개요
Adobe Acrobat Sign Digital Identity Gateway를 사용하면 다양한 사전 구성 타사 디지털 신원 공급자(IDP) 중에서 선택하여 조직의 기능, 보안 또는 규정 준수 요구에 가장 적합한 신원 확인 유형을 활용할 수 있습니다. 사용자 인증, 서명자 신원 확인 및 신원 페더레이션 솔루션용 IDP 서비스는 표준 OpenID Connect(OIDC) 인증 프로토콜을 사용해 Acrobat Sign과 통합합니다. 선택한 IDP에 따라 서비스에 다음이 포함될 수 있습니다.
- 비디오 신원 확인
- 전자 신원(eID) 인증
- 신원 문서 확인
- 지식 기반 인증(KBA)
- 생체 인식, 인증
대부분의 IDP 서비스는 AAL3까지의 다단계 인증 솔루션, IAL3까지의 ID 확인 옵션, FAL3까지의 페더레이션 어설션에 대한 NIST 800-63A/B/C 표준을 충족합니다. 일부 IDP 서비스도 ISO 29115 LoA4 및/또는 EU Regulation 910/2014(eIDAS)에서 LoA High까지 충족합니다.
모든 IDP 서비스는 조직에서 사용 사례에 대해 충분한 양의 IDP 서비스 트랜잭션을 유지할 수 있도록 지속적인 모니터링과 함께 사용하려면 먼저 공급자와의 상업 계약과 구성이 필요합니다.
인증 트랜잭션의 조달, 소비 및 보고
신원 제공자는 Acrobat Sign 라이선스에 포함되지 않으며, Adobe는 구성 가능한 다양한 IDP로부터 식별 서비스를 조달하기 위한 상용 채널을 제공하지 않습니다.
각자 선택한 IDP로 충분한 양의 신원 트랜잭션을 획득하고 유지하는 것은 고객의 의무입니다.
IDP는 트랜잭션이 소비 및 청구되는 방식에 대한 명확한 지침을 제공하고 소비/가용성을 고객에게 직접 보고합니다.
수신자 경험
다른 계약서와 마찬가지로 Acrobat Sign 서명 프로세스를 통해 고객에게 검토 및 서명 이메일이 전달됩니다.
수신자가 검토 및 서명 버튼을 선택하여 계약서를 열면, 문서에 액세스하려면 신원 확인이 필요함을 나타내는 정보 대화 상자가 표시됩니다. 구성된 설정에 따라 고객에게 다음이 표시됩니다.
- 확인 프로세스에 대한 대략적인 요약.
- 신원 확인을 수행하는 IDP의 이름 및 로고.
- 확인 프로세스에 문제가 있는 경우 IDP 지원 팀에 문의하기 위한 이메일 및 전화 번호.
- 수신자가 연락해야 하는 경우를 대비하여 계약을 전송한 Acrobat Sign 사용자의 이메일 주소.
- 수신자의 신원 데이터가 서명자 신원 보고서에 저장된다는 진술(전송자의 계정이 그렇게 하도록 구성된 경우).
- 계약이 취소되기 전에 수신자가 사용할 수 있는 남은 확인 시도 횟수에 대한 경고 메시지. 이 메시지는 수신자가 식별 프로세스를 시도했지만 실패한 후에만 나타납니다.
- 신원 확인 버튼은 팝업 화면을 열고 프로세스를 IDP로 전달하여 확인 프로세스를 트리거합니다.
- 수신자의 확인 프로세스 경험과 수행할 확인 유형은 발신자가 선택한 신원 제공자에 따라 달라집니다.
확인 프로세스가 성공적으로 완료되면 수신자는 Acrobat Sign 창으로 돌아가고 계약이 해당 사용자에게 표시됩니다.
발신자 경험
새 계약을 작성할 때 신원 제공자 선택
발신자의 계정 또는 그룹에 대해 하나 이상의 IDP가 구성되고 활성화되면 수신자가 사용할 수 있는 모든 인증 방법이 포함된 IDP 선택 옵션이 드롭다운 메뉴에 표시됩니다. 활성화된 IDP는 디지털 신원 게이트웨이 섹션 아래에 나열됩니다. IDP가 활성화되지 않은 경우 디지털 신원 게이트웨이 섹션이 나타나지 않으며 사용자는 IDP를 볼 수 없습니다.
메뉴 목록의 IDP 위에 커서를 놓으면 IDP 서비스에 대한 간단한 설명을 제공하는 툴팁이 표시됩니다.
계약이 전송된 후 IDP 업데이트
사용자가 다른 IDP(또는 다른 인증 방법)를 선택하기 위해 인증을 업데이트해야 하는 경우 사용자는 동일한 프로세스를 사용하여 인증 방법을 편집할 수 있습니다.
