Gateway voor digitale identiteit

Overzicht

Met de Adobe Acrobat Sign Digital Identity Gateway kunnen organisaties kiezen uit een breed scala van vooraf geconfigureerde externe digitale identiteitsproviders (IDP) en het type identiteitsverificatie gebruiken dat het beste past bij hun functionele, beveiligings- of nalevingsbehoeften. IDP-services voor gebruikersauthenticatie, identiteitsverificatie van ondertekenaars en oplossingen voor identiteitsfederatie maken gebruik van het standaard OpenID Connect (OIDC)-authenticatieprotocol voor integratie met Acrobat Sign. Afhankelijk van de geselecteerde IDP kan de service het volgende omvatten:

  • Video-identiteitsverificatie
  • Elektronische identiteit (eID)-authenticatie
  • Bevestiging identiteitsdocument
  • KBA-verificatie op kennisbasis
  • Biometrische identificatie, verificatie

Veel IDP-services voldoen aan de NIST 800-63A/B/C-normen voor multifactor-authenticatieoplossingen tot AAL3, identiteitsverificatieopties tot IAL3, evenals federatieverklaring tot FAL3. Sommige IDP-diensten voldoen ook aan ISO 29115 LoA4 en/of EU-verordening 910/2014 (eIDAS) tot LoA High.

Alle IDP-services vereisen voorafgaand aan gebruik een commercieel contract en configuratie met de provider, samen met voortdurende monitoring om ervoor te zorgen dat uw organisatie voldoende IDP-servicetransacties aanhoudt voor uw gebruiksscenario's.

Aankoop, verbruik en rapportage van authenticatietransacties

Identiteitsproviders zijn niet opgenomen in de Acrobat Sign-licentie en Adobe biedt geen commercieel kanaal om identificatieservices te verkrijgen van de verschillende IDP's die kunnen worden geconfigureerd. 

Het is de plicht van de klant om voldoende identiteitstransacties met de IDP van zijn/haar keuze te verwerven en in stand te houden. 

De IDP zal duidelijke richtlijnen geven over hoe transacties worden verbruikt en gefactureerd, en het verbruik/beschikbaarheid rechtstreeks aan de klant rapporteren. 

Ontvanger ervaring

Via het Acrobat Sign-ondertekeningsproces ontvangt de klant een e-mail om te controleren en ondertekenen, evenals bij elke andere overeenkomst.

Wanneer de ontvanger de knop Controleren en ondertekenen selecteert om de overeenkomst te openen, krijgt deze een informatiedialoogvenster te zien waarin wordt aangegeven dat identiteitsverificatie vereist is om toegang te krijgen tot het document. Afhankelijk van de geconfigureerde instellingen ziet de klant het volgende:

  • Een samenvatting op hoog niveau van het verificatieproces.
  • De naam en het logo van de IDP die de identiteitsverificatie uitvoert.
  • Een e-mailadres en telefoonnummer om contact op te nemen met de IDP-ondersteuning als er een probleem is met het verificatieproces.
  • Het e-mailadres van de Acrobat Sign-gebruiker die de overeenkomst heeft verzonden, voor als de ontvanger contact moet opnemen.
  • Een verklaring dat de identiteitsgegevens van de ontvanger worden opgeslagen in het identiteitsrapport van de ondertekenaar (als het account van de afzender hiervoor is geconfigureerd).
  • Een waarschuwingsbericht over het aantal resterende verificatiepogingen dat de ontvanger nog heeft voordat de overeenkomst wordt geannuleerd. Dit bericht verschijnt pas nadat de ontvanger het identificatieproces heeft geprobeerd uit te voeren en dit is mislukt.
  • De knop Identiteit verifiëren activeert het verificatieproces door een pop-upscherm te openen en het proces over te dragen aan de IDP.
    • De ervaring van de ontvanger met het verificatieproces en het type verificatie dat moet worden uitgevoerd, zijn afhankelijk van de identiteitsprovider die de afzender heeft geselecteerd.

