Метод аутентификации Adobe Acrobat Sign: аутентификация на основе знаний (KBA)

Аутентификация на основе знаний (KBA) — это метод двухфакторной аутентификации премиум-класса, обеспечивающий высокоуровневую проверку удостоверения личности. Метод KBA доступен только для проверки личности получателей в США.

Процесс аутентификации требует, чтобы получатель указал свои имя и фамилию в дополнение к своему домашнему адресу. При необходимости получатель может ввести последние четыре цифры своего номера социального страхования США.

Введенная информация используется для запроса нескольких общедоступных баз данных и создания списка из трех или четырех нетривиальных вопросов для получателя.

Примеры вопросов

• Выберите правильный номер дома адреса, по которому вы проживали вместе с {имя}.
• Каким из следующих летательных аппаратов вы владели?
• В каком из следующих городов вы посещали колледж?
• У кого вы приобрели недвижимость {адрес}?
• Какой возрастной диапазон соответствует возрасту {имя}?

После прохождения аутентификации получателю предоставляется доступ для просмотра и взаимодействия с документом.

Если получатель закроет документ по какой-либо причине до завершения необходимых действий, ему потребуется еще раз пройти аутентификацию.

Для защиты от атак методом подбора аутентификацию KBA можно настроить для автоматической отмены документа после указанного числа неудачных попыток.

Примечание о персональных данных получателя

Аутентификация на основе знаний — это сервис, предоставляемый в рамках партнерства на платформе InstantID Q&A от LexisNexis.

Страница запроса является страницей iframe сервиса LexisNexis. Все данные получателя, введенные и полученные во время процесса аутентификации, существуют только на странице LexisNexis и не передаются в сервис Adobe Acrobat Sign.

После проверки получателя LexisNexis передает маркер аутентификации в Acrobat Sign для подтверждения доступа. Идентификатор tokenID хранится в отчете об аудите вместе с записью об успешном прохождении аутентификации.

Настройка метода аутентификации на основе знаний при создании нового документа

Если аутентификация KBA включена, отправитель может выбрать ее из раскрывающегося списка Аутентификация справа от адреса электронной почты получателя.

Для дополнительной настройки метода KBA может потребоваться, чтобы отправитель указал имя получателя.

Этот параметр гарантирует, что имя получателя остается неизменным на протяжении всего срока действия транзакции.

Использование транзакций аутентификации премиум-класса

В качестве метода аутентификации премиум-класса KBA требует, чтобы транзакции были приобретены и доступны для учетной записи, прежде чем документы могут быть отправлены с настроенной аутентификацией KBA.

Транзакции KBA расходуются для каждого получателя.

Например, документ, предназначенный для трех получателей, которые используют аутентификацию KBA, требует три транзакции.

При создании документа с несколькими получателями для каждого получателя, который использует аутентификацию KBA, одна транзакция вычитается из общего объема, доступного для учетной записи.

• При отмене черновика документа с настроенным методом KBA все транзакции аутентификации KBA возвращаются в общий объем, доступный для учетной записи.
• При отмене выполняемой транзакции аутентификации она не возвращается в общий объем, доступный для учетной записи.
• Изменение метода аутентификации на KBA (с любого другого метода) расходует одну транзакцию.
  • Если вы меняете метод аутентификации одного и того же получателя с KBA на другие методы, то вы расходуете только одну транзакцию.
    
• При изменении метода аутентификации с KBA на другой метод транзакция не возвращается.
• Каждый получатель, который использует аутентификацию с помощью KBA, расходует только одну транзакцию, независимо от того, сколько раз он пытается выполнить процесс аутентификации.

Отслеживание доступного количества

Для отслеживания количества транзакций KBA, доступных для учетной записи, выполните следующие действия.

• Выберите Настройки учетной записи > Настройки отправки > Методы аутентификации.
• Нажмите ссылку Отслеживание использования.

Отчет об аудите

Событие успешной аутентификации на основе знаний регистрируется в отчете об аудите, включая маркер аутентификации от LexisNexis.

Если документ был отменен из-за того, что получатель не смог пройти аутентификацию, причина будет явно указана.

Передовые методы и рекомендации

• Если для внутренних подписей не требуется двухфакторная аутентификация подписи, рассмотрите метод аутентификации Acrobat Sign вместо аутентификации KBA, чтобы оптимизировать процесс подписания и сэкономить на потреблении транзакций аутентификации премиум-класса.
  

