare uno dei metodi di autenticazione abilitati: se questa opzione è abilitata, è necessario selezionare un metodo di autenticazione a due fattori come predefinito. L’e-mail non è una scelta possibile.
  • Consenti ad Adobe Sign di compilare automaticamente l’indirizzo e-mail dei firmatari per ogni richiesta di autenticazione: questa impostazione si applica solo al metodo di autenticazione Adobe Sign. Se questa opzione è abilitata, l’indirizzo e-mail del destinatario viene automaticamente inserito nel punto che richiede l’autenticazione.
  • Non chiedere al firmatario di autenticarsi di nuovo se ha già eseguito l’accesso ad Adobe Sign: questa impostazione si applica solo al metodo di autenticazione Adobe Sign. Se questa opzione è attivata, i firmatari non vengono invitati a eseguire nuovamente l’autenticazione se sono già connessi ad Adobe Sign.
  • Abilita i seguenti metodi di autenticazione dell’identità per i destinatari: precede l’elenco delle opzioni di autenticazione a due fattori disponibili per i mittenti. Seleziona una o più opzioni in base alle esigenze di sicurezza e conformità.
  • Per impostazione predefinita, usa il seguente metodo: questa opzione permette di impostare il metodo di autenticazione predefinito da inserire quando un destinatario viene aggiunto a un nuovo accordo.
  • Consenti ai mittenti di modificare il metodo di autenticazione predefinito: se selezionata, il mittente può selezionare qualsiasi metodo consentito per il gruppo da cui si sta inviando.
    • Se è deselezionata, potrà essere usato solo il metodo di autenticazione predefinito.


Autenticazione dell’identità per destinatari interni

I controlli per i destinatari interni forniscono le opzioni da applicare ai destinatari interni:

  • Consentire metodi di autenticazione dell’identità diversi per i destinatari interni: se questa opzione è attivata, i destinatari interni vengono trattati come un’eccezione rispetto alle regole di autenticazione principali e vengono invece visualizzate le opzioni di autenticazione/valore predefinite configurate nella sezione di autenticazione identità per destinatari interni.
  • Abilita i seguenti metodi di autenticazione dell’identità per i destinatari: questa opzione consente di definire l’elenco di opzioni disponibili per l’autenticazione dei destinatari. Seleziona una o più opzioni in base alle esigenze di sicurezza e conformità.
    • L’autenticazione Adobe Sign offre un metodo di autenticazione rapido per i mittenti che sono anche controfirmatari.
  • Per impostazione predefinita, usa il seguente metodo: stabilisce il metodo predefinito inserito per i destinatari interni quando viene creato un nuovo accordo.
  • Consenti ai mittenti di modificare il metodo di autenticazione predefinito: con questa opzione è possibile consentire al mittente di cambiare il metodo di autenticazione predefinito, impostando un’altra delle opzioni abilitate dall’amministratore.


Configurazione a livello di gruppo

Ogni gruppo di un account eredita le impostazioni di autenticazione predefinite dalle impostazioni a livello di account.

Ogni gruppo ha la possibilità di sostituire le impostazioni ereditate dell’account per modificare i valori predefiniti e le opzioni disponibili per gli accordi generati in tale gruppo.

È possibile accedere ai controlli di amministrazione a livello di gruppo per l’autenticazione dell’identità effettuando l’accesso come Amministratore di Adobe Sign:

Per gli amministratori a livello di gruppo che non dispongono di accesso a livello di account:

  • Passa a Gruppo utenti > Impostazioni di invio
  • Seleziona la casella Ignora impostazioni account per questa pagina.
    • Selezionando questa casella, il gruppo può interrompere l’ereditarietà dalle impostazioni a livello di account e sostituire i valori selezionati in modo esplicito per il gruppo. Gli aggiornamenti dei valori di impostazione a livello di account non verranno più ereditati.
    • Se l’opzione per ignorare le impostazioni non viene visualizzata, significa che le impostazioni dell’amministratore a livello di account hanno eliminato l’autorità di modifica del gruppo.
  • Scorri fino alla sezione Metodi di autenticazione dell’identità e configura le impostazioni in base alle esigenze.
Navigazione per gli amministratori dei gruppi

