Brama tożsamości cyfrowej usługi Adobe Acrobat Sign umożliwia organizacjom wybór spośród szerokiej gamy wstępnie skonfigurowanych zewnętrznych dostawców tożsamości cyfrowej (IDP) i wykorzystanie takiego rodzaju weryfikacji tożsamości, który najlepiej odpowiada ich potrzebom w zakresie funkcjonalności, bezpieczeństwa lub zgodności z przepisami. Usługi IDP służące do uwierzytelniania użytkowników, weryfikacji tożsamości sygnatariusza oraz rozwiązania federacji tożsamości wykorzystują standardowy protokół uwierzytelniania OpenID Connect (OIDC) do integracji z usługą Acrobat Sign. W zależności od wybranego dostawcy tożsamości usługa może obejmować następujące elementy:
Wiele z usług IDP spełnia normy NIST 800-63A/B/C w zakresie rozwiązań uwierzytelniania wieloskładnikowego do poziomu AAL3, opcji weryfikacji tożsamości do poziomu IAL3, a także zapewniania federacji do poziomu FAL3. Niektóre usługi IDP spełniają również wymagania normy ISO 29115 LoA4 i/lub rozporządzenia UE 910/2014 (eIDAS) do poziomu LoA High.
Wszystkie usługi IDP wymagają zawarcia umowy handlowej i konfiguracji z dostawcą przed rozpoczęciem korzystania z nich, a także bieżącego monitorowania w celu zapewnienia, że organizacja utrzymuje wystarczającą liczbę transakcji w ramach usług IDP dla określonych przypadków użycia.
Dostawcy tożsamości nie są objęci licencją Acrobat Sign, a firma Adobe nie zapewnia komercyjnego kanału do uzyskiwania usług identyfikacji z różnych konfigurowanych IDP.
Klient jest zobowiązany do nabycia i utrzymania wystarczającej liczby transakcji tożsamości z wybraną przez siebie usługą IDP.
Usługa IDP zapewni jasne wskazówki dotyczące sposobu korzystania z transakcji i rozliczania ich, a także będzie raportować zużycie/dostępność bezpośrednio klientowi.
W procesie podpisywania Acrobat Sign klient otrzymuje wiadomość e-mail Sprawdź i podpisz, tak jak w przypadku każdej innej umowy.
Gdy odbiorca wybierze przycisk Sprawdź i podpisz do otwarcia umowy, zostanie wyświetlone okno dialogowe z informacją, że dostęp do dokumentu wymaga weryfikacji tożsamości. W zależności od skonfigurowanych ustawień zostaną wyświetlone:
Po pomyślnym zakończeniu procesu weryfikacji odbiorca jest odsyłany z powrotem do okna Acrobat Sign, gdzie zostaje mu przedstawiona umowa.
Wybór dostawcy tożsamości podczas tworzenia nowej umowy
Gdy co najmniej jedna usługa IDP zostanie skonfigurowana i włączona dla konta lub grupy nadawcy, użytkownicy zobaczą opcję wyboru usługi IDP z rozwijanego menu zawierającego wszystkie metody uwierzytelniania dostępne dla odbiorcy. Włączone identyfikatory IDP będą wyświetlane w sekcji Brama cyfrowej tożsamości. Jeśli nie włączono żadnych usług IDP, sekcja Brama cyfrowej tożsamości nie będzie dostępna i użytkownik nie będzie widział żadnych usług IDP.
Najechanie kursorem myszy na usługę IDP na liście menu powoduje wyświetlenie podpowiedzi z krótkim opisem usługi IDP.
Jeśli użytkownik musi zaktualizować uwierzytelnianie, aby wybrać inną usługę IDP (lub inną metodę uwierzytelniania), może użyć tego samego procesu do edycji metody uwierzytelniania.
Wybór użytkownika nie jest ograniczony do innego identyfikatora IDP z bramy tożsamości cyfrowej. Można wybrać dowolną inną włączoną metodę uwierzytelniania.
Raport kontroli wyraźnie wskazuje, że odbiorca został zweryfikowany przez dostawcę tożsamości z bramy tożsamości cyfrowej, określa dostawcę tożsamości, który był zaangażowany, a także zawiera opis usługi:
Domyślnie usługa Acrobat Sign nie zachowuje informacji o tożsamości zwracanych przez usługę IDP. Administratorzy konta i grupy mogą jednak włączyć opcję zapisywania informacji o tożsamości na serwerach Acrobat Sign.
Ponadto administratorzy mogą skonfigurować (na poziomie konta i grupy) opcję pobierania raportu tożsamości przez użytkowników na stronie Zarządzaj z listy dostępnych operacji.
Raport tożsamości sygnatariusza zawiera wszystkie informacje o tożsamości zwracane przez usługę IDP w przypadku pomyślnej transakcji weryfikacji tożsamości, a także odpowiednie dane w przypadku niepowodzenia transakcji. Zawartość zależy od dostawcy i metody uwierzytelniania. Wspólne dane obejmują:
Więcej informacji na temat raportu identyfikacji tożsamości sygnatariusza można znaleźć na stronie >
Włącz metodę uwierzytelniania na karcie Tożsamość cyfrowa w menu administratora.
