Guide d'utilisation Annuler

Passerelle d’identités numériques

 

Guide Adobe Acrobat Sign

Nouveautés

Commencer

Administration

Envoi, signature et gestion des accords

Fonctionnalités et workflows d’accord avancés

Intégration à d’autres produits

Développeur Acrobat Sign

Assistance et dépannage

Présentation

La Passerelle d’identités numériques d’Adobe Acrobat Sign permet aux organisations de choisir parmi une large gamme de fournisseurs d’identités numériques (IDP) tiers préconfigurés et d’exploiter le type de vérification d’identité le mieux adapté à leurs besoins fonctionnels, de sécurité ou de conformité. Les services d’IDP pour l’authentification des utilisateurs, la vérification de l’identité des signataires et les solutions de fédération d’identité utilisent la norme de protocole d’authentification OpenID Connect (OIDC) pour l’intégration à Acrobat Sign. En fonction de l’IDP sélectionné, le service peut inclure les éléments suivants :

  • Vérification d’identité vidéo
  • Authentification par pièce d’identité électronique (eID)
  • Confirmation du document d’identité
  • Authentification basée sur les connaissances (KBA)
  • Identification et authentification biométriques

La plupart des services d’IDP respectent les normes NIST 800-63A/B/C pour les solutions d’authentification multifactorielle jusqu’à AAL3, les options de vérification d’identité jusqu’à IAL3, ainsi que l’affirmation de fédération jusqu’à FAL3. Certains services d’IDP respectent également les normes ISO 29115 LoA4 et/ou le règlement de l’UE 910/2014 (eIDAS) jusqu’à LoA High.

Tous les services d’IDP nécessitent un contrat commercial et une configuration avec le fournisseur avant d’être utilisés, ainsi qu’une surveillance permanente pour s’assurer que votre organisation conserve un volume suffisant de transactions de service IDP pour vos cas d’utilisation.

Achats, consommation et rapports des transactions d’authentification

Les fournisseurs d’identité ne sont pas inclus dans la licence d’Acrobat Sign, et Adobe ne propose pas de canal commercial pour obtenir des services d’identification auprès des différents FI pouvant être configurés. 

Il incombe au client d’acquérir et de maintenir un volume suffisant de transactions d’identité avec le FI de son choix. 

Le FI fournit des indications claires sur la manière dont les transactions sont consommées et facturées et signale la consommation/disponibilité directement au client. 

Expérience du destinataire

Le processus de signature d’Acrobat Sign permet au client de recevoir un e-mail Vérifier et signer comme tout autre accord.

Lorsque le destinataire sélectionne le bouton Vérifier et signer pour ouvrir l’accord, une boîte de dialogue d’informations lui indiquant que la vérification d’identité est requise pour accéder au document s’affiche. En fonction des paramètres configurés, le client voit

  • Un résumé global du processus de vérification.
  • Le nom et le logo du FI qui effectue la vérification d’identité.
  • Une adresse e-mail et un numéro de téléphone pour contacter l’assistance du FI en cas de problème lié au processus de vérification.
  • L’adresse e-mail de l’utilisateur d’Acrobat Sign qui a envoyé l’accord, au cas où le destinataire aurait besoin de le contacter.
  • Une instruction indiquant que les données d’identité du destinataire seront stockées dans le rapport d’identité du signataire (si le compte de l’expéditeur est configuré à cet effet).
  • Un message d’avertissement indiquant le nombre de tentatives de vérification restantes disponibles pour le destinataire avant l’annulation de l’accord. Ce message s’affiche uniquement après que le destinataire a essayé le processus d’identification et a échoué.
  • Le bouton Vérifier l’identité déclenche le processus de vérification en ouvrant un écran contextuel et en transférant le processus au FI.
    • L’expérience du processus de vérification du destinataire et le type de vérification à effectuer dépendent du fournisseur d’identité sélectionné par l’expéditeur.

Une fois le processus de vérification terminé avec succès, le destinataire est renvoyé à la fenêtre Acrobat Sign, et l’accord est présenté à son attention.

Message d’authentification du destinataire

Expérience de l’expéditeur

Choix du fournisseur d’identité lors de la création d’un nouvel accord

Lorsqu’un ou plusieurs FI sont configurés et activés pour le compte ou le groupe de l’expéditeur, les utilisateurs voient l’option permettant de sélectionner le FI dans le menu déroulant qui contient toutes les méthodes d’authentification disponibles pour le destinataire. Les FI activés sont répertoriés dans la section Passerelle d’identités numériques. Si aucun FI n’est activé, la section Passerelle d’identités numériques n’est pas présente et l’utilisateur ne voit aucun FI.

Placer le curseur sur un FI dans la liste de menus affiche une info-bulle qui fournit une brève description du service FI.

Sélection de la méthode d’authentification

Mise à jour du FI après l’envoi de l’accord

Si un utilisateur doit mettre à jour l’authentification pour sélectionner un autre FI (ou toute autre méthode d’authentification), il peut utiliser le même processus pour modifier la méthode d’authentification.

L’utilisateur n’est pas obligé de sélectionner un autre FI à partir de la passerelle d’identités numériques. Toute autre méthode d’authentification activée peut être sélectionnée.

Modification de la méthode d’authentification

Rapport d’audit

Le rapport d’audit indique clairement que le destinataire a été vérifié par un fournisseur d’identité à partir de la passerelle d’identités numériques et spécifie le FI impliqué ainsi qu’une description de son service :

Rapport d’audit

Rapport d’identité du signataire (SIR)

Par défaut, Acrobat Sign ne conserve pas les informations d’identité renvoyées par le FI. Toutefois, les administrateurs de compte et de groupe peuvent activer l’option permettant d’enregistrer les informations d’identité sur les serveurs d’Acrobat Sign.