  • Passa alla scheda Gruppi.
  • Fai clic sul gruppo per visualizzare i collegamenti delle azioni nella parte superiore dell’elenco.
  • Fai clic sul collegamento Impostazioni gruppo.
    • Viene caricato il menu delle impostazioni per il gruppo.
  • Seleziona Impostazioni di invio dalle opzioni del menu a sinistra.
  • Seleziona la casella Ignora impostazioni account per questa pagina.
    • Selezionando questa casella, il gruppo può interrompere l’ereditarietà dalle impostazioni a livello di account e sostituire i valori selezionati in modo esplicito per il gruppo. Gli aggiornamenti dei valori di impostazione a livello di account non verranno più ereditati.
    • Se l’opzione per ignorare le impostazioni non viene visualizzata, significa che le impostazioni dell’amministratore a livello di account hanno eliminato l’autorità di modifica del gruppo.
  • Scorri fino alla sezione Metodi di autenticazione dell’identità e configura le impostazioni in base alle esigenze.
Accesso per gli amministratori ai controlli dei gruppi


Eccezione del modulo web per l’autenticazione dell’identità

I moduli web vengono usati per numerosi casi d’uso e spesso hanno requisiti di autenticazione di livello inferiore.  

Per gli account/gruppi che non richiedono l’autenticazione delle firme dei moduli web, è possibile configurare l’opzione per disabilitare la verifica tramite e-mail:

  • Passa a: Impostazioni account > Impostazioni globali > Moduli web (per le impostazioni a livello di account)
    • Modifica le impostazioni Gruppo: {Nome gruppo} > Impostazioni gruppo > Moduli web (per le impostazioni a livello di gruppo)
  • Deseleziona l’opzione Richiedi al firmatario di verificare il suo indirizzo e-mail per accettare firme di moduli web senza verifica.
    • La rimozione dell’obbligo di verifica della firma del modulo web non elimina l’obbligo di fornire un indirizzo e-mail da parte del firmatario.
Controlli del modulo web


Best practice e considerazioni

  • Tutti i metodi e le opzioni di autenticazione possono essere configurati a livello account e di gruppo
  • Tutti i gruppi ereditano i valori predefiniti dalle impostazioni a livello di account. Progetta le impostazioni a livello di account per sfruttare al meglio l’ereditarietà automatica della proprietà, riducendo al minimo la configurazione successiva del gruppo.
  • Gli accordi derivano le opzioni di autenticazione dal gruppo da cui viene inviato l’accordo. Se non sono visualizzate le opzioni previste, controlla le impostazioni a livello di gruppo.
  • Verifica i requisiti di autenticazione dell’identità e per l’eventuale conformità alle normative per i tipi di documenti che stai inviando. Se è richiesta l’autenticazione premium (a pagamento), assicurati di aver acquistato un volume sufficiente per il traffico previsto.
  • Verifica se sono presenti flussi di firma che potrebbero richiedere autenticazioni a due fattori, ad esempio:
    • Firme ospitate
    • Soluzioni personalizzate progettate per sopprimere le notifiche e-mail (ad esempio, Workday)
    • Flussi di firma che richiedono firme valide da due o più destinatari utilizzando lo stesso indirizzo e-mail (condiviso)
  • Valuta se/dove è utile disporre di diversi standard di autenticazione per i destinatari interni.
  • Gli account con accesso a flussi di lavoro personalizzati possono definire metodi di autenticazione molto precisi per ciascun flusso di firma, consentendo un valore predefinito di minore complessità (e volume potenzialmente più elevato), garantendo al tempo stesso la conformità nei processi di firma critici.
  • Tieni presente che i singoli metodi di autenticazione devono essere abilitati prima che diventino disponibili per altri servizi. L’abilitazione di un metodo lo espone per:
    • Altri controlli amministrativi, come le Impostazioni di sicurezza per i metodi di autenticazione a due fattori
    • Utenti da selezionare durante il processo di invio standard
    • I flussi di lavoro personalizzati, creati nel modulo di creazione di flussi di lavoro
    • Eventi di invio basati su API
    • Accesso alle integrazioni (Dynamics, Salesforce)
Logo Adobe

Accedi al tuo account