概覽
Adobe Acrobat Sign 數位身分識別閘道可讓組織從多種預先設定的協力廠商數位身分識別提供者 (IDP) 中選擇,並運用最符合其功能、安全性或合規性需求的身分識別驗證類型。使用者驗證、簽署者身分驗證和身分識別同盟解決方案的 IDP 服務會使用標準 OpenID Connect (OIDC) 驗證通訊協定來與 Acrobat Sign 整合。視所選的 IDP 而定,服務可能包括:
- 影片身分驗證
- 電子身分 (eID) 驗證
- 身分證件確認
- 知識式驗證 (KBA)
- 生物特徵辨識、驗證
許多 IDP 服務都符合 NIST 800-63A/B/C 的標準,其中符合最高 AAL3 的多重要素驗證解決方案、最高 IAL3 的身分驗證選項,且符合最高為 FAL3 的同盟判斷。部分 IDP 服務亦符合最高 ISO 29115 LoA4 和/或歐盟法規 910/2014 (eIPAS),最高為 LoA High。
所有 IDP 服務在使用前都需要與提供者簽訂商業合約和設定,並進行持續監控,以確保貴組織針對您的使用案例維持足夠數量的 IDP 服務交易。
採購、使用量和驗證交易報告
Acrobat Sign 授權並未包含身分識別提供者,而 Adobe 並未提供商業管道來從各種可設定的 IDP 取得身分識別服務。
客戶有責任與其所選擇的 IDP 一同取得並維持足夠數量的身分識別交易。
IDP 會提供明確指引,說明如何使用和支付交易,並直接向客戶報告使用量/可用性。
收件者體驗
透過 Acrobat Sign 簽署程序,客戶會收到一封「檢閱並簽署」電子郵件,如同簽署任何其他合約一樣。
當收件者選取「檢閱並簽署」按鈕來開啟合約時,會顯示一個資訊對話方塊,說明需要身分驗證才能存取文件。根據所設定的設定,客戶會看到:
- 驗證程序的高階摘要。
- 執行身分驗證的 IDP 名稱和標誌。
- IDP 支援服務的電子郵件及電話。如果驗證程序有問題,可據此與服務人員聯絡。
- 傳送合約之 Acrobat Sign 使用者的電子郵件地址,以便收件者有需要時,可與其聯絡。
- 一份聲明,說明收件者的身分資料將儲存在簽署者身分報告中 (如果傳送者的帳戶已做此設定)。
- 關於取消合約前,收件者可嘗試進行驗證的剩餘次數警告訊息。此訊息只會在收件者嘗試驗證程序且失敗後出現。
- 「驗證身分」按鈕會開啟快顯視窗畫面,並將程序移交給 IDP,以觸發驗證程序。
- 收件者在驗證程序和待執行驗證類型方面的體驗,取決於選定傳送者的身分識別提供者。
成功完成驗證程序後,系統會將收件者送回 Acrobat Sign 視窗,並會看到該合約。
傳送者體驗
在撰寫新合約時選擇身分識別提供者
當傳送者帳戶或群組設定並啟用一或多個 IDP 時,使用者會在下拉式選單中看到選取 IDP 的選項,其中包含收件者可使用的所有驗證方法。啟用的 IDP 會列在「數位身分識別閘道」區段下方。若未啟用 IDP,就不會出現「數位身分識別閘道」區段,使用者也不會看到任何 IDP。
將滑鼠移至選單清單中的 IDP 上方,會顯示提供 IDP 服務簡短說明的工具提示。
在傳送合約後更新 IDP
如果使用者需要更新驗證以選取不同的 IDP (或任何其他驗證方法),使用者可以使用相同的程序來編輯驗證方法。
使用者並未受限於僅能從「數位身分識別閘道」選取其他 IDP。可以選取任何其他已啟用的驗證方法。
稽核報告
稽核報告明確指出,收件者是由「數位身分識別閘道」的身分識別提供者所驗證,並指定涉及了哪些 IDP,以及其服務的說明:
簽署者身分報告 (SIR)
根據預設,Acrobat Sign 不會保留 IDP 所回傳的身分識別資訊。不過,帳戶和群組管理員可以啟用選項,將身分資訊儲存在 Acrobat Sign 伺服器上。
此外,管理員可以在帳戶和群組層級中設定選項,該選項能讓使用者得以從可用動作的詳細清單上的「管理」頁面下載「身分報告」。
「簽署者身分報告」包含身分驗證交易成功時,IDP 所傳回的所有身分識別資訊,以及交易失敗的相關資料,其內容會因廠商和驗證方式而異。常見資料包括:
- 參照 ID:在 IDP 結束時發生的交易之唯一識別碼,可用於支援請求及鑑識分析。
- 主體 (主體識別碼):在 IDP 系統環境中,為收件者提供唯一的識別碼。
- ID 權杖原始值:提供 IDP 所簽署的判斷,其中包含身分識別程序的結果。以目前交易的情境來驗證身分的證明。
如需簽署者身分報告的詳細資訊,請參閱此頁面 >
使用 IDP 進行身分驗證的設定存取權限
在管理員選單的「數位身分識別」標籤下啟用驗證方法。
此檢視有三個高階設定,頁面底部會填入可用的 IDP 完整清單。
- 數位身分識別閘道 - 設定為允許存取數位身分識別服務的閘道。