사용자가 디지털 신원 게이트웨이에서 다른 IDP를 선택하도록 강제하지 않습니다. 다른 활성화된 인증 방법을 선택할 수 있습니다.
감사 보고서
감사 보고서는 수신자가 디지털 신원 게이트웨이에서 신원 제공자에 의해 확인되었음을 명확하게 나타내며, 관련된 IDP 및 해당 서비스에 대한 설명을 지정합니다.
서명자 신원 보고서(SIR)
기본적으로 Acrobat Sign은 IDP에서 반환한 신원 정보를 보존하지 않습니다. 그러나 계정 및 그룹 관리자는 Acrobat Sign 서버에 신원 정보를 저장하는 옵션을 활성화할 수 있습니다.
또한 관리자는 계정 및 그룹 수준에서, 사용자가 사용 가능한 작업 목록에서 관리 페이지의 신원 보고서를 다운로드하는 옵션을 구성할 수 있습니다.
서명자 신원 보고서에는 신원 확인 트랜잭션에 성공할 때 IDP가 반환하는 모든 ID 정보와 트랜잭션에 실패할 때의 관련 데이터가 포함됩니다. 콘텐츠는 공급업체 및 인증 방법에 따라 다릅니다. 일반적인 데이터에는 다음이 포함됩니다.
- 참조 ID: IDP 엔드에서 발생한 트랜잭션의 고유 식별자입니다. 지원 요청과 포렌식 분석 시 유용합니다.
- sub (주체 식별자): IDP 시스템 컨텍스트에서 수신자용 고유 식별자를 제공합니다.
- ID 토큰 원시 값: 신원 확인 프로세스의 결과를 포함해 IDP가 서명하는 어설션을 제공합니다. 현재 트랜잭션의 컨텍스트에서 신원이 확인되었음을 증명합니다.
서명자 신원 보고서에 대한 자세한 내용은 이 페이지를 참조하십시오.
IDP를 신원 확인으로 사용하기 위한 구성 액세스
관리 메뉴의 디지털 신원 탭에서 인증 방법을 활성화합니다.
이 보기에는 세 개의 상위 수준 설정이 있으며, 사용 가능한 IDP의 전체 목록은 페이지의 하단에 채워져 있습니다.
- 디지털 신원 게이트웨이 - 이 설정은 디지털 신원 서비스에 대한 액세스를 허용하는 게이트입니다.
- 서명자가 계약을 취소하기 전에 X회의 서명 유효성 검사를 시도하도록 허용 - 신원 확인 최대 시도 횟수를 위반하는 모든 수신자의 계약은 자동으로 취소됩니다.
- 최대 시도 횟수는 10회입니다.
- 이 값을 설정할 때 IDP의 트랜잭션 소비 정책의 특성을 이해합니다. 일부 공급업체는 시도당 요금을 부과합니다.
- 서명자 신원 보고서를 사용할 수 있도록 확인된 신원 데이터 저장
- 활성화하면 신원 확인 정보가 Acrobat Sign 서버에 저장되며 SIR을 사용하여 검색할 수 있습니다.
- 비활성화하면 신원 정보가 Acrobat Sign 서버에 저장되지 않습니다.
- 설정을 활성화하고 저장하면 데이터 수집이 시작됩니다. 마찬가지로 설정을 비활성화하고 저장하는 즉시 데이터 수집이 중지됩니다.
- 수신자가 검증될 때 수집되지 않은 데이터는 나중에 수집할 수 없습니다.
- 서명자가 계약을 취소하기 전에 X회의 서명 유효성 검사를 시도하도록 허용 - 신원 확인 최대 시도 횟수를 위반하는 모든 수신자의 계약은 자동으로 취소됩니다.
관련 컨트롤
사용자가 서명자 신원 보고서를 다운로드하도록 허용하려면 두 가지 추가 설정을 검토해야 합니다.
사용자가 SIR을 다운로드할 수 있게 하려면 계정 또는 그룹 수준에서 명시적으로 액세스를 활성화해야 합니다.
- 계정 설정 > 전송 설정 > 서명자 식별 옵션으로 이동합니다.
- 활성화 발신자가 확인된 서명이 포함된 계약에 대한 서명자 신원 보고서를 다운로드할 수 있도록 허용을 활성화합니다.
- 페이지 구성을 저장합니다.
이 설정은 디지털 신원 제공자에 대한 SIR을 활성화합니다.
정부 발급 신분증이 사용하는 설정과 동일하지 않습니다.
신원 보고서를 다운로드할 때 사용자는 암호를 사용하여 PDF를 보호해야 합니다.
기밀 PII 문서에 대한 회사 정책에 따라 PDF 암호에 대한 보안 정책을 설정합니다.
- 계정 설정 > 보안 설정 > 문서 암호 강화로 이동합니다.
- 적절한 복잡도를 설정합니다.
