Brama cyfrowej tożsamości

Omówienie

Brama tożsamości cyfrowej usługi Adobe Acrobat Sign umożliwia organizacjom wybór spośród szerokiej gamy wstępnie skonfigurowanych zewnętrznych dostawców tożsamości cyfrowej (IDP) i wykorzystanie takiego rodzaju weryfikacji tożsamości, który najlepiej odpowiada ich potrzebom w zakresie funkcjonalności, bezpieczeństwa lub zgodności z przepisami. Usługi IDP służące do uwierzytelniania użytkowników, weryfikacji tożsamości sygnatariusza oraz rozwiązania federacji tożsamości wykorzystują standardowy protokół uwierzytelniania OpenID Connect (OIDC) do integracji z usługą Acrobat Sign. W zależności od wybranego dostawcy tożsamości usługa może obejmować następujące elementy:

  • Weryfikacja tożsamości wideo
  • Uwierzytelnienie identyfikatora elektronicznego (eID)
  • Potwierdzenie dokumentu tożsamości
  • Uwierzytelnianie oparte na wiedzy (KBA)
  • Identyfikacja i uwierzytelnianie biometryczne

Wiele z usług IDP spełnia normy NIST 800-63A/B/C w zakresie rozwiązań uwierzytelniania wieloskładnikowego do poziomu AAL3, opcji weryfikacji tożsamości do poziomu IAL3, a także zapewniania federacji do poziomu FAL3. Niektóre usługi IDP spełniają również wymagania normy ISO 29115 LoA4 i/lub rozporządzenia UE 910/2014 (eIDAS) do poziomu LoA High.

Wszystkie usługi IDP wymagają zawarcia umowy handlowej i konfiguracji z dostawcą przed rozpoczęciem korzystania z nich, a także bieżącego monitorowania w celu zapewnienia, że organizacja utrzymuje wystarczającą liczbę transakcji w ramach usług IDP dla określonych przypadków użycia.

Zaopatrzenie, zużycie i raportowanie transakcji uwierzytelniania

Dostawcy tożsamości nie są objęci licencją Acrobat Sign, a firma Adobe nie zapewnia komercyjnego kanału do uzyskiwania usług identyfikacji z różnych konfigurowanych IDP. 

Klient jest zobowiązany do nabycia i utrzymania wystarczającej liczby transakcji tożsamości z wybraną przez siebie usługą IDP. 

Usługa IDP zapewni jasne wskazówki dotyczące sposobu korzystania z transakcji i rozliczania ich, a także będzie raportować zużycie/dostępność bezpośrednio klientowi. 

Środowisko odbiorcy

W procesie podpisywania Acrobat Sign klient otrzymuje wiadomość e-mail Sprawdź i podpisz, tak jak w przypadku każdej innej umowy.

Gdy odbiorca wybierze przycisk Sprawdź i podpisz do otwarcia umowy, zostanie wyświetlone okno dialogowe z informacją, że dostęp do dokumentu wymaga weryfikacji tożsamości. W zależności od skonfigurowanych ustawień zostaną wyświetlone:

  • Podsumowanie procesu weryfikacji na wysokim poziomie.
  • Nazwa i logo dostawcy tożsamości przeprowadzającego weryfikację tożsamości.
  • Adres e-mail i numer telefonu umożliwiający kontakt z pomocą techniczną IDP w przypadku wystąpienia problemu z procesem weryfikacji.
  • Adres e-mail użytkownika usługi Acrobat Sign, który wysłał umowę, na wypadek gdyby odbiorca musiał się z nim skontaktować.
  • Oświadczenie, że dane tożsamości odbiorcy zostaną zapisane w raporcie tożsamości sygnatariusza (jeśli konto nadawcy jest tak skonfigurowane).
  • Komunikat z ostrzeżeniem o liczbie pozostałych prób weryfikacji dostępnych dla odbiorcy przed anulowaniem umowy. Ten komunikat jest wyświetlany tylko wtedy, gdy próba przeprowadzenia procesu identyfikacji przez odbiorcę nie powiedzie się.
  • Przycisk Zweryfikuj tożsamość aktywuje proces weryfikacji przez otwarcie wyskakującego ekranu i przekazanie procesu do usługi IDP.
    • Doświadczenie odbiorcy w zakresie procesu weryfikacji oraz rodzaj weryfikacji, jaką należy przeprowadzić, zależą od dostawcy tożsamości wybranego przez nadawcę.

