Table of Contents
<img src="/img/news/ciba_pr_english.png" class=“mx-auto d-block” style=“width: 100%; max-width: 760px;” alt=“ciba use cases” />
Client Initiated Backchannel Authentication (CIBA) é um dos mais recentes padrões da OpenID Foundation. É definir novos fluxos de autenticação e autorização, que são categorizados como “fluxo desacoplado”, em comparação com o tradicional OAuth / OpenID Connect “fluxo redirecionado”. Ele permite novas formas de obter o consentimento do usuário final que podem melhorar significativamente a experiência do cliente.
A CIBA define dois tipos de dispositivos; Dispositivo de Consumo e Dispositivo de Autenticação. O Dispositivo de Consumo inicia o fluxo da CIBA interagindo com seu correspoinding OpenID Connect (OIDC) Relying Party (RP) para determinar um OIDC Identity Provider (IdP) e identificador de um usuário alvo, e fazer um pedido de autenticação OIDC ao servidor. O servidor envia uma notificação para o dispositivo de autenticação do usuário alvo. Assim que o usuário se autentica com o Dispositivo de Autenticação ao servidor e opcionalmente autoriza a solicitação, o servidor faz uma resposta incluindo tokens tais como OAuth Access Token / Refresh Token, OIDC ID Token.
Note que estes dois dispositivos são desacoplados um ao outro - estes dispositivos não precisam estar no mesmo lugar. Além disso, uma pessoa que inicia o fluxo com o dispositivo de consumo não é necessariamente a mesma que o usuário alvo com o dispositivo de autenticação. Esta arquitetura traz mais flexibilidade para a autenticação e consentimento do usuário.
<img src="/img/news/oidc_certification.png" class=“mx-auto d-block” style=“width: 100%; max-width: 200px;” alt=“OIDF Certified Mark” />
Authlete é pioneira em apoiar a CIBA. Implementamos o CIBA Core 1.0 desde fevereiro de 2019, e obtivemos certificações para os perfis de conformidade com o Financial-grade API Client Initiated Backchannel Authentication Profile (FAPI-CIBA).
Também estamos ativos para desenvolver o CIBA Core e especificações relacionadas (por exemplo, o Financial-grade API: Client Initiated Backchannel Authentication Profile (Perfil de Autenticação de Backchannel Iniciado pelo Cliente) no Grupo de Trabalho da OpenID Foundation em conformidade com o Financial-grade API (FAPI).
Por favor, verifique este documento.