Översikt
Med Adobe Acrobat Sign Digital Identity Gateway kan organisationer välja bland ett stort antal förkonfigurerade digitala identitetsleverantörer från tredje part (IdP) och utnyttja den typ av identitetsverifiering som bäst passar deras funktions-, säkerhets- eller regelefterlevnadsbehov. IdP-tjänster för användarautentisering, verifiering av signeraridentitet och lösningar för identitetsfederation använder standardautentiseringsprotokollet OpenID Connect (OIDC) för att integrera med Acrobat Sign. Beroende på vilken IdP som valts kan tjänsten omfatta:
- Identitetsverifiering med video
- Elektronisk identitetsautentisering (eID)
- Bekräftelse av identitetshandling
- Kunskapsbaserad autentisering (KBA)
- Biometrisk identifiering, autentisering
Många av IdP-tjänsterna uppfyller NIST 800-63A/B/C-standarderna för multifaktorautentiseringslösningar upp till AAL3, alternativ för identitetsverifiering upp till IAL3 samt federationsförsäkran upp till FAL3. Vissa IdP-tjänster uppfyller också upp till ISO 29115 LoA4 och/eller EU-förordning 910/2014 (eIDAS) upp till LoA High.
Alla IdP-tjänster kräver ett kommersiellt avtal och en konfiguration med leverantören innan de används, tillsammans med pågående övervakning för att säkerställa att organisationen upprätthåller en tillräcklig volym med transaktioner av IdP-tjänster för dina användningsfall.
Inköp, förbrukning och rapportering av autentiseringstransaktioner
Identitetsleverantörer ingår inte i Acrobat Sign-licensieringen, och Adobe tillhandahåller inte någon kommersiell kanal för att skaffa identifieringstjänster från de olika IdP som kan konfigureras.
Det åligger kunden att skaffa och upprätthålla en tillräcklig volym av identitetstransaktioner med den IdP som de väljer.
IdP ger tydlig vägledning om hur transaktioner förbrukas och faktureras och rapporterar förbrukning/tillgänglighet direkt till kunden.
Mottagare upplevelse
Genom signeringsprocessen i Acrobat Sign får kunden ett e-postmeddelande om att Granska och signera som alla andra avtal.
När mottagaren väljer knappen Granska och signera för att öppna avtalet visas en informationsdialogruta som anger att identitetsverifiering krävs för att komma åt dokumentet. Beroende på konfigurerade inställningar kan kunden se:
- En sammanfattning på hög nivå av verifieringsprocessen.
- Namnet på och logotypen för den IdP som utför identitetsverifieringen.
- E-post och telefonnummer för att kontakta IdP:ns support om det uppstår problem med verifieringsprocessen.
- E-postadressen till den Acrobat Sign-användare som skickade avtalet, om mottagaren behöver kontakta dem.
- En instruktion om att mottagarens identitetsdata kommer att lagras i rapporten över signeraridentitet (om avsändarens konto är konfigurerat att göra det).
- Ett varningsmeddelande om antalet återstående verifieringsförsök som är tillgängliga för mottagaren innan avtalet avbryts. Det här meddelandet visas bara efter att mottagaren har försökt identifiera och misslyckats.
- Knappen Verifiera identitet startar verifieringsprocessen genom att en popup-skärm öppnas och processen överlämnas till IdP.
- Mottagarens upplevelse av verifieringsprocessen och vilken typ av verifiering som ska göras beror på vilken identitetsleverantör avsändaren har valt.
När verifieringsprocessen har slutförts returneras mottagaren till Acrobat Sign-fönstret och avtalet visas.
Avsändarens upplevelse
Välj identitetsleverantör när du skapar ett nytt avtal
När en eller flera identitetsleverantörer har konfigurerats och aktiverats för avsändarens konto eller grupp, visas alternativet att välja identitetsleverantör i listrutan som innehåller alla autentiseringsmetoder som är tillgängliga för mottagaren. Aktiverade IdP:er listas i avsnittet Digital Identity Gateway. Om inga IdP:er är aktiverade kommer avsnittet Digital Identity Gateway inte att finnas och användaren kommer inte att se några IdP:er.
Om du för musen över en IdP i menylistan visas ett verktygstips med en kort beskrivning av IdP-tjänsten.
Uppdatera IdP:n efter att avtalet har skickats
Om en användare måste uppdatera autentiseringen för att välja en annan IdP (eller någon annan autentiseringsmetod) kan användaren använda samma process för att redigera autentiseringsmetoden.