Zodra het verificatieproces is voltooid, keert de ontvanger terug naar het Acrobat Sign-venster en krijgt de overeenkomst te zien.

Ontvangersauthenticatiebericht

Ervaring van de afzender

De identiteitsprovider kiezen bij het opstellen van een nieuwe overeenkomst

Wanneer een of meer IDP's zijn geconfigureerd en ingeschakeld voor het account of de groep van de afzender, zien gebruikers de optie om de IDP te selecteren in het vervolgkeuzemenu dat alle beschikbare verificatiemethoden voor de ontvanger bevat. Ingeschakelde IDP's worden vermeld onder de sectie Digitale-identiteitsgateway. Als er geen IDP's zijn ingeschakeld, is het gedeelte Digitale-identiteitsgateway niet aanwezig en ziet de gebruiker geen IDP's.

Als u de muis boven een IDP in de menulijst houdt, wordt een tooltip weergegeven met een korte beschrijving van de IDP-service.

De verificatiemethode selecteren

De IDP bijwerken nadat de overeenkomst is verzonden

Als een gebruiker de verificatie moet bijwerken om een andere IDP (of een andere verificatiemethode) te selecteren, kan de gebruiker dezelfde procedure gebruiken om de verificatiemethode te bewerken.

De gebruiker is niet gedwongen om een andere IDP te selecteren in de Digitale-identiteitsgateway. U kunt elke andere ingeschakelde verificatiemethode selecteren.

Verificatiemethode bewerken

Controlerapport

Het controlerapport geeft duidelijk aan dat de ontvanger is geverifieerd door een identiteitsprovider van de Digitale-identiteitsgateway en geeft aan om welke IDP het ging met een beschrijving van hun service:

Controlerapport

Identiteitsrapport ondertekenaar (SIR)

Acrobat Sign bewaart standaard de identiteitsgegevens die worden geretourneerd door de IDP niet. Account- en groepsbeheerders kunnen echter de optie inschakelen om de identiteitsgegevens op Acrobat Sign-servers op te slaan.

Daarnaast kunnen beheerders op account- en groepsniveau de gebruikersoptie configureren voor het downloaden van het identiteitsrapport op de pagina Beheren in de lijst met beschikbare acties.

De SIR downloaden op de pagina Beheren

Het identiteitsrapport van de ondertekenaar bevat alle identiteitsinformatie die door de IDP wordt geretourneerd wanneer de identiteitsverificatietransactie slaagt, evenals relevante gegevens wanneer een transactie mislukt. De content is afhankelijk van de leverancier en de authenticatiemethode. Algemene gegevens omvatten:

  • Referentie-ID: een unieke identificatie van de transactie die plaatsvindt aan het einde van de IDP. Handig voor ondersteuningsverzoeken en forensische analyse.
  • sub (Subject Identifier): biedt een unieke identificatie voor de ontvanger in de context van het IDP-systeem.
  • ID Token Raw-waarde: geeft een bewering die is ondertekend door de IDP met het resultaat van het identificatieproces. Bewijs dat de identiteit is geverifieerd in het kader van de huidige transactie.
De SIR downloaden op de pagina Beheren

Voor meer informatie over het Signer Identity Report raadpleegt u deze pagina > 

Configuratietoegang om IDP 's te gebruiken als identiteitsverificatie

Schakel de verificatiemethode in op het tabblad Digitale identiteit in het beheerdersmenu.

In deze weergave zijn er drie instellingen op hoog niveau, met de volledige lijst van beschikbare IDP's onder aan de pagina.

