Обзор
Шлюз цифрового удостоверения Adobe Acrobat Sign позволяет организациям выбирать из широкого круга предварительно настроенных сторонних поставщиков услуг цифровой идентификации личности (IDP) и внедрять наиболее оптимальный тип проверки личности для обеспечения функциональных возможностей, безопасности и соблюдения норм. Для сервисов IDP по аутентификации пользователей, проверке личности владельца подписи и идентификационной федерации используется стандартный протокол аутентификации OpenID Connect (OIDC) для целей интеграции с Acrobat Sign. В зависимости от выбранного IDP, сервис может включать в себя следующее:
- Проверка личности по видеосвязи
- Аутентификация электронной личности (eID)
- Подтверждение удостоверения личности
- Аутентификация по секретному вопросу (KBA)
- Биометрическая идентификация, аутентификация
Многие сервисы IDP отвечают стандартам NIST 800-63A/B/C для решений по многофакторной аутентификации вплоть до AAL3, опции проверки личности вплоть до IAL3, а также утверждение федерации до FAL3. Некоторые сервисы IDP также соответствуют стандартам ISO 29115 LoA4 и (или) Регламента ЕС 910/2014 (eIDAS) до уровня LoA «Высокий».
Для всех сервисов IDP обязательны хозяйственный договор с поставщиком услуг и конфигурирование, прежде чем будет разрешено их использование. Также обязателен постоянный мониторинг для регистрации того, что ваша организация поддерживает объем транзакций с применением сервисов IDP на должном для вашего уровня объеме.
Получение, расходование транзакций аутентификации и отчеты о них
Поставщики услуг идентификации не включены в лицензию Acrobat Sign, и Adobe не предоставляет коммерческих каналов для получения услуг идентификации от различных настраиваемых IDP.
Задача по приобретению и поддержанию необходимого объема транзакций идентификации у выбранного IDP лежит на клиенте.
IDP должны предоставлять четкую информацию о расходовании и оплате транзакций, а также отчет об их расходовании/доступности напрямую клиенту.
Интерфейс получателя
При подписании с помощью Acrobat Sign клиент получает электронное письмо Просмотреть и подписать , как при любом другом соглашении.
Когда получатель нажимает кнопку «Просмотреть и подписать», чтобы открыть соглашение, отображается информационный диалог, указывающий, что для доступа к документу требуется подтвердить личность. В зависимости от выбранных настроек, клиент увидит:
- Подробное описание процесса проверки.
- Название и логотип IDP, выполняющего подтверждение личности.
- Адрес электронной почты и номер телефона для связи со службой поддержки IDP в случае возникновения проблем в процессе подтверждения.
- Адрес электронной почты пользователя Acrobat Sign, отправившего соглашение, если получателю потребуется связаться с ним.
- Предупреждение, что данные идентификации получателя будут сохранены в отчете о подтверждении личности подписывающей стороны (если учетная запись отправителя соответствующим образом настроена).
- Предупреждение о количестве оставшихся попыток подтверждения, доступных получателю, прежде чем соглашение будет отменено. Это сообщение появится только, если получатель попытается, но не сможет пройти процесс идентификации.
- Кнопка Подтвердить личность запускает процесс подтверждения, открывая всплывающее окно и передавая дальнейший процесс IDP.
- Интерфейс процесса подтверждения для получателя и тип проверки будут зависеть от выбранного отправителем поставщика услуг идентификации.
После успешного завершения процесса подтверждения получатель перенаправляется обратно в окно Acrobat Sign, где будет представлено соглашение.
Интерфейс отправителя
Выбор поставщика услуг идентификации при составлении нового соглашения
Когда для учетной записи или группы отправителя настроен один или несколько поставщиков услуг идентификации, пользователи увидят возможность выбора IDP в раскрывающемся меню, содержащем все методы аутентификации, доступные получателю. Задействованные IDP будут перечислены в разделе «Шлюз цифрового удостоверения». Если IDP не задействованы, раздел «Шлюз цифрового удостоверения» не будет отображаться, и пользователь не будет видеть никаких IDP.
При наведении мыши на IDP в списке меню отобразится подсказка с кратким описанием сервиса IDP.
Изменение IDP после отправки соглашения
Если пользователю необходимо обновить аутентификацию и выбрать другого IDP (или любой другой метод аутентификации), можно воспользоваться тем же процессом, чтобы отредактировать метод аутентификации.