Po pomyślnym zakończeniu procesu weryfikacji odbiorca jest odsyłany z powrotem do okna Acrobat Sign, gdzie zostaje mu przedstawiona umowa.

Komunikat o uwierzytelnieniu odbiorcy

Środowisko nadawcy

Wybór dostawcy tożsamości podczas tworzenia nowej umowy

Gdy co najmniej jedna usługa IDP zostanie skonfigurowana i włączona dla konta lub grupy nadawcy, użytkownicy zobaczą opcję wyboru usługi IDP z rozwijanego menu zawierającego wszystkie metody uwierzytelniania dostępne dla odbiorcy. Włączone identyfikatory IDP będą wyświetlane w sekcji Brama cyfrowej tożsamości. Jeśli nie włączono żadnych usług IDP, sekcja Brama cyfrowej tożsamości nie będzie dostępna i użytkownik nie będzie widział żadnych usług IDP.

Najechanie kursorem myszy na usługę IDP na liście menu powoduje wyświetlenie podpowiedzi z krótkim opisem usługi IDP.

Wybór metody uwierzytelnienia

Aktualizowanie IDP po wysłaniu umowy

Jeśli użytkownik musi zaktualizować uwierzytelnianie, aby wybrać inną usługę IDP (lub inną metodę uwierzytelniania), może użyć tego samego procesu do edycji metody uwierzytelniania.

Wybór użytkownika nie jest ograniczony do innego identyfikatora IDP z bramy tożsamości cyfrowej. Można wybrać dowolną inną włączoną metodę uwierzytelniania.

Edycja metody uwierzytelniania

Raport kontroli

Raport kontroli wyraźnie wskazuje, że odbiorca został zweryfikowany przez dostawcę tożsamości z bramy tożsamości cyfrowej, określa dostawcę tożsamości, który był zaangażowany, a także zawiera opis usługi:

Raport kontroli

Raport tożsamości sygnatariusza (SIR)

Domyślnie usługa Acrobat Sign nie zachowuje informacji o tożsamości zwracanych przez usługę IDP. Administratorzy konta i grupy mogą jednak włączyć opcję zapisywania informacji o tożsamości na serwerach Acrobat Sign.

Ponadto administratorzy mogą skonfigurować (na poziomie konta i grupy) opcję pobierania raportu tożsamości przez użytkowników na stronie Zarządzaj z listy dostępnych operacji.

Pobierz plik SIR za pomocą strony Zarządzaj.

Raport tożsamości sygnatariusza zawiera wszystkie informacje o tożsamości zwracane przez usługę IDP w przypadku pomyślnej transakcji weryfikacji tożsamości, a także odpowiednie dane w przypadku niepowodzenia transakcji. Zawartość zależy od dostawcy i metody uwierzytelniania. Wspólne dane obejmują:

  • Identyfikator odniesienia: unikalny identyfikator transakcji, która miała miejsce po stronie IDP. Przydatne w przypadku wniosków o pomoc techniczną oraz analizy kryminalistycznej.
  • sub (Identyfikator podmiotu): zapewnia unikalny identyfikator odbiorcy w kontekście systemu IDP.
  • Wartość surowa identyfikatora tokena: zapewnia podpisaną przez IDP asercję zawierającą wynik procesu identyfikacji. Dowód, że tożsamość została zweryfikowana w kontekście bieżącej transakcji.
Pobierz plik SIR za pomocą strony Zarządzaj.

Więcej informacji na temat raportu identyfikacji tożsamości sygnatariusza można znaleźć na stronie > 

Dostęp do konfiguracji umożliwiający używanie usług IDP do weryfikacji tożsamości

Włącz metodę uwierzytelniania na karcie Tożsamość cyfrowa w menu administratora.

W tym widoku znajdują się trzy ustawienia wysokiego poziomu, a w dolnej części strony znajduje się pełna lista dostępnych IDP.

