Руководство пользователя Отмена

Шлюз цифрового удостоверения

 

Руководство пользователя Adobe Acrobat Sign

Новые возможности

Начало работы

Администрирование

Отправка, подписание соглашений и управление ими

Расширенные возможности и рабочие процессы для работы с соглашениями

Интеграция с другими продуктами

Разработчик Acrobat Sign

Поддержка и устранение неполадок

Обзор

Шлюз цифрового удостоверения Adobe Acrobat Sign позволяет организациям выбирать из широкого круга предварительно настроенных сторонних поставщиков услуг цифровой идентификации личности (IDP) и внедрять наиболее оптимальный тип проверки личности для обеспечения функциональных возможностей, безопасности и соблюдения норм. Для сервисов IDP по аутентификации пользователей, проверке личности владельца подписи и идентификационной федерации используется стандартный протокол аутентификации OpenID Connect (OIDC) для целей интеграции с Acrobat Sign. В зависимости от выбранного IDP, сервис может включать в себя следующее:

  • Проверка личности по видеосвязи
  • Аутентификация электронной личности (eID)
  • Подтверждение удостоверения личности
  • Аутентификация по секретному вопросу (KBA)
  • Биометрическая идентификация, аутентификация

Многие сервисы IDP отвечают стандартам NIST 800-63A/B/C для решений по многофакторной аутентификации вплоть до AAL3, опции проверки личности вплоть до IAL3, а также утверждение федерации до FAL3. Некоторые сервисы IDP также соответствуют стандартам ISO 29115 LoA4 и (или) Регламента ЕС 910/2014 (eIDAS) до уровня LoA «Высокий».

Для всех сервисов IDP обязательны хозяйственный договор с поставщиком услуг и конфигурирование, прежде чем будет разрешено их использование. Также обязателен постоянный мониторинг для регистрации того, что ваша организация поддерживает объем транзакций с применением сервисов IDP на должном для вашего уровня объеме.

Получение, расходование транзакций аутентификации и отчеты о них

Поставщики услуг идентификации не включены в лицензию Acrobat Sign, и Adobe не предоставляет коммерческих каналов для получения услуг идентификации от различных настраиваемых IDP. 

Задача по приобретению и поддержанию необходимого объема транзакций идентификации у выбранного IDP лежит на клиенте. 

IDP должны предоставлять четкую информацию о расходовании и оплате транзакций, а также отчет об их расходовании/доступности напрямую клиенту. 

Интерфейс получателя

При подписании с помощью Acrobat Sign клиент получает электронное письмо Просмотреть и подписать , как при любом другом соглашении.

Когда получатель нажимает кнопку «Просмотреть и подписать», чтобы открыть соглашение, отображается информационный диалог, указывающий, что для доступа к документу требуется подтвердить личность. В зависимости от выбранных настроек, клиент увидит:

  • Подробное описание процесса проверки.
  • Название и логотип IDP, выполняющего подтверждение личности.
  • Адрес электронной почты и номер телефона для связи со службой поддержки IDP в случае возникновения проблем в процессе подтверждения.
  • Адрес электронной почты пользователя Acrobat Sign, отправившего соглашение, если получателю потребуется связаться с ним.
  • Предупреждение, что данные идентификации получателя будут сохранены в отчете о подтверждении личности подписывающей стороны (если учетная запись отправителя соответствующим образом настроена).
  • Предупреждение о количестве оставшихся попыток подтверждения, доступных получателю, прежде чем соглашение будет отменено. Это сообщение появится только, если получатель попытается, но не сможет пройти процесс идентификации.
  • Кнопка Подтвердить личность запускает процесс подтверждения, открывая всплывающее окно и передавая дальнейший процесс IDP.
    • Интерфейс процесса подтверждения для получателя и тип проверки будут зависеть от выбранного отправителем поставщика услуг идентификации.

После успешного завершения процесса подтверждения получатель перенаправляется обратно в окно Acrobat Sign, где будет представлено соглашение.

Сообщение аутентификации для получателя

Интерфейс отправителя

Выбор поставщика услуг идентификации при составлении нового соглашения

Когда для учетной записи или группы отправителя настроен один или несколько поставщиков услуг идентификации, пользователи увидят возможность выбора IDP в раскрывающемся меню, содержащем все методы аутентификации, доступные получателю. Задействованные IDP будут перечислены в разделе «Шлюз цифрового удостоверения». Если IDP не задействованы, раздел «Шлюз цифрового удостоверения» не будет отображаться, и пользователь не будет видеть никаких IDP.

При наведении мыши на IDP в списке меню отобразится подсказка с кратким описанием сервиса IDP.

Выберите метод аутентификации

Изменение IDP после отправки соглашения

Если пользователю необходимо обновить аутентификацию и выбрать другого IDP (или любой другой метод аутентификации), можно воспользоваться тем же процессом, чтобы отредактировать метод аутентификации.

Пользователь не ограничен лишь выбором другого IDP в разделе «Шлюз цифрового удостоверения». Можно выбрать любой другой задействованный метод аутентификации.

