Oversikt
Adobe Acrobat Sign Digital Identity Gateway lar organisasjoner velge mellom et bredt utvalg av forhåndskonfigurerte tredjepartsleverandører av digital identitet (IDP) og benytte den typen identitetsverifisering som passer best til deres funksjons-, sikkerhets- eller samsvarsbehov. IDP-tjenester for brukergodkjenning, bekreftelse av underskriveridentitet og identitetsføderasjonsløsninger bruker standard OpenID Connect (OIDC)-autentiseringsprotokoll for å integreres med Acrobat Sign. Avhengig av hvilken IDP som er valgt, kan tjenesten inkludere:
- Bekreftelse av video-identitet
- Godkjenning av elektronisk identitet (eID)
- Bekreftelse av identitetsdokument
- Kunnskapsbasert godkjenning (KBA)
- Biometrisk identifikasjon, godkjenning
Mange av IDP-tjenestene oppfyller NIST 800-63A/B/C-standardene for flerfaktorgodkjenningsløsninger opptil AAL3, identitetsverifiseringsalternativer opptil IAL3 og føderasjonspåstand opptil FAL3. Noen IDP-tjenester oppfyller også ISO 29115 LoA4 og/eller EU-regulativ 910/2014 (eIDAS) opptil LoA High.
Alle IDP-tjenester krever en kommersiell kontrakt og konfigurasjon med leverandøren før bruk sammen med kontinuerlig overvåking, for å sikre at organisasjonen opprettholder et tilstrekkelig volum av IDP-tjenestetransaksjoner for dine brukssaker.
Anskaffelse, forbruk og rapportering av autentiseringstransaksjoner
Identitetsleverandører er ikke inkludert i lisensen for Acrobat Sign, og Adobe tilbyr ikke en kommersiell kanal for å anskaffe identifikasjonstjenester fra de forskjellige ID-ene som kan konfigureres.
Det påhviler kunden å anskaffe og opprettholde et tilstrekkelig volum av identitetstransaksjoner med IDP etter eget valg.
IDP vil gi tydelig veiledning om hvordan transaksjoner forbrukes og faktureres og rapportere forbruk/tilgjengelighet direkte til kunden.
Mottaker opplevelse
Gjennom Acrobat Sign-signeringsprosessen blir kunden levert en e-post med Gjennomgå og signer i likhet med enhver annen avtale.
Når mottakeren velger knappen Gjennomgå og signer for å åpne avtalen, blir de presentert for en informasjonsdialog som indikerer at identitetsbekreftelse kreves for å få tilgang til dokumentet. Avhengig av de konfigurerte innstillingene, vil kunden se:
- Et sammendrag på høyt nivå av bekreftelsesprosessen.
- Navnet og logoen til IDP-en som utfører identitetsbekreftelsen.
- En e-post og et telefonnummer for å kontakte IDPs støtte hvis det oppstår et problem med bekreftelsesprosessen.
- E-postadressen til Acrobat Sign-brukeren som sendte avtalen, i tilfelle mottakeren trenger å kontakte dem.
- En erklæring om at mottakerens identitetsdata vil bli lagret i signeringsidentitetsrapporten (hvis avsenderens konto er konfigurert til å gjøre det).
- En advarselsmelding om antall gjenværende verifiseringsforsøk tilgjengelig for mottakeren før avtalen kanselleres. Denne meldingen vises bare etter at mottakeren har prøvd identifikasjonsprosessen og mislyktes.
- Knappen Bekreft identitet utløser bekreftelsesprosessen ved å åpne et popup-skjermbilde og overlevere prosessen til IDP-en.
- Mottakerens erfaring med bekreftelsesprosessen og typen bekreftelse som skal utføres, er avhengig av identitetsleverandøren avsenderen valgte.
Når bekreftelsesprosessen er fullført, returneres mottakeren til Acrobat Sign-vinduet, og avtalen blir presentert for dem.
Avsenders opplevelse
Velge identitetsleverandør når du skriver en ny avtale
Når en eller flere IDP-er er konfigurert og aktivert for avsenderens konto eller gruppe, vil brukerne se alternativet for å velge IDP i rullegardinmenyen som inneholder alle godkjenningsmetodene som er tilgjengelige for mottakeren. Aktiverte IDP-er vil bli oppført under Digital Identity Gateway-delen. Hvis ingen IDP-er er aktivert, vil delen Digital Identity Gateway ikke være til stede, og brukeren vil ikke se noen IDP-er.
Musing over en IDP i menylisten viser et verktøytips som gir en kort beskrivelse av IDP-tjenesten.
Oppdatering av IDP etter at avtalen er sendt
Hvis en bruker må oppdatere godkjenningen for å velge en annen IDP (eller en annen godkjenningsmetode), kan brukeren bruke den samme prosessen til å redigere godkjenningsmetoden.
