...
O CIBA (Client Initiated Backchannel Authentication) é um protocolo de autenticação desacoplado em que Instituições Iniciadoras de Pagamento ou Receptoras de Dados recebem consentimentos dos usuários SEM realizar o fluxo FAPI Hybrid Flow (redirecionamento) em todas as interações.
Existem diversas formas para realizar esse fluxo e algumas delas estão listadas abaixo:
Opção 1:
O usuário é redirecionado via fluxo FAPI Hybrid Flow apenas uma única vez, onde o CIBA é ativado e por consequência os próximos pedidos de autorização serão por meio de um canal secundário - o backchannel - em que as Instituições Iniciadoras de Pagamento ou Receptoras de Dados se comunicam com o Servidor de Autorização da Instituição Detentora da Conta ou Transmissora de Dados para receber a autorização o consentimento do usuário.
O uso do FAPI Hybrid Flow para o vínculo inicial dessa opção 1 foi escolhido porque já é um processo conhecido pelo usuário e permite uma identificação via id_token em que os Servidores de Autorização já implementam nas Instituições Detentoras de Conta ou Transmissora de Dados.
Após o vínculo, nos próximos pedidos de consentimento, o usuário receberá um push notification, SMS, mensagem via WhatsApp, etc como canal de redirecionamento para o aceite do consentimento.
Opção 2:
O usuário não é redirecionado via fluxo FAPI Hybrid Flow e as informações do próprio consentimento são utilizadas para iniciar uma autorização por meio de um canal de redirecionamentopara secundário - o backchannel - em que as Instituições Iniciadoras de Pagamento ou Receptoras de Dados se comunicam com o Servidor de Autorização da Instituição Detentora da Conta ou Transmissora de Dados para receber a autorização do consentimento do usuário.
Não existe vínculo, e nesse primeiro pedido de autorização de consentimento, o usuário receberá um push notification, SMS, mensagem via WhatsApp, etc como canal de redirecionamento para o aceite do consentimento.
Ao habilitar o fluxo CIBA os participantes devem implementar algumas diretrizes:
O id_token é único e representa um cliente e conta;
O tempo de aceite do consentimento sobre o pedido de Autorização recebido via CIBA deverá se manter o mesmo definido para o fluxo via Hybrid Flow, de 5 minutos;respeitando as configurações do produto utilizado.
O payload de pagamento deve conter identificação que foi realizado via CIBA ou FAPI Hybrid Flow.
O fluxo CIBA está descrito em quatro documentos técnicos que se complementam mutuamente, e fazem referências a outras especificações. Recomenda-se a consulta na seguinte ordem:
...
o Esta é a principal especificação do fluxo CIBA divulgada pela OpenID Foundation, contendo detalhes de implementação, requisitos e recomendações, e referências a outras especificações basais.
...
o Este é o perfil de regras e recomendações de autenticação e segurança proposto pelo GT de Segurança do Open Finance Brasil.
...
...
o Este é o perfil de regras e recomendações de autenticação e segurança proposto pela OpenID Foundation para implementações genéricas do fluxo CIBA.
...
...
o Este é o perfil de regras e recomendações de autenticação e segurança proposto pela Squad CIBA do Open Finance Brasil para implementação do fluxo CIBA para Iniciação de Pagamentos no cenário brasileiro.
O protocolo CIBA é abrangente e permite diversos casos de uso. Nas próximas seções estão definidas as opções permitidas e seus detalhes.
[EN] [SV] CIBA – Decoupled Flow
...
Introduction
The CIBA (Client-Initiated Backchannel Authentication) is a decoupled authentication protocol where Payment Initiator Institutions Initiators or Data Receiving Institutions Receivers obtain user consents WITHOUT consent without performing the FAPI Hybrid Flow (redirection) in for every interaction.The
There are several ways to implement this flow, and some of them are listed below:
Option 1:
The user is redirected via the FAPI Hybrid Flow only once, where during which CIBA is activated and consequently, the next . As a result, subsequent authorization requests will be occur through a secondary channel - the backchannel - where Payment Initiator Institutions or Data Receiving Institutions channel—the backchannel—where Payment Initiators or Data Receivers communicate with the Authorization Server of the Account Holding Institution or Data Transmitting Institution to receive the user 's consent.
Using the The use of FAPI Hybrid Flow for the initial link linkage in this option was chosen because it 's is already a known process by the user familiar process for users and allows identification via an id_token that implemented by the Authorization Servers already implement in of Account Holding Institutions or Data Transmitting Institutions.
After the linklinkage, in subsequent consent requests will notify the user through push notifications, SMS, WhatsApp messages, etc., as the redirection channel for consent approval.
Option 2:
The user will receive a push notificationis not redirected via the FAPI Hybrid Flow. Instead, the consent information itself is used to initiate authorization via a secondary channel—the backchannel—where Payment Initiators or Data Receivers communicate with the Authorization Server of the Account Holding or Data Transmitting Institution to obtain user consent.
In this scenario, there is no linkage, and during the first authorization request, the user will receive notifications through push notifications, SMS, WhatsApp message, or another channel to redirect and accept the consent.
When enabling the CIBA flow, participants must implement certain guidelines:
...
messages, etc., as the redirection channel for consent approval.
Requirements for Enabling the CIBA Flow:
Participants must implement the following guidelines:
The id_token
...
must be unique and
...
represent both a client and an account
...
.
The consent acceptance time for the Authorization authorization request received via CIBA should maintain must remain the same as that defined for the flow via Hybrid Flow, which is 5 minutes;respecting the configurations of the utilized product.
The payment payload must contain identification that indicate whether it was carried out processed via CIBA or FAPI Hybrid Flow.
The CIBA flow is described outlined in four mutually complementary technical documents and refers to other , which reference additional specifications. It is recommended to consult them in the following orderThe recommended reading order is as follows:
...
o This is the primary specification
...
for the CIBA flow
...
published by the OpenID Foundation, containing implementation details, requirements, recommendations, and references to
...
foundational specifications.
...
o This profile provides authentication and security rules and recommendations proposed by the Open Finance Brasil Security
...
Working Group.
...
o This profile outlines authentication and security rules and recommendations proposed by the OpenID Foundation for generic
...
CIBA flow implementations.
...
...
o This profile provides authentication and security rules and recommendations proposed by the
...
Open Finance Brasil CIBA Squad for implementing the CIBA flow
...
for Payment Initiation in the Brazilian scenario.
The CIBA protocol is comprehensive and supports various use cases. The following next sections define the currently allowed permitted options and their details.
...