  • Digitale identiteitgateway: deze instelling is de toegangspoort tot digitale identiteitsservices.
    • Geef ondertekenaars X pogingen om hun handtekening te valideren voordat ze de overeenkomst annuleren: elke ontvanger die het maximale aantal pogingen om zijn/haar identiteit te valideren overtreedt, annuleert automatisch de overeenkomst.
      • Het maximum aantal pogingen is tien
      • Begrijp de aard van het transactieverbruiksbeleid van uw IDP bij het instellen van deze waarde. Sommige leveranciers rekenen per poging.
    • Geverifieerde identiteitsgegevens opslaan om SIR-rapporten te kunnen maken
      •  Als deze optie is ingeschakeld, worden de gegevens van de identiteitsverificatie opgeslagen op Acrobat Sign-servers en kunnen deze worden opgehaald met behulp van de SIR.
      • Als dit is uitgeschakeld, worden de identiteitsgegevens niet opgeslagen op de Acrobat Sign-servers.
      • De gegevensverzameling begint zodra de instelling is ingeschakeld en opgeslagen. Zo stopt de gegevensverzameling ook zodra de instelling is uitgeschakeld en opgeslagen.
      • Gegevens die niet zijn verzameld op het moment dat de ontvanger wordt gecontroleerd, kunnen niet op een later tijdstip worden verzameld.
Gateway voor digitale identiteit

Verwante besturingselementen

Er zijn twee aanvullende instellingen die u kunt controleren als u gebruikers wilt toestaan het rapport van de identiteit van de ondertekenaar (SIR) te downloaden:

Als u wilt dat gebruikers de SIR kunnen downloaden, moet u expliciet toegang voor hen inschakelen op account- of groepsniveau.

  1. Navigeer naar Accountinstellingen > Verzendinstellingen > Signer-identificatieopties.
  2. Schakel Afzenders toestaan een rapport met de identiteit van de ondertekenaar te downloaden voor overeenkomsten die geverifieerde handtekeningen bevatten in.
  3. Klik op Opslaan om de pagina-indeling op te slaan.
DIG: toegang voor de ondertekenaar

Opmerking:

Deze instelling schakelt de SIR in voor Digital Identity-providers.

Dit is niet dezelfde instelling die overheids-ID's gebruiken.

Bij het downloaden van een identiteitsrapport moet de gebruiker de PDF beveiligen met een wachtwoord.

Stel het beleid in voor de sterkte van het PDF-wachtwoord volgens uw bedrijfsbeleid voor vertrouwelijke PII-documentatie.

  1. Ga naar Accountinstellingen > Beveiligingsinstellingen > Wachtwoordsterkte document
  2. Stel de juiste complexiteit in.
  3. Klik op Opslaan om de pagina-indeling op te slaan.
DIG-wachtwoordsterkte document

Afzonderlijke IDP's configureren

Onder aan de pagina Digitale Identiteit staan de IDP-kaarten. Elke kaart vertegenwoordigt een of meer verificatiemethoden van de IDP.

Als u een IDP-kaart wilt inschakelen, klikt u op het tandwielpictogram:

De IDP-kaart configureren

Opmerking:

De Adobe Okta IDP wordt in deze documentatie alleen als voorbeeld gebruikt. Klanten hebben geen toegang tot deze IDP.

Er kan één IDP op account- en/of groepsniveau worden geconfigureerd, afhankelijk van uw wensen. De interface verandert enigszins om context te bieden over de overnamestatus van de groepsniveau-instelling:

Op accountniveau vereist de interface alleen dat het selectievakje Deze service inschakelen voor verificatie is ingeschakeld:

IDP-configuratie op accountniveau

Als het selectievakje Deze service inschakelen voor verificatie niet is ingeschakeld en de regel grijs wordt weergegeven bij het bekijken van een IDP-configuratie op groepsniveau, is de IDP-service op accountniveau niet geconfigureerd.

De configuratie op groepsniveau kan worden ingeschakeld door het selectievakje Accountinstellingen overschrijven met configuratie op groepsniveau in te schakelen.

Configuratie op groepsniveau - IDP is niet geconfigureerd op accountniveau

Als het selectievakje Deze service inschakelen voor verificatie is uitgeschakeld bij het bekijken van een IDP-configuratie op groepsniveau, wordt de IDP-service op accountniveau geconfigureerd.

De configuratie op groepsniveau kan worden ingeschakeld en gedefinieerd met groepsspecifieke parameters door selectie van het selectievakje Accountinstellingen overschrijven met configuratie op groepsniveau.