Brukeren er ikke tvunget til å velge en annen IDP fra den digitale identitetsgatewayen. Enhver annen aktivert godkjenningsmetode kan velges.
Revisjonsrapport
Revisjonsrapporten indikerer tydelig at mottakeren ble verifisert av en identitetsleverandør fra den digitale identitetsgatewayen, og angir hvilken IDP som var involvert og en beskrivelse av tjenesten:
Rapport over underskriveridentitet
Som standard beholder ikke Acrobat Sign identitetsinformasjonen returnert av IDP-en. Konto- og gruppeadministratorer kan imidlertid aktivere alternativet for å lagre identitetsinformasjon på Acrobat Sign-servere.
I tillegg kan administratorer konfigurere, på konto- og gruppenivå, alternativet for brukere å laste ned identitetsrapporten på siden Behandle fra listen over tilgjengelige handlinger.
Rapport over underskriveridentitet inneholder all identitetsinformasjon som returneres av IDP-en når identitetsbekreftelsestransaksjonen lykkes, i tillegg til relevante data når en transaksjon mislykkes. Innholdet varierer avhengig av leverandør og godkjenningsmetode. Felles data inkluderer:
- Referanse-ID: En unik identifikator for transaksjonen som oppstod ved IDP-slutten. Nyttig for forespørsler om støtte så vel som rettsmedisinsk analyse.
- sub (Subject Identifier): Gir en unik identifikator for mottakeren i sammenheng med IDP-systemet.
- ID-tokenets råverdi: Gir en påstand signert av IDP-en som inneholder resultatet av identifikasjonsprosessen. Bevis for at identiteten ble bekreftet i forbindelse med gjeldende transaksjon.
Hvis du vil ha mer informasjon om Rapport over underskriveridentitet, kan du se denne siden >
Konfigurasjonstilgang for å bruke IDPer som identitetsbekreftelse
Aktiver godkjenningsmetoden under fanen Digital identitet i admin-menyen.
Det er tre innstillinger på høyt nivå i denne visningen, med den fullstendige listen over mulige IDP-er nederst på siden.
- Digital Identity Gateway – Denne innstillingen er porten som gir tilgang til digitale identitetstjenester.
- Tillat underskrivere X ganger for å bekrefte signaturen før avtalen oppheves – Dersom en mottaker bryter maksimalt antall forsøk på å bekrefte signaturen, oppheves avtalen automatisk.
- Maksimum antall forsøk er ti
- Forstå arten av din IDPs retningslinje for transaksjonskonsum når du angir denne verdien. Noen leverandører tar betalt per forsøk.
- Lagre verifiserte identitetsdata for å tillate Underskrivers identitetsrapport
- Når dette er aktivert, lagres identitetsbekreftelsesinformasjonen på Acrobat Sign-servere og kan hentes ved hjelp av SIR.
- Når den er deaktivert, lagres ikke ID-informasjonen på Acrobat Sign-servere.
- Datainnsamlingen starter så snart innstillingen er aktivert og lagret. Likeledes stopper datainnsamlingen så snart innstillingen er deaktivert og lagret.
- Data som ikke samles inn når mottakeren kontrolleres, kan ikke samles inn senere.
- Tillat underskrivere X ganger for å bekrefte signaturen før avtalen oppheves – Dersom en mottaker bryter maksimalt antall forsøk på å bekrefte signaturen, oppheves avtalen automatisk.
Når Digital Identity Gateway er aktivert, er identitetsautentiseringsmetoden for interne mottakere via Digital Identity Gateway også aktivert. Dette alternativet er kanskje ikke deaktivert mens Digital Identity Gateway er aktivert.
Det er ikke mulig å konfigurere ulike IDP-er for eksterne og interne mottakere. Alle tilgjengelige alternativer i Digital Identity-grensesnittet er tilgjengelig for begge mottakertypene.
Relaterte kontroller
Det er to tilleggsinnstillinger å gjennomgå hvis du vil tillate brukere å laste ned rapporten Signereridentitet:
Hvis du ønsker at brukere skal kunne laste ned SIR, må du eksplisitt aktivere tilgangen på konto- eller gruppenivå.
- Naviger til Kontoinnstillinger > Send-innstillinger > Alternativer for identifikasjon av signerer.
- Aktiver Tillat avsendere å laste ned en signaturidentitetsrapport for avtaler som inneholder bekreftede signaturer
- Lagre sidekonfigurasjonen.
Denne innstillingen aktiverer SIR for digitale identitetsleverandører.
Det er ikke samme innstilling som den offentlige IDen bruker.
Når du laster ned en identitetsrapport, må brukeren passordbeskytte PDF-filen.