  • Brama cyfrowej tożsamości — to ustawienie stanowi bramę umożliwiającą dostęp do usług tożsamości cyfrowej.
    • Zezwalaj sygnatariuszom na X prób(y) weryfikacji podpisu przed anulowaniem umowy — każdy odbiorca, który narusza maksymalną liczbę prób potwierdzenia swojej tożsamości, automatycznie anuluje umowę.
      • Maksymalna liczba prób wynosi dziesięć
      • Podczas ustawiania tej wartości należy zapoznać się z charakterem zasad korzystania z transakcji przez dostawcę tożsamości. Niektórzy dostawcy pobierają opłaty za próbę.
    • Przechowuj zweryfikowane dane tożsamości, aby umożliwić tworzenie raportów tożsamości sygnatariusza
      •  Gdy ta opcja jest włączona, informacje dotyczące weryfikacji tożsamości są przechowywane na serwerach Acrobat Sign i można je pobrać za pomocą SIR.
      • Gdy ta opcja jest wyłączona, informacje dotyczące tożsamości nie są przechowywane na serwerach Acrobat Sign.
      • Zbieranie danych rozpoczyna się natychmiast po włączeniu i zapisaniu ustawienia. Podobnie zbieranie danych zostaje zatrzymane natychmiast po wyłączeniu i zapisaniu ustawienia.
      • Dane, które nie zostały zebrane w momencie weryfikacji odbiorcy, nie mogą zostać zebrane później.
Brama cyfrowej tożsamości

Gdy funkcja Brama cyfrowej tożsamości jest włączona, sposób uwierzytelniania tożsamości dla odbiorców wewnętrznych za pomocą funkcji Brama cyfrowej tożsamości także jest włączony. Tej opcji nie można wyłączyć, gdy funkcja Brama cyfrowej tożsamości jest włączona.

Konfiguracja odbiorcy wewnętrznego

Uwaga:

Nie można skonfigurować różnych IDP dla odbiorców zewnętrznych i wewnętrznych. Wszystkie opcje w interfejsie Tożsamość cyfrowa są dostępne dla obu typów odbiorców.

Powiązane elementy sterujące

Istnieją dwa dodatkowe ustawienia, które należy sprawdzić, jeśli zamierzasz zezwolić użytkownikom na pobranie raportu tożsamości sygnatariusza:

Jeśli chcesz, aby użytkownicy mogli pobierać SIR, musisz jawnie włączyć ich dostęp na poziomie konta lub grupy.

  1. Przejdź do Ustawienia konta > Ustawienia wysyłania > Opcje identyfikacji sygnatariusza.
  2. Włącz opcję Zezwalaj nadawcom na pobieranie raportu tożsamości sygnatariusza dla umów zawierających zweryfikowane podpisy.
  3. Zapisz konfigurację strony.
DIG — dostępność dla sygnatariusza

Uwaga:

To ustawienie włącza SIR dla dostawców Tożsamości cyfrowej.

To nie jest to samo ustawienie, które wykorzystuje Dokument tożsamości.

Podczas pobierania raportu tożsamości użytkownik musi zabezpieczyć plik PDF hasłem.

Ustaw zasady dotyczące siły hasła PDF zgodnie z zasadami firmy w odniesieniu do poufnej dokumentacji z danymi osobowymi.

  1. Przejdź do strony Ustawienia konta > Ustawienia zabezpieczeń > Siła hasła dokumentu.
  2. Ustaw odpowiednią złożoność.
  3. Zapisz konfigurację strony.
Siła hasła dokumentu DIG

Konfigurowanie poszczególnych IDP

U dołu strony Tożsamość cyfrowa znajdują się „karty” IDP. Każda karta reprezentuje jedną lub więcej metod uwierzytelniania zdefiniowanych przez usługę IDP.

Aby włączyć kartę IDP, kliknij ikonę koła zębatego:

Konfigurowanie karty IDP

Uwaga:

Usługa Adobe Okta IDP jest używana w tej dokumentacji wyłącznie w celach przykładowych. Klienci nie mają dostępu do tej usługi IDP.

W zależności od potrzeb użytkownika można skonfigurować jedną usługę IDP na poziomie konta i/lub grupy. Interfejs nieznacznie się zmienia, aby zapewnić kontekst dotyczący stanu dziedziczenia ustawienia na poziomie grupy:

Na poziomie konta interfejs wymaga tylko włączenia pola wyboru Włącz tę usługę weryfikacji:

Konfiguracja IDP na poziomie konta

Jeżeli podczas wyświetlania konfiguracji IDP na poziomie grupy pole wyboru Włącz tę usługę weryfikacji jest niezaznaczone, a wiersz jest wyszarzony, usługa IDP na poziomie konta jest nieskonfigurowana.

Konfigurację na poziomie grupy można włączyć, zaznaczając pole wyboru Zastąp ustawienia konta konfiguracją na poziomie grupy.