- 允許簽署者 X 次嘗試在取消合約前驗證其身分 - 自動取消任何違反身分驗證嘗試次數上限之收件者的合約。
- 嘗試次數上限為 10 次
- 設定此值時,請瞭解 IDP 交易使用量原則的性質。部分廠商每次嘗試都會收取費用。
- 儲存已驗證的身分資料以允許簽署者身分報告
- 啟用時,身分驗證資訊會儲存在 Acrobat Sign 伺服器上,並可使用 SIR 擷取。
- 停用時,身分資訊不會儲存在 Acrobat Sign 伺服器上。
- 啟用並儲存設定後,就會立即開始收集資料。同樣地,一旦停用並儲存設定,就會停止收集資料。
- 在審核收件者時尚未收集的資料,之後也無法收集。
- 允許簽署者 X 次嘗試在取消合約前驗證其身分 - 自動取消任何違反身分驗證嘗試次數上限之收件者的合約。
啟用「數位身分識別閘道」後,也會針對內部收件者啟用透過「數位身分識別閘道」進行身分驗證。當「數位身分識別閘道」啟用時,則無法停用此選項。
無法為外部和內部收件者設定不同的 IDP。這兩種類型的收件者都可以使用「數位身分識別」介面中的所有可用選項。
相關控制項
如果您打算允許使用者下載「簽署者身分報告」,則需要檢閱另外兩項設定:
如果您希望讓使用者能夠下載 SIR,您必須在帳戶或群組層級明確啟用其存取權限。
- 請導覽至「帳戶設定 > 傳送設定 > 簽署者身分識別選項」。
- 啟用「針對內含已驗證簽名的合約,允許傳送者下載簽署者身分報告」。
- 「儲存」頁面設定。
此設定會為「數位身分識別」提供者提供 SIR。
這與政府 ID 使用的設定不同。
下載身分報告時,使用者必須使用密碼保護 PDF。
根據貴公司設定機密 PII 文件的原則,來設定 PDF 密碼強度原則。
- 導覽至「帳戶設定 > 安全性設定 > 文件密碼強度」
- 設定適當的複雜度。
- 「儲存」頁面設定。
設定個別 IDP
「數位身分識別」頁面底部是 IDP「卡片」。每張卡片代表 IDP 所提供的一或多個驗證方法。
若要啟用 IDP 卡,請按一下齒輪圖示:
本文件使用 Adobe Okta IDP,僅供舉例之用。客戶沒有此 IDP 的存取權。
您可以根據需求,在帳戶和/或群組層級中設定一個 IDP。介面會稍微變更,以提供有關群組層級設定繼承狀態的背景資訊:
在帳戶層級,介面只需要啟用「啟用此服務以進行驗證」核取方塊:
若您並未核取「啟用此服務以進行驗證」核取方塊,且在群組層級檢視 IDP 設定時該行呈現灰色,則會取消設定帳戶層級 IDP 服務。
您可以核取「以群組層級設定覆寫帳戶設定」核取方塊,以啟用群組層級設定。
若在群組層級檢視 IDP 設定時未核取「啟用此服務以進行驗證」核取方塊,則會設定帳戶層級 IDP 服務。
您可以核取「以群組層級設定覆寫帳戶設定」核取方塊,以使用群組特定參數來啟用和定義群組層級設定。
核取「啟用此服務以進行驗證」以及「以群組層級設定覆寫帳戶設定」核取方塊時,則會為群組明確設定 IDP 服務。
IDP 設定要求取決於 IDP 所使用的驗證方法:
基本驗證需要您的 IDP 提供的兩個要素:
- 用戶端 ID
- 用戶端密碼
完成時,請「儲存」設定。
私人金鑰 JWT 需要您的 IDP 提供的三個元素:
- 用戶端 ID
- 簽署憑證 (.p12 或 .pfx 格式)。
- 用於保護簽署憑證的密碼。
完成時,請「儲存」設定。
用戶端密碼後續驗證需要您的 IDP 提供的兩個元素:
- 用戶端 ID
- 用戶端密碼
完成時,請「儲存」設定。
用戶端密碼 JWT 驗證需要您的 IDP 提供的兩個元素:
- 用戶端 ID
- 用戶端密碼
完成時,請「儲存」設定。
停用/啟用已設定的 IDP
您不必刪除 IDP 卡上的設定資訊,只要按下左上角的核取方塊圖示並儲存頁面設定,即可停用 IDP 服務。如果您稍後需要重新啟用 IDP,這種「停用 IDP 服務」的方式會保留設定資訊。
由於資訊遺失,因此透過此方式停用 IDP 服務不會產生要求,且只要再次按下核取方塊並儲存頁面設定,即可快速重新啟用服務。
刪除 IDP 設定
您可以按下 IDP 卡上的垃圾桶圖示,直接從「數位身分識別」面板刪除 IDP 設定。
系統管理員將會看到一個對話方塊,要求他們確認是否應刪除設定。
此對話方塊也會警告收件者尚未完成 IDP 驗證會產生的影響。
如果刪除了 IDP 設定或停用服務,當收件者嘗試驗證其身分時,會顯示錯誤。
注意事項
如果收件者嘗試驗證其身分時,因任何原因停用 IDP 服務,系統會產生一個錯誤,提供已停用服務的基本訊息,並出現指示,請收件者聯絡合約傳送者。已提供傳送者的電子郵件地址。
若傳送者收到 IDP 服務問題的通知,可能需要將驗證方法變更為新的 IDP,或其他可接受的方式。