Angi styrken for PDF-passordet i henhold til bedriftens policy for konfidensiell PII-dokumentasjon.
- Naviger til Kontoinnstillinger > Sikkerhetsinnstillinger > Dokumentpassordstyrke
- Angi passende kompleksitet.
- Lagre sidekonfigurasjonen.
Konfigurere individuelle IDPer
Nederst på siden for digital identitet finner du IDP-kortene. Hvert kort representerer én eller flere autentiseringsmetoder fra IDP.
For å aktivere et IDP-kort, klikk på tannhjulikonet:
Adobe Okta IDP brukes i denne dokumentasjonen kun til eksempelformål. Kunder har ikke tilgang til denne IDPen.
En IDP kan konfigureres på konto- og/eller gruppenivå, avhengig av dine behov. Grensesnittet endres litt for å gi kontekst om arvestatusen for innstillingen på gruppenivå:
På kontonivå krever grensesnittet bare at avmerkingsboksen Aktiver denne tjenesten for bekreftelse er aktivert:
Hvis avmerkingsboksen Aktiver denne tjenesten for bekreftelse ikke er merket og linjen er grå når du viser en IDP-konfigurasjon på gruppenivå, er IDP-tjenesten på kontonivå ikke konfigurert.
Konfigurasjonen på gruppenivå kan aktiveres ved å merke av for Overstyr kontoinnstillinger med konfigurasjon på gruppenivå-avmerkingsboksen.
Hvis avmerkingsboksen Aktiver denne tjenesten for bekreftelse er avmerket når du viser en IDP-konfigurasjon på gruppenivå, er IDP-tjenesten på kontonivå konfigurert.
Konfigurasjonen på gruppenivå kan aktiveres og defineres med gruppespesifikke parametere ved å merke av boksen for Overstyr kontoinnstillinger med konfigurasjon på gruppenivå.
Når avmerkingsboksene Aktiver denne tjenesten for bekreftelse og Overstyr kontoinnstillinger med gruppenivåkonfigurasjon er merket, konfigureres IDP-tjenesten eksplisitt for gruppen.
IDP-konfigurasjonskravene avhenger av godkjenningsmetoden IDP bruker:
Grunnleggende godkjenning krever to elementer som din IDP vil gi deg:
- Klient-ID-en
- Klienthemmeligheten
Lagre konfigurasjonen når du er ferdig.
Privat nøkkel JWT krever tre elementer som vil bli gitt til deg av din IDP:
- Klient-ID-en
- Signeringssertifikatet (i .p12- eller .pfx-format).
- Passordet som brukes til å sikre signatursertifikatet.
Lagre konfigurasjonen når du er ferdig.
Post-godkjenning med klienthemmelighet krever to elementer som din IDP vil gi deg:
- Klient-ID-en
- Klienthemmeligheten
Lagre konfigurasjonen når du er ferdig.
JWT-godkjenning med klienthemmelighet krever to elementer som din IDP vil gi deg:
- Klient-ID-en
- Klienthemmeligheten
Lagre konfigurasjonen når du er ferdig.
Deaktiver/aktiver en konfigurert IDP
IdP-tjenesten kan deaktiveres uten å slette konfigurasjonsinformasjonen på IDP-kortet ved å trykke på avmerkingsboksikonet i øvre venstre hjørne og lagre sidekonfigurasjonen. Deaktivering av en IDP-tjeneste på denne måten bevarer konfigurasjonsinformasjonen i tilfelle du må aktivere IDP på nytt senere.
Deaktivering av en IDP-tjeneste på denne måten gir ingen utfordring siden informasjon går tapt, og tjenesten kan raskt aktiveres på nytt ved å trykke på avmerkingsboksen igjen og lagre sidekonfigurasjonen.
Slette IDP-konfigurasjonen
En IdP-konfigurasjon kan slettes direkte fra Digital identitet-panelet ved å trykke på papirkurvikonet på IdP-kortet.
En dialog vil utfordre administratoren til å bekrefte at konfigurasjonen skal slettes.
Denne dialogboksen advarer også om innvirkningen på mottakere som ennå ikke har fullført sin godkjenning med IDP.
Hvis IDP-konfigurasjonen slettes eller tjenesten deaktiveres, vil en feil bli vist til mottakeren når de prøver å bekrefte identiteten sin.
Ting du bør vite
Hvis IDP-tjenesten er deaktivert av en eller annen grunn når en mottaker prøver å bekrefte identiteten sin, produseres en feil som gir en grunnleggende melding om at tjenesten er deaktivert og instruksjon om å kontakte avtalens avsender. Avsenderens e-postadresse er oppgitt.
Avsendere som blir varslet om et problem med IDP-tjenesten, må kanskje endre godkjenningsmetoden til en ny IDP eller en annen akseptabel metode.