Параметры конфигурации

Аутентификация на основе знаний имеет два набора настроек, которые можно определить на уровне учетной записи и группы.

• Параметры отправки, которые управляют доступом отправителя к настройкам KBA.
• Параметры безопасности, которые определяют интерфейс получателя.

Включение метода аутентификации в разделе Параметры отправки

Для отправителей можно включить возможность использования аутентификации на основе знаний в разделе Параметры отправки > Методы аутентификации пользователя.

• Флажок Аутентификация на основе знаний. Если этот флажок установлен, KBA является доступным параметром для документов, созданных в группе.
• (Необязательно) Запрашивать имя подписанта на странице отправки. Если этот флажок установлен, отправители должны указывать имя получателя. Это значение имени сохраняется в течение всего цикла подписания; получатель не может изменять его.
  • Включение этого параметра не допускает передачу документа получателем (включая автоматическую передачу).
  • Параметр «Замена подписывающей стороны» будет доступен для отправителя на современной странице Управление.
    
• (Необязательно) Использовать KBA при просмотре документа после его подписания. Если этот параметр включен, то при любой попытке перехода по ссылке на онлайн-документ, хранящийся в Acrobat Sign, потребуется пройти повторную аутентификацию на основе знаний (см. ниже).
  • Примечание. Этот метод аутентификации предназначен только для предоставления доступа к исходному документу по ссылке и отличается от использования пароля для просмотра документа PDF.
    
• (Необязательно) После включения метода KBA можно назначить его методом по умолчанию, который будет предложен при создании нового документа.
• Сохраните изменения на странице.

Обязательная аутентификация для просмотра исходного онлайн-документа по ссылке

Шаблоны сообщений электронной почты, такие как подтверждение подписи получателя, могут содержать ссылку на исходный документ, хранящийся на серверах Acrobat Sign:

Если включен параметр Использовать KBA при просмотре документа после его подписания, при любой попытке доступа к документу по ссылке получатель должен пройти повторную аутентификацию на основе знаний.

• Этот параметр встраивается в документ при его создании. Изменение этого параметра не влияет на доступ к документам, уже находящимся в обработке.
• Если метод подтверждения личности получателя изменяется, то аутентификация при просмотре документа по ссылке отключается.
• Каждый раз, когда получатель проходит аутентификацию для просмотра документа, расходуются транзакции аутентификации премиум-класса.
  

Процесс подтверждения идентичен процессу аутентификации исходного получателя:

Документ не открывается для просмотра до тех пор, пока не будет успешно пройдена аутентификация на основе знаний.

После того как получатель подписал документ и выполнил свое действие, невозможно отключить аутентификацию или изменить ее настройки.

Настройте параметры безопасности

На странице Параметры защиты доступны три настройки аутентификации на основе знаний.

• Ограничить количество попыток. Включено по умолчанию. Этот флажок позволяет системе безопасности отменить документ, если получатель не смог пройти аутентификацию за указанное число попыток. Если этот параметр отключен, получатели могут пытаться пройти аутентификацию неограниченное количество раз.
  • Разрешить подписывающей стороне XX попыток подтверждения личности до отмены документа. Администратор может указать любое максимальное количество попыток аутентификации. При превышении этого количества попыток документ автоматически отменяется.
• Уровень сложности аутентификации на основе знаний. Этот параметр задает уровень сложности процедуры проверки:
  • По умолчанию. Подписывающей стороне предлагается 3 вопроса, и на все эти вопросы необходимо ответить правильно. Если подписывающая сторона правильно ответила только на 2 вопроса, будет предложено еще 2 вопроса, и на оба эти вопроса необходимо ответить правильно.
  • Высокий. Подписывающей стороне предлагается 4 вопроса, и на все эти вопросы необходимо ответить правильно. Если подписывающая сторона правильно ответила только на 3 вопроса, будет предложено еще 2 вопроса, и на оба эти вопроса необходимо ответить правильно.

Автоматическая отмена документа, если получатель не прошел аутентификацию

Если в настройках ограничено количество попыток аутентификации KBA, и получатель не выполнил аутентификацию указанное количество раз, документ автоматически отменяется.

Автору документа будет отправлено электронное письмо с уведомлением об отмене и указанием получателя, который не прошел аутентификацию.

Другие стороны уведомление не получают.