概要
Adobe Acrobat Sign デジタル ID ゲートウェイを使用すると、企業は多数の事前設定されたサードパーティデジタル ID プロバイダー(IDP)から選択し、機能、セキュリティ、コンプライアンスのニーズに最適なタイプの ID 確認を活用できます。ユーザー認証、署名者の ID 確認、および ID フェデレーションソリューション用の IDP サービスは、標準の OpenID Connect(OIDC)認証プロトコルを使用して Acrobat Sign と統合されます。選択した IDP に応じて、サービスには次のものが含まれます。
- ビデオ ID 確認
- 電子 ID(eID)認証
- ID 文書確認
- ナレッジベース認証(KBA)
- 生体識別、認証
IDP サービスの多くは、最大 AAL3 の多要素認証ソリューション、最大 IAL3 の ID 確認オプション、最大 FAL3 のフェデレーションアサーションのための NIST 800-63A/B/C 標準規格を満たしています。一部の IDP サービスは、最大 ISO 29115 LoA4 および/または最大 LoA High の EU Regulation 910/2014(eIDAS)を満たしています。
すべての IDP サービスで、使用前のプロバイダーとの商用契約および設定が必要であり、さらに、組織がユースケースに十分な量の IDP サービストランザクションを維持していることを確認する継続的な監視が必要です。
認証トランザクションの調達、消費、レポート
ID プロバイダーは Acrobat Sign のライセンスには含まれません。また、Adobe は設定可能なさまざまな IDP から ID サービスを調達するための商業チャネルを提供しません。
お客様は、選択した IDP との十分な量の ID トランザクションを取得して維持する必要があります。
IDP は、トランザクションがどのように消費され、請求されるかについて明確なガイダンスを提供し、消費や可用性についてお客様に直接報告します。
受信者のエクスペリエンス
Acrobat Sign 署名プロセスを通じて、顧客には、他の契約書と同様にレビューおよび署名電子メールが送信されます。
受信者が「確認して署名」ボタンを選択して契約書を開くと、文書にアクセスするために ID 確認が必要であることを示す情報ダイアログが表示されます。設定に応じて、顧客には次の情報が表示されます。
- 確認プロセスの概要。
- ID 確認を実行する IDP の名前とロゴ。
- 確認プロセスに問題がある場合に、IDP のサポートに問い合わせるための電子メールと電話番号。
- 契約書を送信した Acrobat Sign ユーザーの電子メールアドレス(受信者が連絡する必要がある場合に備えて)。
- 受信者の ID データが署名者 ID レポートに保存されることの通知(送信者のアカウントでこの動作が設定されている場合)。
- 契約書がキャンセルされるまでに受信者が実行できる残りの確認試行回数に関する警告メッセージ。このメッセージは、受信者が ID プロセスを試行して失敗した場合にのみ表示されます。
- 「ID を確認」ボタンにより、ポップアップ画面が開き、プロセスが IDP に渡されて、検証プロセスがトリガーされます。
- 検証プロセスの受信者エクスペリエンスと実行される確認の種類は、送信者が選択した ID プロバイダーに応じて異なります。
確認プロセスが正常に完了すると、受信者は Acrobat Sign のウィンドウに戻り、契約書が表示されます。
送信者のエクスペリエンス
新規契約書作成時の ID プロバイダーの選択
送信者のアカウントまたはグループで 1 つ以上の IDP が設定されて有効になっている場合、ドロップダウンメニューに IDP を選択するオプションが表示され、受信者が使用できるすべての認証方法が表示されます。有効になっている IDP は、「デジタル ID ゲートウェイ」セクションに表示されます。有効な IDP がない場合は、「デジタル ID ゲートウェイ」セクションは表示されず、ユーザーには IDP が表示されません。
メニューリストで IDP にカーソルを合わせると、IDP サービスの簡単な説明を示すツールチップが表示されます。
契約書送信後の IDP の更新
別の IDP(または他の認証方法)を選択するために認証を更新する必要がある場合、ユーザーは同じプロセスを使用して認証方法を編集できます。
ユーザーは、必ずしもデジタル ID ゲートウェイから別の IDP を選択する必要はありません。別の有効な認証方法を選択できます。