Konfiguracja na poziomie grupy — usługa IDP nie jest skonfigurowana na poziomie konta

Jeżeli podczas wyświetlania konfiguracji IDP na poziomie grupy pole wyboru Włącz tę usługę weryfikacji jest niezaznaczone, usługa IDP na poziomie konta jest skonfigurowana.

Konfigurację na poziomie grupy można włączyć i zdefiniować za pomocą parametrów specyficznych dla grupy, zaznaczając pole wyboru Zastąp ustawienia konta konfiguracją na poziomie grupy.

Konfiguracja na poziomie grupy — ta sama usługa IDP skonfigurowana na poziomie konta

Gdy pola wyboru Włącz tę usługę weryfikacji oraz Zastąp ustawienia konta konfiguracją na poziomie grupy są zaznaczone, usługa IDP jest jawnie skonfigurowana dla grupy.

Konfiguracja na poziomie grupy — zastępowanie konfiguracji na poziomie konta

 

Wymagania dotyczące konfiguracji usługi IDP zależą od metody uwierzytelniania używanej przez usługę IDP:

Uwierzytelnianie podstawowe wymaga dwóch elementów, które udostępnia usługa IDP:

  • Identyfikator klienta
  • Tajny klucz klienta

Zapisz konfigurację po zakończeniu.

Uwierzytelnianie podstawowe

Klucz prywatny JWT wymaga trzech elementów, które zostaną dostarczone przez usługę IDP:

  • Identyfikator klienta
  • Certyfikat podpisywania (w formacie .p12 lub .pfx).
  • Hasło używane do zabezpieczenia certyfikatu podpisywania.

Zapisz konfigurację po zakończeniu.

Klucz prywatny JWT

Uwierzytelnianie przez tajny klucz klienta Post wymaga dwóch elementów, które usługa IDP udostępnia użytkownikowi:

  • Identyfikator klienta
  • Tajny klucz klienta

Zapisz konfigurację po zakończeniu.

Uwierzytelnianie przez tajny klucz klienta Post

Uwierzytelnianie przez tajny klucz klienta JWT wymaga dwóch elementów, które usługa IDP udostępnia użytkownikowi:

  • Identyfikator klienta
  • Tajny klucz klienta

Zapisz konfigurację po zakończeniu.

Uwierzytelnianie przez tajny klucz klienta JWT

Wyłączanie/włączanie skonfigurowanej usługi IDP

Usługę IDP można wyłączyć bez usuwania informacji o konfiguracji na karcie IDP, naciskając ikonę pola wyboru w lewym górnym rogu i zapisując konfigurację strony. Wyłączenie usługi IDP w ten sposób zachowuje informacje konfiguracyjne w przypadku konieczności ponownego włączenia usługi IDP w późniejszym czasie.

Wyłączenie usługi IDP w ten sposób nie powoduje problemu, ponieważ informacje zostają utracone, a usługę można szybko ponownie włączyć, naciskając ponownie pole wyboru i zapisując konfigurację strony.

Włączanie/wyłączanie karty IDP

Usuwanie konfiguracji IDP

Konfigurację IDP można usunąć bezpośrednio z panelu Tożsamość cyfrowa, naciskając ikonę kosza na karcie IDP.

W oknie dialogowym zostanie wyświetlona prośba do administratora o potwierdzenie usunięcia konfiguracji.

To okno dialogowe ostrzega również o wpływie na odbiorców, którzy jeszcze nie ukończyli uwierzytelniania za pomocą usługi IDP.

Jeśli konfiguracja usługi IDP zostanie usunięta lub usługa zostanie wyłączona, przy próbie weryfikacji tożsamości odbiorcy zostanie wyświetlony błąd.

Prośba o potwierdzenie usunięcia

Ważne kwestie

Jeśli usługa IDP będzie z jakiegokolwiek powodu wyłączona, gdy odbiorca próbuje zweryfikować swoją tożsamość, zostanie wyświetlony błąd, który prezentuje podstawowy komunikat informujący o wyłączeniu usługi i nakazuje skontaktowanie się z nadawcą umowy. Podany jest adres e-mail nadawcy.

W przypadku nadawców, którzy zostaną powiadomieni o problemie z usługą IDP, może zajść potrzeba zmiany metody uwierzytelniania do nowej usługi IDP lub innej akceptowalnej metody.

Błąd wyłączonej usługi