- 페이지 구성을 저장합니다.
개별 IDP 구성
디지털 신원 페이지 아래에 IDP “카드”가 있습니다. 각 카드는 IDP의 인증 방법을 하나 이상 나타냅니다.
IDP 카드를 활성화하려면 기어 아이콘을 클릭합니다.
Adobe Okta IDP는 이 설명서에서 예시용으로만 사용됩니다. 고객은 이 IDP에 대한 액세스 권한이 없습니다.
필요에 따라 계정 및/또는 그룹 수준에서 하나의 IDP를 구성할 수 있습니다. 그룹 수준 설정의 상속 상태에 대한 컨텍스트를 제공하기 위해 인터페이스가 약간 변경됩니다.
계정 수준에서 인터페이스는 확인을 위해 이 서비스 활성화 확인란만 활성화하면 됩니다.
확인을 위해 이 서비스 활성화 확인란이 선택되지 않았고 그룹 수준에서 IDP 구성을 볼 때 줄이 회색으로 표시되면 계정 수준 IDP 서비스가 구성되지 않은 것입니다.
그룹 수준 구성으로 계정 설정 재정의 확인란을 선택하여 그룹 수준 구성을 활성화할 수 있습니다.
그룹 수준에서 IDP 구성을 볼 때 확인을 위해 이 서비스 활성화 확인란의 선택을 취소하면 계정 수준 IDP 서비스가 구성됩니다.
그룹 수준 구성으로 계정 설정 재정의 확인란을 선택하여 그룹 수준 구성을 활성화하고 그룹별 매개변수로 정의할 수 있습니다.
확인을 위해 이 서비스 활성화 및 그룹 수준 구성으로 계정 설정 재정의 확인란을 선택하면 IDP 서비스가 그룹에 대해 명시적으로 구성됩니다.
IDP 구성 요구 사항은 IDP가 사용하는 인증 방법에 따라 다릅니다.
기본 인증에는 IDP가 제공하는 두 가지 요소가 필요합니다.
- 클라이언트 ID
- 클라이언트 암호
완료 시 구성을 저장합니다.
개인 키 JWT에는 IDP가 제공할 세 가지 요소가 필요합니다.
- 클라이언트 ID
- 서명 인증서(.p12 또는 .pfx 형식).
- 서명 인증서를 보호하는 데 사용되는 암호.
완료 시 구성을 저장합니다.
클라이언트 암호 사후 인증에는 IDP가 제공하는 두 가지 요소가 필요합니다.
- 클라이언트 ID
- 클라이언트 암호
완료 시 구성을 저장합니다.
클라이언트 암호 JWT 인증에는 IDP가 제공하는 두 가지 요소가 필요합니다.
- 클라이언트 ID
- 클라이언트 암호
완료 시 구성을 저장합니다.
구성된 IDP 활성화/비활성화
IDP 카드의 구성 정보를 삭제하지 않고 왼쪽 상단 모서리에 있는 확인란 아이콘을 누르고 페이지 구성을 저장하여 IDP 서비스를 비활성화할 수 있습니다. 이 방법으로 IDP 서비스를 비활성화하면 나중에 IDP를 다시 활성화해야 하는 경우 구성 정보가 유지됩니다.
IDP 서비스를 이 방법으로 비활성화해도 정보가 손실되므로 문제가 발생하지 않으며 확인란을 다시 누르고 페이지 구성을 저장하면 서비스를 빠르게 다시 활성화할 수 있습니다.
IDP 구성 삭제
IDP 카드의 휴지통 아이콘을 눌러 디지털 신원 패널에서 바로 IDP 구성을 삭제할 수 있습니다.
대화 상자가 표시되면 관리자가 구성을 삭제해야 하는지 확인합니다.
이 대화 상자에서는 IDP를 사용한 인증을 아직 완료하지 않은 수신자에게 미치는 영향에 대해서도 경고합니다.
IDP 구성이 삭제되거나 서비스가 비활성화되면 수신자가 ID를 확인하려고 할 때 오류가 표시됩니다.
알아야 할 사항
수신자가 신원을 확인하려고 할 때 어떤 이유로든 IDP 서비스가 비활성화되면 서비스가 비활성화되었다는 기본 메시지와 계약 발신자에게 문의하라는 지침을 제공하는 오류가 생성됩니다. 발신자의 이메일 주소가 제공됩니다.
IDP 서비스에 문제가 있다는 알림을 받은 발신자는 새 IDP 또는 기타 허용되는 방법으로 인증 방법을 변경해야 할 수 있습니다.
현재는 내부 수신자에게 다른 IDP 서비스를 적용하는 기능을 사용할 수 없습니다.
내부 수신자에 대해 다른 신원 인증 방법을 활성화 설정이 활성화된 경우 Digital Identity Gateway 기능이 완전히 비활성화됩니다.