監査レポート
監査レポートには、受信者がデジタル ID ゲートウェイから ID プロバイダーによって確認されたことが明記され、関与した IDP とそのサービスの説明が示されています。
>署名者の ID レポート(SIR)
デフォルトでは、Acrobat Sign は IDP から返された ID 情報を保持しません。ただし、アカウント管理者とグループ管理者は、Acrobat Sign サーバーに ID 情報を保存するオプションを有効にできます。
また、管理者はアカウントレベルおよびグループレベルで、管理ページにある利用可能なアクションのリストから、ID レポートをユーザーがダウンロードできるようにするオプションを設定できます。
署名者 ID レポートには、ID 確認トランザクションが成功したときの、IDP によって返されたすべての ID 情報と、トランザクションが失敗したときの関連データが含まれています。内容はベンダーや認証方法に応じて異なります。一般的なデータには、次のものがあります。
- 参照 ID:IDP 側で発生したトランザクションに関する一意の識別子。フォレンジック分析だけでなく、サポート依頼にも役立ちます。
- sub(サブジェクト識別子):IDP システムのコンテキストで受信者の一意の ID を提供します。
- ID トークンの未加工値:識別プロセスの結果を含む IDP によって署名されたアサーションを提供します。現在のトランザクションのコンテキストで ID が確認された証明になります。
署名者 ID レポートについて詳しくは、こちらのページを参照してください。
ID 確認に IDP を利用するための設定へのアクセス
管理メニューの「デジタル ID」タブで認証方法を有効にします。
このビューには 3 つの全般設定があり、ページの下部に利用可能なすべての IDP のリストが表示されます。
- デジタル ID ゲートウェイ — この設定は、デジタル ID サービスへのアクセスを許可するゲートです。
- 契約書をキャンセルする前に、署名者による署名の検証を X 回許可 - ID 確認がこの最大試行回数を超えたすべての受信者は、契約書が自動的にキャンセルされます。
- 最大試行回数は 10 回です。
- この値を設定する際に、IDP のトランザクション消費ポリシーの内容を確認してください。試行するたびに課金するベンダーもあります。
- 署名者 ID レポートの取得を許可するための確認済み ID データを保存
- 有効にすると、ID 確認情報が Acrobat Sign サーバーに保存され、署名者 ID レポートを使用して取得できます。
- 無効にすると、ID 情報は Acrobat Sign サーバーに保存されません。
- データ収集は、設定を有効にして保存するとすぐに開始されます。同様に、設定を無効にして保存すると、すぐにデータ収集が停止します。
- 受信者が審査された時点で収集されなかったデータは、後で収集することはできません。
- 契約書をキャンセルする前に、署名者による署名の検証を X 回許可 - ID 確認がこの最大試行回数を超えたすべての受信者は、契約書が自動的にキャンセルされます。
デジタル ID ゲートウェイを有効にすると、Digital Identity Gateway を介した内部受信者の ID 認証方法も有効になります。このオプションは、デジタル ID ゲートウェイが有効になっている間、無効にすることはできません。
外部受信者と内部受信者に異なる IDP を設定することはできません。デジタル ID インターフェイスで使用できるすべてのオプションを、両方のタイプの受信者に使用できます。
関連するコントロール
署名者 ID レポートのダウンロードをユーザーに許可する場合、2 つの追加設定を確認してください。
ユーザーが署名者 ID レポートをダウンロードできるようにする場合、アカウントレベルまたはグループレベルで明示的にアクセスを有効にする必要があります。
- アカウント設定/送信設定/署名者の ID オプションに移動します。
- 「送信者が検証済み署名を含む契約書の署名者 ID レポートをダウンロードすることを許可する」を有効にします。
- ページ設定を保存します。
この設定により、デジタル ID プロバイダーの署名者 ID レポートが有効になります。
これは、Government ID で使用している設定とは異なります。
ID レポートをダウンロードする場合、ユーザーは PDF をパスワード保護する必要があります。