Пользователь не ограничен лишь выбором другого IDP в разделе «Шлюз цифрового удостоверения». Можно выбрать любой другой задействованный метод аутентификации.
Отчет об аудите
Отчет об аудите ясно указывает, что личность получателя была подтверждена поставщиком услуг идентификации из шлюза цифрового удостоверения, и уточняет, какой IDP выполнял проверку, а также содержит краткое описание предоставленной услуги:
Отчет о подтверждении личности подписывающей стороны (SIR)
По умолчанию Acrobat Sign не сохраняет идентификационные данные, полученные от IDP. Однако администраторы учетной записи или группы могут включить настройку сохранения идентификационных данных на серверах Acrobat Sign.
Помимо этого администраторы могут настроить на уровне учетной записи или группы возможность загружать отчет о подтверждении личности на странице Управление в списке доступных действий.
Отчет о подтверждении личности подписывающей стороны содержит все идентификационные данные, полученные от IDP в случае успешной транзакции подтверждения личности, а также необходимые данные в случае сбоя транзакции. Содержимое может различаться в зависимости от поставщика услуг и метода аутентификации. Как правило, такие данные включают в себя следующее:
- Ссылочный идентификационный номер — уникальный идентификатор транзакции, осуществленной на стороне IDP. Используется для обработки запросов в службу поддержки и криминалистической экспертизы.
- sub (Идентификатор субъекта): возвращает уникальный идентификатор получателя внутри системы IDP.
- Необработанное значение маркера ID: возвращает подписанное IDP подтверждение с результатов процедуры подтверждения личности. Доказательство того, что для текущей транзакции личность установлена и проверена.
Подробнее об Отчете по подтверждению личности подписывающей стороны см. на этой странице >
Доступ к конфигурации использования IDP для подтверждения личности
Включите метод аутентификации на вкладке Цифровое удостоверение в меню администратора.
В этом представлении есть три высокоуровневые настройки, а полный список доступных IDP находится в нижней части страницы.
- Шлюз цифрового удостоверения — это настройка шлюза, который предоставляет доступ к сервисам цифровой идентификации.
- Разрешить подписывающим сторонам X попыток подтверждения подписи до отмены соглашения — если получатель превысит максимальное количество попыток подтверждения личности, соглашение будет автоматически отменено.
- Максимальное количество попыток — десять
- При установке этого значения необходимо понимать условия расходования транзакций вашего IDP. Некоторые поставщики взимают плату за каждую попытку.
- Храните проверенные данные идентификации, чтобы создавать Отчеты об идентификации подписывающих сторон
- Если этот параметр включен, информация о подтверждении личности хранится на серверах Acrobat Sign и ее можно получить из отчета по подтверждению личности подписывающей стороны.
- Если параметр отключен, информация об идентификации не хранится на серверах Acrobat Sign.
- Сбор данных начнется, как только настройка будет включена и сохранена. Аналогичным образом, сбор данных прекратится, как только настройка будет отключена и сохранена.
- Данные, не собранные при проверке получателя, невозможно собрать позднее.
- Разрешить подписывающим сторонам X попыток подтверждения подписи до отмены соглашения — если получатель превысит максимальное количество попыток подтверждения личности, соглашение будет автоматически отменено.
Когда включен Шлюз цифрового удостоверения, также включен и метод аутентификации личности для внутренних получателей через Шлюз цифрового удостоверения. Этот параметр нельзя отключить, пока включен Шлюз цифрового удостоверения.
Для внешних и внутренних получателей нельзя настроить разные IDP. Все параметры интерфейса Цифрового удостоверения доступны для обоих типов получателей.
Связанные настройки
Если необходимо предоставить пользователям возможность скачивать отчет о подтверждении личности подписывающей стороны, есть еще две настройки, с которыми следует ознакомиться:
Если необходимо предоставить пользователям возможность скачивать отчет о подтверждении личности подписывающей стороны, нужно явно предоставить им доступ на уровне учетной записи или группы.
- Перейдите в раздел Настройки учетной записи > Настройки отправки > Параметры идентификации подписывающей стороны.
- Включите Разрешить отправителям загрузку отчетов, подтверждающих личность подписывающей стороны, в случае соглашений, содержащих проверенные подписи.
- Сохраните конфигурацию страницы.