Användaren är inte begränsad till att välja en annan IdP från Digital Identity Gateway. Alla andra aktiverade autentiseringsmetoder kan väljas.
Granskningsrapport
Granskningsrapporten visar tydligt att mottagaren verifierades av en identitetsleverantör från Digital Identity Gateway och anger vilken IdP som var inblandad samt en beskrivning av deras tjänst:
Rapport över signeraridentitet (SIR)
Som standard sparar Acrobat Sign inte den identitetsinformation som returneras av IdP. Konto- och gruppadministratörer kan dock aktivera alternativet att spara identitetsinformationen på Acrobat Sign-servrar.
Dessutom kan administratörer konfigurera alternativet för användare på konto- och gruppnivå att hämta identitetsrapporten på sidan Hantera i listan över tillgängliga åtgärder.
Rapporten över signeraridentitet innehåller all identitetsinformation som returneras av IdP:n när identitetsverifieringen lyckas, samt relevanta data när en transaktion misslyckas. Innehållet varierar beroende på leverantör och autentiseringsmetod. Vanliga data omfattar:
- Referens-ID: en unik identifierare för transaktionen som inträffade i slutet av IdP:n. Användbar för supportärenden och forensisk analys.
- sub (Ämnesidentifierare): tillhandahåller en unik identifierare för mottagaren i kontexten av IdP-systemet.
- Råvärde för ID-token: tillhandahåller en försäkran som har signerats av IdP:n och som innehåller resultatet av identifieringsprocessen. Bevis för att identiteten verifierades i den aktuella transaktionens sammanhang.
Mer information om Rapport över signeraridentitet finns på den här sidan >
Konfigurationsåtkomst för att använda IdP som identitetsverifiering
Aktivera autentiseringsmetoden på fliken Digital identitet på administratörsmenyn.
Det finns tre högnivå-inställningar i den här vyn, med en fullständig lista över tillgängliga identitetsleverantörer längst ned på sidan.
- Digital Identity Gateway – denna inställning är porten som ger åtkomst till digitala identitetstjänster.
- Tillåt undertecknare X försök att validera sin signatur innan avtalet avbryts – alla mottagare som bryter mot det maximala antalet försök att validera sin identitet annullerar avtalet automatiskt.
- Det maximala antalet försök är tio
- Förstå innebörden av identitetsleverantörens policy för transaktionsförbrukning när du anger det här värdet. Vissa leverantörer tar betalt per försök.
- Lagra verifierad identitetsdata för att tillåta Rapporter över signeraridentitet
- När det här alternativet är aktiverat lagras identitetsverifieringsinformationen på Acrobat Sign-servrarna och kan hämtas med SIR.
- När det är inaktiverat lagras inte identitetsinformationen på Acrobat Sign-servrarna.
- Datainsamlingen startar så snart inställningen har aktiverats och sparats. På samma sätt upphör datainsamlingen så snart inställningen har inaktiverats och sparats.
- Data som inte samlas in när mottagaren granskas kan inte samlas in vid ett senare tillfälle.
- Tillåt undertecknare X försök att validera sin signatur innan avtalet avbryts – alla mottagare som bryter mot det maximala antalet försök att validera sin identitet annullerar avtalet automatiskt.
Relaterade kontroller
Det finns ytterligare två inställningar att granska om du tänker tillåta användare att ladda ned Rapporten över signeraridentitet:
Om du vill att användarna ska kunna hämta SIR måste du uttryckligen aktivera deras åtkomst på konto- eller gruppnivå.
- Gå till Kontoinställningar > Skicka-inställningar > Alternativ för signeraridentifiering.
- Aktivera Tillåt avsändare att ladda ned en Rapport över signeraridentitet för avtal som innehåller verifierade signaturer.
- Spara sidkonfigurationen.
Med den här inställningen aktiveras SIR för leverantörer av Digitala identiteter.
Det är inte samma inställning som Myndighets-ID använder.
När en identitetsrapport laddas ned måste användaren lösenordsskydda PDF-filen.
Ange styrkepolicyn för PDF-lösenord enligt företagets policy för konfidentiell PII-dokumentation.
- Gå till Kontoinställningar > Säkerhetsinställningar > Lösenordsstyrka för dokument
- Ange lämplig komplexitet.
- Spara sidkonfigurationen.