機密 PII ドキュメントに対する企業ポリシーに従って、PDF パスワードの強度ポリシーを設定してください。
- アカウント設定/セキュリティ設定/文書のパスワード強度に移動します。
- 適切な複雑度を設定します。
- ページ設定を保存します。
個々の IDP の設定
デジタル ID ページの下部が IDP「カード」です。各カードは、IDP が提供する 1 つ以上の認証方法を表します。
IDP カードを有効にするには、歯車アイコンをクリックします。
このドキュメントでは、Adobe Okta IDP が例として使用されています。お客様はこの IDP にアクセスできません。
必要に応じて、アカウントレベルまたはグループレベル(あるいはその両方で) 1 つの IDP を設定できます。インターフェイスがわずかに変更され、 グループレベル設定の継承ステータスに関するコンテキストが表示されます。
アカウントレベルでは、インターフェイスで「このサービスを有効にして検証する」チェックボックスを有効にする操作だけが必要です。
グループレベルで IDP 設定を表示したときに、「このサービスを有効にして検証する」チェックボックスが選択されておらず行がグレーアウトされている場合、アカウントレベルの IDP サービスは設定されていません。
グループレベル設定は、「グループレベル設定でアカウント設定を上書き」チェックボックスを選択すると、有効になります。
グループレベルで IDP 設定を表示したときに、「このサービスを有効にして検証する」チェックボックスが選択されていない場合、アカウントレベルで IDP サービスが設定されています。
「グループレベル設定でアカウント設定を上書き」チェックボックスを選択することで、グループ固有のパラメータでグループレベルの設定を有効にして定義できます。
「このサービスを有効にして検証する」および「グループレベル設定でアカウント設定を上書き」チェックボックスが選択されている場合、IDP サービスはグループに対して明示的に設定されます。
IDP 設定の要件は、IDP で使用される認証方法に応じて異なります。
基本認証には、IDP から提供される次の 2 つの要素が必要です。
- クライアント ID
- クライアントシークレット
設定が完了したら、保存します。
プライベートキー JWT には、IDP から提供される次の 3 つの要素が必要です。
- クライアント ID
- 署名証明書(.p12 または .pfx 形式)
- 署名証明書を保護するために使用するパスワード
設定が完了したら、保存します。
クライアントシークレット POST 認証には、IDP から提供される次の 2 つの要素が必要です。
- クライアント ID
- クライアントシークレット
設定が完了したら、保存します。
クライアントシークレット JWT 認証には、IDP から提供される次の 2 つの要素が必要です。
- クライアント ID
- クライアントシークレット
設定が完了したら、保存します。
設定された IDP の無効化/有効化
IDP カードの設定情報を削除せずに IDP サービスを無効にするには、左上隅のチェックボックスアイコンを押して、ページ設定を保存します。この方法で IDP サービスを無効にすると、後で IDP を再度有効にする必要がある場合に、設定情報が保持されます。
この方法で IDP サービスを無効にしても、情報が失われるため確認メッセージは表示されません。このチェックボックスをもう一度押してページ設定を保存すると、サービスがすぐに再度有効になります。
IDP 設定の削除
IDP カードのゴミ箱アイコンを押すと、IDP 設定を「デジタル ID」パネルから直接削除できます。
管理者に設定が削除されることを確認するよう求めるダイアログが表示されます。
このダイアログでは、IDP による認証が完了していない受信者に対する影響についても警告します。
IDP 設定が削除されたか、サービスが無効になっている場合、受信者が ID を確認しようとするとエラーが表示されます。
知っておくべきこと
受信者が ID を確認しようとしたときに、何らかの理由で IDP サービスが無効になっている場合、エラーが発生し、サービスが無効になっていることを通知する基本的なメッセージが表示され、契約書の送信者に連絡を取るよう求められます。送信者の電子メールアドレスが表示されます。
IDP サービスの問題に関する通知を受信した送信者は、新しい IDP または他の可能な方法に認証方法を変更する必要があります。