W tym widoku znajdują się trzy ustawienia wysokiego poziomu, a w dolnej części strony znajduje się pełna lista dostępnych IDP.
Gdy funkcja Brama cyfrowej tożsamości jest włączona, sposób uwierzytelniania tożsamości dla odbiorców wewnętrznych za pomocą funkcji Brama cyfrowej tożsamości także jest włączony. Tej opcji nie można wyłączyć, gdy funkcja Brama cyfrowej tożsamości jest włączona.
Nie można skonfigurować różnych IDP dla odbiorców zewnętrznych i wewnętrznych. Wszystkie opcje w interfejsie Tożsamość cyfrowa są dostępne dla obu typów odbiorców.
Istnieją dwa dodatkowe ustawienia, które należy sprawdzić, jeśli zamierzasz zezwolić użytkownikom na pobranie raportu tożsamości sygnatariusza:
U dołu strony Tożsamość cyfrowa znajdują się „karty” IDP. Każda karta reprezentuje jedną lub więcej metod uwierzytelniania zdefiniowanych przez usługę IDP.
Aby włączyć kartę IDP, kliknij ikonę koła zębatego:
Usługa Adobe Okta IDP jest używana w tej dokumentacji wyłącznie w celach przykładowych. Klienci nie mają dostępu do tej usługi IDP.
W zależności od potrzeb użytkownika można skonfigurować jedną usługę IDP na poziomie konta i/lub grupy. Interfejs nieznacznie się zmienia, aby zapewnić kontekst dotyczący stanu dziedziczenia ustawienia na poziomie grupy:
Na poziomie konta interfejs wymaga tylko włączenia pola wyboru Włącz tę usługę weryfikacji:
Jeżeli podczas wyświetlania konfiguracji IDP na poziomie grupy pole wyboru Włącz tę usługę weryfikacji jest niezaznaczone, a wiersz jest wyszarzony, usługa IDP na poziomie konta jest nieskonfigurowana.
Konfigurację na poziomie grupy można włączyć, zaznaczając pole wyboru Zastąp ustawienia konta konfiguracją na poziomie grupy.
Jeżeli podczas wyświetlania konfiguracji IDP na poziomie grupy pole wyboru Włącz tę usługę weryfikacji jest niezaznaczone, usługa IDP na poziomie konta jest skonfigurowana.
Konfigurację na poziomie grupy można włączyć i zdefiniować za pomocą parametrów specyficznych dla grupy, zaznaczając pole wyboru Zastąp ustawienia konta konfiguracją na poziomie grupy.
Gdy pola wyboru Włącz tę usługę weryfikacji oraz Zastąp ustawienia konta konfiguracją na poziomie grupy są zaznaczone, usługa IDP jest jawnie skonfigurowana dla grupy.
Wymagania dotyczące konfiguracji usługi IDP zależą od metody uwierzytelniania używanej przez usługę IDP:
Uwierzytelnianie podstawowe wymaga dwóch elementów, które udostępnia usługa IDP:
Zapisz konfigurację po zakończeniu.
Klucz prywatny JWT wymaga trzech elementów, które zostaną dostarczone przez usługę IDP:
Zapisz konfigurację po zakończeniu.
Uwierzytelnianie przez tajny klucz klienta Post wymaga dwóch elementów, które usługa IDP udostępnia użytkownikowi:
Zapisz konfigurację po zakończeniu.
Uwierzytelnianie przez tajny klucz klienta JWT wymaga dwóch elementów, które usługa IDP udostępnia użytkownikowi:
Zapisz konfigurację po zakończeniu.
Usługę IDP można wyłączyć bez usuwania informacji o konfiguracji na karcie IDP, naciskając ikonę pola wyboru w lewym górnym rogu i zapisując konfigurację strony. Wyłączenie usługi IDP w ten sposób zachowuje informacje konfiguracyjne w przypadku konieczności ponownego włączenia usługi IDP w późniejszym czasie.
Wyłączenie usługi IDP w ten sposób nie powoduje problemu, ponieważ informacje zostają utracone, a usługę można szybko ponownie włączyć, naciskając ponownie pole wyboru i zapisując konfigurację strony.
Konfigurację IDP można usunąć bezpośrednio z panelu Tożsamość cyfrowa, naciskając ikonę kosza na karcie IDP.
W oknie dialogowym zostanie wyświetlona prośba do administratora o potwierdzenie usunięcia konfiguracji.
To okno dialogowe ostrzega również o wpływie na odbiorców, którzy jeszcze nie ukończyli uwierzytelniania za pomocą usługi IDP.
Jeśli konfiguracja usługi IDP zostanie usunięta lub usługa zostanie wyłączona, przy próbie weryfikacji tożsamości odbiorcy zostanie wyświetlony błąd.
Jeśli usługa IDP będzie z jakiegokolwiek powodu wyłączona, gdy odbiorca próbuje zweryfikować swoją tożsamość, zostanie wyświetlony błąd, który prezentuje podstawowy komunikat informujący o wyłączeniu usługi i nakazuje skontaktowanie się z nadawcą umowy. Podany jest adres e-mail nadawcy.
W przypadku nadawców, którzy zostaną powiadomieni o problemie z usługą IDP, może zajść potrzeba zmiany metody uwierzytelniania do nowej usługi IDP lub innej akceptowalnej metody.