Konfigurera enskilda IdP:n
Längst ned på sidan Digital identitet finns "korten" för IdP. Varje kort representerar en eller flera autentiseringsmetoder från IdP.
Klicka på kugghjulsikonen för att aktivera ett IdP-kort:
Adobe Okta IdP används i den här dokumentationen endast i exempelsyfte. Kunder har inte åtkomst till denna IdP.
En IdP kan konfigureras på konto- och/eller gruppnivå, beroende på dina behov. Gränssnittet ändras något för att ge kontext om arvstatus för inställningen på gruppnivå:
På kontonivån kräver gränssnittet bara att kryssrutan Aktivera den här tjänsten för verifiering aktiveras:
Om kryssrutan Aktivera den här tjänsten för verifiering är avmarkerad och raden är nedtonad när en IdP-konfiguration visas på gruppnivå, är IdP-tjänsten på kontonivå inte konfigurerad.
Du kan aktivera konfigurationen på gruppnivå genom att markera kryssrutan Åsidosätt kontoinställningar med konfiguration på gruppnivå.
Om kryssrutan Aktivera den här tjänsten för verifiering avmarkeras när en IdP-konfiguration visas på gruppnivå konfigureras IdP-tjänsten på kontonivå.
Konfiguration på gruppnivå kan aktiveras och definieras med gruppspecifika parametrar genom att markera kryssrutan Åsidosätt kontoinställningar med konfiguration på gruppnivå.
När kryssrutorna Aktivera den här tjänsten för verifiering och Åsidosätt kontoinställningar med konfiguration på gruppnivå är markerade, konfigureras IdP-tjänsten uttryckligen för gruppen.
IdP-konfigurationskraven beror på vilken autentiseringsmetod IdP använder:
Grundläggande autentisering kräver två element som IdP:n tillhandahåller:
- Klient-ID
- Klienthemlighet
Spara konfigurationen när den är klar.
Privat nyckel för JWT kräver tre element som tillhandahålls av IdP:n:
- Klient-ID
- Signeringscertifikatet (i .p12- eller .pfx-format).
- Det lösenord som används för att skydda signeringscertifikatet.
Spara konfigurationen när den är klar.
Postautentisering med klienthemlighet kräver två element som IdP:n kommer att ge dig:
- Klient-ID
- Klienthemlighet
Spara konfigurationen när den är klar.
JWT-autentisering med klienthemlighet kräver två element som IdP:n tillhandahåller:
- Klient-ID
- Klienthemlighet
Spara konfigurationen när den är klar.
Inaktivera/aktivera en konfigurerad IdP
Du kan inaktivera IdP-tjänsten utan att ta bort konfigurationsinformationen på IdP-kortet genom att trycka på kryssruteikonen i det övre vänstra hörnet och spara sidkonfigurationen. Om du inaktiverar en IdP-tjänst på det här sättet bevaras konfigurationsinformationen om du skulle behöva aktivera IdP:n igen vid ett senare tillfälle.
Om du inaktiverar en IdP-tjänst på det här sättet uppstår ingen fråga eftersom information går förlorad, och tjänsten kan snabbt återaktiveras genom att markera kryssrutan igen och spara sidkonfigurationen.
Tar bort IdP-konfigurationen
En IdP-konfiguration kan tas bort direkt från panelen Digital identitet genom att trycka på papperskorgsikonen på IdP-kortet.
En dialogruta uppmanar administratören att bekräfta att konfigurationen ska tas bort.
Dialogrutan varnar också om effekten på mottagare som ännu inte har slutfört sin autentisering med IdP.
Om IdP-konfigurationen tas bort eller tjänsten inaktiveras visas ett felmeddelande för mottagaren när denne försöker verifiera sin identitet.
Bra att veta
Om IdP-tjänsten av någon anledning inaktiveras när en mottagare försöker verifiera sin identitet, genereras ett fel som visar ett grundläggande meddelande om att tjänsten är inaktiverad och en instruktion om att kontakta avtalets avsändare. Avsändarens e-postadress anges.
Avsändare som får ett meddelande om ett problem med IdP-tjänsten kan behöva ändra autentiseringsmetoden till en ny identitetsleverantör eller någon annan godtagbar metod.
För närvarande är möjligheten att använda en annan IdP-tjänst för interna mottagare inte tillgänglig.
Om inställningen Aktivera olika identitetsautentiseringsmetoder för interna mottagare är aktiverad är funktionen Digital Identity Gateway helt inaktiverad.