Этот параметр предоставляет доступ к отчету о подтверждении личности подписывающей стороны для поставщиков услуг цифровой идентификации.
Этот параметр отличается от используемого для удостоверения личности.
При загрузке отчета о подтверждении личности пользователь должен защитить файл PDF паролем.
Установите правила в отношении сложности пароля файла PDF согласно принятому в вашей компании регламенту обращения с конфиденциальной документации, содержащей личные данные.
- Перейдите в раздел Настройки учетной записи > Настройки безопасности > Надежность пароля документа
- Установите соответствующую сложность.
- Сохраните конфигурацию страницы.
Настройка отдельных IDP
В нижней части страницы Цифровое удостоверение находятся «карточки» IDP. Каждая карточка представляет собой один или более методов аутентификации от конкретного IDP.
Чтобы включить карточку IDP, нажмите на значок шестеренки:
IDP Adobe Okta используется в этой документации исключительно в качестве примера. У клиентов нет доступа к данному IDP.
Одного IDP можно настраивать на уровне группы или учетной записи, в зависимости от ваших потребностей. Интерфейс несколько изменяется, чтобы предоставить информацию о статусе наследования параметра на уровне группы:
На уровне учетной записи в интерфейсе требуется только установить флажок Включить этот сервис для проверки:
Если при просмотре конфигурации IDP на уровне группы флажок Включить этот сервис для проверки не установлен, и строка неактивна, сервис IDP не настроен на уровне учетной записи.
Конфигурацию на уровне группы можно включить, установив флажок Переопределить настройки учетной записи настройками уровня группы.
Если при просмотре конфигурации IDP на уровне группы флажок Включить этот сервис для проверки не установлен, сервис IDP настроен на уровне учетной записи.
Конфигурацию на уровне группы можно включить и задать с параметрами для конкретной группы, установив флажок Переопределить настройки учетной записи настройками уровня группы.
Если флажки Включить этот сервис для проверки и Переопределить настройки учетной записи настройками уровня группы установлены, сервис IDP настроен для группы явным образом.
Требования к конфигурации IDP зависят от используемого им метода аутентификации:
Для базовой аутентификации требуются два элемента, которые должен предоставить IDP:
- Идентификатор клиента
- Секретный ключ клиента
Нажмите Сохранить, чтобы завершить настройку.
Для JWT с секретным ключом требуются три элемента, которые должен предоставить IDP:
- Идентификатор клиента
- Сертификат подписания (в формате .p12 или .pfx).
- Пароль для защиты сертификата подписания.
Нажмите Сохранить, чтобы завершить настройку.
Для аутентификации Post с секретным ключом клиента требуются два элемента, которые должен предоставить IDP:
- Идентификатор клиента
- Секретный ключ клиента
Нажмите Сохранить, чтобы завершить настройку.
Для аутентификации JWT с секретным ключом клиента требуются два элемента, которые должен предоставить IDP:
- Идентификатор клиента
- Секретный ключ клиента
Нажмите Сохранить, чтобы завершить настройку.
Включить/отключить настроенного IDP
Сервис IDP можно отключить без удаления сведений конфигурации в карточке IDP, нажав на флажок в левом верхнем углу и сохранив конфигурацию страницы. Такой способ отключения сервиса IDP сохраняет конфигурацию на случай, если вам понадобится снова включить его в будущем.
При этом способе отключения сервиса IDP не возникает проблем, так как информация не теряется, и сервис можно снова включить, нажав на флажок и сохранив конфигурацию.
Удаление конфигурации IDP
Конфигурацию IDP можно удалить напрямую через панель Цифровое удостоверение, нажав значок мусорной корзины на карточке IDP.
Диалоговое окно потребует от администратора подтвердить удаление конфигурации.
В нем также будет предупреждение о влиянии на получателей, которые еще не завершили аутентификацию через данного IDP.
Если конфигурация IDP будет удалена или сервис будет отключен, когда получатель попытается удостоверить свою личность, он увидит ошибку.
Важная информация
Если во время подтверждения личности получателем сервис IDP будет по какой-либо причине отключен, появится ошибка с сообщением о том, что сервис отключен, и рекомендацией обратиться к отправителю соглашения. Адрес электронной почты отправителя будет предоставлен.
Отправителям, которым поступило уведомление о проблемах с сервисом IDP, может потребоваться изменить метод аутентификации на нового IDP или другой допустимый метод.