En outre, les administrateurs peuvent configurer, au niveau du compte et du groupe, l’option permettant aux utilisateurs de télécharger le rapport d’identité sur la page Gérer à partir de la liste des actions disponibles.

Téléchargement du SIR sur la page Gérer

Le rapport d’identité du signataire contient toutes les informations d’identité renvoyées par l’IDP lorsque la transaction de vérification d’identité aboutit, ainsi que les données pertinentes lorsqu’une transaction échoue. Le contenu varie en fonction du fournisseur et de la méthode d’authentification. Les données courantes comprennent les éléments suivants :

  • ID de référence : identifiant unique de la transaction qui s’est produite du côté de l’IDP. Utile pour les demandes d’assistance et les analyses médico-légales.
  • sub (Identifiant du sujet) : fournit un identifiant unique pour le destinataire dans le contexte du système d’IDP.
  • Valeur brute du token d’identification (ID Token Raw) : fournit une affirmation signée par l’IDP contenant le résultat du processus d’identification. Preuve que l’identité a été vérifiée dans le contexte de la transaction en cours.
Téléchargement du SIR sur la page Gérer

Pour plus d’informations sur le rapport d’identité du signataire, consultez cette page > 

Accès à la configuration pour utiliser des FI comme vérification d’identité

Activez la méthode d’authentification sous l’onglet Identité numérique du menu Administrateur.

Il existe trois paramètres de niveau supérieur dans cette vue, la liste complète des FI disponibles occupant le bas de la page.

  • Passerelle d’identités numériques : ce paramètre est la porte qui permet l’accès aux services d’identité numérique.
    • Autoriser les signataires à effectuer X tentatives de validation de leur signature avant d’annuler l’accord : tout destinataire qui enfreint le nombre maximal de tentatives de validation de son identité annule automatiquement l’accord.
      • Le nombre maximal de tentatives est de dix.
      • Assurez-vous d’avoir bien compris la politique de consommation des transactions de votre FI lors de la définition de cette valeur. Certains fournisseurs facturent chaque tentative.
    • Stocker les données d’identité vérifiées pour autoriser les rapports d’identité des signataires
      •  Lorsque cette option est activée, les informations de vérification d’identité sont stockées sur les serveurs Acrobat Sign et peuvent être récupérées à l’aide du SIR.
      • Lorsque cette option est désactivée, les informations d’identité ne sont pas stockées sur les serveurs Acrobat Sign.
      • La collecte de données démarre dès que le paramètre est activé et enregistré. De même, elle s’arrête dès que le paramètre est désactivé et enregistré.
      • Les données qui ne sont pas collectées au moment où le destinataire est validé ne peuvent pas l’être ultérieurement.
Passerelle d’identités numériques

Lorsque la Passerelle d’identités numériques est activée, la méthode d’authentification de l’identité pour les destinataires internes via la Passerelle d’identités numériques est également activé. Cette option peut ne pas être désactivée lorsque la Passerelle d’identités numériques est activée.

Configuration du destinataire interne

Remarque :

Il n’est pas possible de configurer différents FI pour les destinataires externes et internes. Toutes les options disponibles dans l’Identité numérique sont disponibles pour les deux types de destinataires.

Contrôles associés

Deux paramètres supplémentaires sont à vérifier si vous souhaitez autoriser les utilisateurs à télécharger le rapport d’identité du signataire :

Configuration des FI individuels

Les « cartes » de FI se trouvent au bas de la page Identité numérique. Chaque carte représente une ou plusieurs méthodes d’authentification du FI.

Pour activer une carte de FI, cliquez sur l’icône d’engrenage :

Configuration de la carte de FI

Remarque :

Le FI Adobe Okta est utilisé dans cette documentation à titre d’exemple uniquement. Les clients n’ont pas accès à ce FI.

Un FI peut être configuré au niveau du compte et/ou du groupe, en fonction de vos besoins. L’interface change légèrement pour fournir un contexte sur le statut d’héritage du paramètre au niveau du groupe :

 

Les exigences de configuration du FI dépendent de la méthode d’authentification qu’il utilise :

Désactivation/Activation d’un FI configuré

Le service FI peut être désactivé sans supprimer les informations de configuration de la carte de FI en appuyant sur l’icône en forme de case à cocher dans le coin supérieur gauche et en enregistrant la configuration de la page. La désactivation d’un service FI de cette manière préserve les informations de configuration dans le cas où vous auriez besoin de réactiver le FI ultérieurement.

La désactivation d’un service FI de cette manière ne pose aucun problème puisque les informations sont perdues, et le service peut être rapidement réactivé en cochant à nouveau la case et en enregistrant la configuration de la page.

Désactivation/Activation de la carte de FI

Suppression de la configuration du FI

Une configuration de FI peut être supprimée directement à partir du panneau Identité numérique en appuyant sur l’icône de la corbeille sur la carte de FI.

Une boîte de dialogue invite l’administrateur à confirmer que la configuration doit être supprimée.

Cette boîte de dialogue vous avertit également de l’impact sur les destinataires qui n’ont pas encore terminé leur authentification auprès du FI.

Si la configuration du FI est supprimée ou si le service est désactivé, une erreur s’affiche pour le destinataire lorsqu’il tente de vérifier son identité.

Demande de suppression

Ce qu’il faut savoir