Изменение метода аутентификации

Отчет об аудите

Отчет об аудите ясно указывает, что личность получателя была подтверждена поставщиком услуг идентификации из шлюза цифрового удостоверения, и уточняет, какой IDP выполнял проверку, а также содержит краткое описание предоставленной услуги:

Отчет об аудите

Отчет о подтверждении личности подписывающей стороны (SIR)

По умолчанию Acrobat Sign не сохраняет идентификационные данные, полученные от IDP. Однако администраторы учетной записи или группы могут включить настройку сохранения идентификационных данных на серверах Acrobat Sign.

Помимо этого администраторы могут настроить на уровне учетной записи или группы возможность загружать отчет о подтверждении личности на странице Управление в списке доступных действий.

Загрузка отчета SIR с помощью страницы «Управление»

Отчет о подтверждении личности подписывающей стороны содержит все идентификационные данные, полученные от IDP в случае успешной транзакции подтверждения личности, а также необходимые данные в случае сбоя транзакции. Содержимое может различаться в зависимости от поставщика услуг и метода аутентификации. Как правило, такие данные включают в себя следующее:

  • Ссылочный идентификационный номер — уникальный идентификатор транзакции, осуществленной на стороне IDP. Используется для обработки запросов в службу поддержки и криминалистической экспертизы.
  • sub (Идентификатор субъекта): возвращает уникальный идентификатор получателя внутри системы IDP.
  • Необработанное значение маркера ID: возвращает подписанное IDP подтверждение с результатов процедуры подтверждения личности. Доказательство того, что для текущей транзакции личность установлена и проверена.
Загрузка отчета SIR с помощью страницы «Управление»

Подробнее об Отчете по подтверждению личности подписывающей стороны см. на этой странице >

Доступ к конфигурации использования IDP для подтверждения личности

Включите метод аутентификации на вкладке Цифровое удостоверение в меню администратора.

В этом представлении есть три высокоуровневые настройки, а полный список доступных IDP находится в нижней части страницы.

  • Шлюз цифрового удостоверения — это настройка шлюза, который предоставляет доступ к сервисам цифровой идентификации.
    • Разрешить подписывающим сторонам X попыток подтверждения подписи до отмены соглашения — если получатель превысит максимальное количество попыток подтверждения личности, соглашение будет автоматически отменено.
      • Максимальное количество попыток — десять
      • При установке этого значения необходимо понимать условия расходования транзакций вашего IDP. Некоторые поставщики взимают плату за каждую попытку.
    • Храните проверенные данные идентификации, чтобы создавать Отчеты об идентификации подписывающих сторон
      •  Если этот параметр включен, информация о подтверждении личности хранится на серверах Acrobat Sign и ее можно получить из отчета по подтверждению личности подписывающей стороны.
      • Если параметр отключен, информация об идентификации не хранится на серверах Acrobat Sign.
      • Сбор данных начнется, как только настройка будет включена и сохранена. Аналогичным образом, сбор данных прекратится, как только настройка будет отключена и сохранена.
      • Данные, не собранные при проверке получателя, невозможно собрать позднее.
Шлюз цифрового удостоверения

Когда включен Шлюз цифрового удостоверения, также включен и метод аутентификации личности для внутренних получателей через Шлюз цифрового удостоверения. Этот параметр нельзя отключить, пока включен Шлюз цифрового удостоверения.

Конфигурация внутренних получателей

Примечание.

Для внешних и внутренних получателей нельзя настроить разные IDP. Все параметры интерфейса Цифрового удостоверения доступны для обоих типов получателей.

Связанные настройки

Если необходимо предоставить пользователям возможность скачивать отчет о подтверждении личности подписывающей стороны, есть еще две настройки, с которыми следует ознакомиться:

Настройка отдельных IDP

В нижней части страницы Цифровое удостоверение находятся «карточки» IDP. Каждая карточка представляет собой один или более методов аутентификации от конкретного IDP.

Чтобы включить карточку IDP, нажмите на значок шестеренки:

Настройка карточки IDP

Примечание.

IDP Adobe Okta используется в этой документации исключительно в качестве примера. У клиентов нет доступа к данному IDP.

Одного IDP можно настраивать на уровне группы или учетной записи, в зависимости от ваших потребностей. Интерфейс несколько изменяется, чтобы предоставить информацию о статусе наследования параметра на уровне группы:

 

Требования к конфигурации IDP зависят от используемого им метода аутентификации:

Включить/отключить настроенного IDP

Сервис IDP можно отключить без удаления сведений конфигурации в карточке IDP, нажав на флажок в левом верхнем углу и сохранив конфигурацию страницы. Такой способ отключения сервиса IDP сохраняет конфигурацию на случай, если вам понадобится снова включить его в будущем.

При этом способе отключения сервиса IDP не возникает проблем, так как информация не теряется, и сервис можно снова включить, нажав на флажок и сохранив конфигурацию.

Отключение-включение карточки IDP

Удаление конфигурации IDP

Конфигурацию IDP можно удалить напрямую через панель Цифровое удостоверение, нажав значок мусорной корзины на карточке IDP.

Диалоговое окно потребует от администратора подтвердить удаление конфигурации.

В нем также будет предупреждение о влиянии на получателей, которые еще не завершили аутентификацию через данного IDP.

Если конфигурация IDP будет удалена или сервис будет отключен, когда получатель попытается удостоверить свою личность, он увидит ошибку.

Подтверждение удаления

Важная информация