Configuratie op groepsniveau: dezelfde IDP die op accountniveau is geconfigureerd

Wanneer de selectievakjes Deze service inschakelen voor verificatie en Accountinstellingen overschrijven met groepsinstellingen zijn ingeschakeld, wordt de IDP-service expliciet voor de groep geconfigureerd.

Configuratie op groepsniveau: de configuratie op accountniveau overschrijven

 

De vereisten voor de IDP-configuratie zijn afhankelijk van de verificatiemethode die de IDP gebruikt:

Basisverificatie vereist twee elementen die uw IDP u verstrekt:

  • De klant-ID
  • Het klantgeheim

Sla de configuratie op wanneer u klaar bent.

Basisverificatie

Voor de privésleutel voor JWT zijn drie elementen vereist die door uw IDP aan u worden verstrekt:

  • De klant-ID
  • Het ondertekeningscertificaat (in p12- of pfx-indeling).
  • Het wachtwoord dat wordt gebruikt om het ondertekeningscertificaat te beveiligen.

Sla de configuratie op wanneer u klaar bent.

Privésleutel voor JWT

Postverificatie op basis van klantgeheim vereist twee elementen die uw IDP aan u verstrekt:

  • De klant-ID
  • Het klantgeheim

Sla de configuratie op wanneer u klaar bent.

Postverificatie op basis van klantgeheim

JWT-verificatie op basis van klantgeheim vereist twee elementen die uw IDP aan u verstrekt:

  • De klant-ID
  • Het klantgeheim

Sla de configuratie op wanneer u klaar bent.

JWT-verificatie op basis van klantgeheim

Een geconfigureerde IDP uitschakelen/inschakelen

De IdP-service kan worden uitgeschakeld zonder de configuratiegegevens op de IDP-kaart te verwijderen door op het selectievakje in de linkerbovenhoek te drukken en de paginaconfiguratie op te slaan. Bij het op deze manier uitschakelen van een IDP-service blijft de configuratie-informatie bewaard voor als u de IDP op een later tijdstip opnieuw moet inschakelen.

Het op deze manier uitschakelen van een IDP-service is geen probleem omdat er geen informatie verloren gaat en de service snel opnieuw kan worden ingeschakeld door nogmaals op het selectievakje te drukken en de paginaconfiguratie op te slaan.

De IDP-kaart uitschakelen

De IDP-configuratie verwijderen

Een IDP-configuratie kan rechtstreeks uit het deelvenster Digitale identiteit worden verwijderd door op het prullenbakpictogram op de IDP-kaart te drukken.

Er verschijnt een dialoogvenster waarin de beheerder moet bevestigen dat de configuratie moet worden verwijderd.

Dit dialoogvenster waarschuwt ook voor de impact op ontvangers die hun authenticatie bij de IDP nog niet hebben voltooid.

Als de IDP-configuratie wordt verwijderd of de service wordt uitgeschakeld, wordt er een fout weergegeven aan de ontvanger wanneer deze probeert zijn of haar identiteit te verifiëren.

Verwijderingsprobleem

Handige weetjes

Als de IDP-service om welke reden dan ook wordt uitgeschakeld wanneer een ontvanger probeert zijn of haar identiteit te verifiëren, wordt er een fout gegenereerd met een basisbericht dat de service is uitgeschakeld, en instructies om contact op te nemen met de afzender van de overeenkomst. Het e-mailadres van de afzender is opgegeven.

Afzenders die op de hoogte worden gebracht van een probleem met de IDP-service, moeten mogelijk de verificatiemethode wijzigen in een nieuwe IDP of een andere aanvaardbare methode.

Fout bij uitgeschakelde service

Op dit moment is het niet mogelijk om een andere IDP-service toe te passen op interne ontvangers.

Als de instelling Andere identiteitsverificatiemethoden ingeschakeld voor interne ontvangers is ingeschakeld, is de functie Digital Identity Gateway volledig uitgeschakeld.