サードパーティの web サイトへの Acrobat Sign の埋め込みを制限

検索
Adobe Acrobat Sign

Adobe Acrobat Sign

Web で開く

API ベースのフレーム制御を使用して、埋め込み署名エクスペリエンスをクリックジャッキングの脅威から保護します。

クリックジャッキングとは、悪意のあるサイトがユーザーを騙し、意図とは異なる対象をクリックさせることで、契約書の承認や署名などの操作を不正に乗っ取る可能性のある攻撃手法です。

このクリックジャッキング防止機能は、Acrobat Sign のページが iframe 内に埋め込まれる際のタイミングや方法を制御することで、信頼されたドメインからのみ、かつ管理された条件下での埋め込みを可能にし、有害な行為を防止します。

クリックジャッキング防止を有効にすることで、ユーザーを保護しながら、承認されたワークフローがスムーズに機能するようにします。

設定

利用対象:

  • Acrobat Standard および Acrobat Pro:設定不可
  • Acrobat Sign Solutions:サポート対象、デフォルトで無効
  • Acrobat Sign for Government:サポート対象、デフォルトで有効。

設定範囲:

管理者は、アカウントレベルとグループレベルでこの機能を有効にできます。

この機能にアクセスするには、管理者の設定メニューから、セキュリティ設定/サードパーティの web サイトへの Adobe Acrobat Sign の埋め込みを制限に移動します。

「サードパーティの web サイトへの Adobe Acrobat Sign の埋め込みを制限」コントロールがハイライト表示されたセキュリティ設定管理者ページ。

使用方法

クリックジャッキング防止が有効な場合、Acrobat Sign は以下の条件を満たす場合にのみ iframe への埋め込みを許可します:

  • 統合でREST API v5 以降を使用している
  • API リクエストで autoLoginUser フラグが true に設定されている
  • commonViewConfiguration オブジェクトを介してリクエストで frameParent ドメインが提供されている
{
    "commonViewConfiguration": {
    "autoLoginUser": true,
    "frameParent": "yourdomain.com"
    }
}

ベストプラクティス

この機能はすべてのお客様に推奨されており、特に Acrobat Sign ページを iframe に埋め込んでいないお客様に適しています。

外部アプリケーション内で Acrobat Sign をフレーム表示している場合でも、この機能を利用することで、統合ワークフローを維持しながらセキュリティを確保できます。 次に例を示します。

  • カスタム web アプリケーションに署名または管理ビューを埋め込む。
  • ドメイン内でスムーズな署名者エクスペリエンスを実現するための自動ログインフローを使用する。
  • ユーザーが承認された iframe コンテキストからのみドキュメントを操作できるようにする。

API 呼び出しで frameParent パラメーターを定義していない統合がある場合にのみ、お客様はこの機能を無効にする必要があります。

知っておくべきこと

  • クリックジャッキング防止は、web ページのすべての表示に適用されますが、SOAP および従来の REST 統合では、Acrobat Sign を埋め込むことはできません。
  • ブラウザーのサポート状況は異なり、Internet Explorer などの一部の旧式ブラウザーでは、CSP の frame-ancestors 指定がサポートされていません。X-Frame Options も適用されます。

トラブルシューティング

クリックジャッキング防止を有効にした際に iframe が表示されない場合は、以下を確認してください :

  • REST API v5 以降を使用しているか確認してください。
  • /views API 呼び出しに frameParent パラメーターが含まれているか確認してください。

Adobe, Inc.

ヘルプをすばやく簡単に入手

新規ユーザーの場合

クイックリンク

すべてのプランを表示 プランを管理
クイックリンクを表示する
クイックリンクを非表示にする

法律上の注意    |    プライバシーポリシー