Criipto on nyt Idura. Lue täältä, miksi →

Johdatus CIBA-tunnistautumiseen

Kirjoittanut Natalia Moskaleva päivänä 7. huhtikuuta 2026

2 min lukuaika

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Johdatus CIBA-tunnistautumiseen</span>

Perinteinen OpenID Connect -tunnistautuminen perustuu selaimen uudelleenohjauksiin. Käyttäjä aloittaa kirjautumisen sovelluksessa, siirtyy selaimen kautta tunnistuspalveluun ja palaa lopuksi takaisin sovellukseen.

Tämä toimii hyvin silloin, kun sama laite hoitaa sekä kirjautumisen että sovelluksen käytön, ja kun käyttäjä itse käynnistää tunnistautumisen. Kaikissa tilanteissa tämä ei kuitenkaan ole mahdollista.

Entä jos tunnistautuminen pitää käynnistää yhdessä paikassa, mutta suorittaa toisessa? Tai jos käyttäjä ei itse käytä sovellusta, mutta henkilöllisyys täytyy silti varmistaa?

CIBA-tunnistautuminen on toimiva ratkaisu näihin tilanteisiin.

Mikä on CIBA?

CIBA (Client Initiated Backchannel Authentication) on OpenID Connect -laajennus, jossa sovellus käynnistää tunnistautumisen käyttäjän puolesta. Toisin kuin perinteisissä tunnistautumismalleissa, CIBA ei tarvitse lainkaan selainta. Sovellus ja tunnistuspalvelu keskustelevat keskenään suoraan taustakanavan kautta. Käyttäjän tehtäväksi jää vain tunnistautumisen hyväksyminen omalla laitteellaan.

Käytännössä tämä tarkoittaa esimerkiksi tilannetta, jossa pankin asiakaspalvelija käynnistää tunnistautumisen asiakaspuhelun aikana ja asiakas hyväksyy sen omassa pankkisovelluksessaan. Tämä tekee tunnistautumisesta joustavaa ja turvallista sekä mahdollistaa henkilöllisyyden varmentamisen uusilla tavoilla.

CIBA-tunnistautumisen keskeiset käsitteet

CIBA-tunnistautumiseen liittyy monta keskeistä käsitettä:

  • Eriytetty tunnistautuminen (decoupled authentication)
     Tunnistautuminen tapahtuu eri laitteella kuin itse palvelun käyttö.

  • Palvelulaite (consumption device)
     Laite tai järjestelmä, jossa asiointi tapahtuu ja josta tunnistautuminen käynnistetään.

  • Tunnistuslaite (authentication device)
     Käyttäjän oma laite, jossa tunnistautuminen hyväksytään.

  • Tunnistuspalvelu (OpenID Provider)
     Palvelu, joka hallinnoi käyttäjän tunnistetta ja käsittelee tunnistautumisen.

  • Taustakanava (backchannel)
     Sovellus ja tunnistuspalvelu keskustelevat keskenään suoraan ilman selainta.

Milloin CIBA-tunnistautumista kannattaa käyttää?

CIBA-menetelmä soveltuu esimerkiksi näihin käyttötarkoituksiin:

Puhelintunnistautuminen

Puhelintunnistautuminen on CIBA-menetelmän yleisimpiä käyttötapauksia. Asiakaspalvelija voi käynnistää tunnistautumisen asiakaspalvelupuhelun aikana, jolloin asiakas saa ilmoituksen puhelimeensa ja vahvistaa henkilöllisyytensä.

Lue lisää puhelintunnistautumisesta täältä.

Maksupäätteet (Point-of-Sale terminals, POS)

Maksu käynnistetään kassalla, mutta asiakas hyväksyy sen omalla puhelimellaan.

Internetiin yhteydessä oleva kodinelektroniikka eli IoT-laitteet (Internet-of-Things)

Älytelevisiot ja muut laitteet, joissa tunnistautuminen on hankalaa, voivat siirtää tunnistautumisen käyttäjän puhelimeen.

Esimerkiksi:

  • Kirjaudut suoratoistopalveluun televisiossa → vahvistat puhelimella
  • Teet ostoksen kaiuttimen ääniohjauksella → vahvistat puhelimella

Näin CIBA toimii käytännössä

Tässä koko CIBA-prosessi pääpiirteittäin:

  1. Järjestelmä käynnistää tunnistautumisen
     Asiakaspalvelujärjestelmä (tai vastaava) lähettää tunnistautumispyynnön tunnistuspalvelulle. pyyntöön kuuluu:
    • Sovelluksen tunnistetiedot
    • Pyydetyt käyttöoikeudet
    • Käyttäjän tunniste (esim. sähköposti tai henkilötunnus)

  2. Tunnistuspalvelu palauttaa tunnisteen
    Sovellus saa yksilöllisen tunnisteen (auth_req_id), jolla prosessia seurataan.
  3. Käyttäjää pyydetään tunnistautumaan
    Tunnistuspalvelu lähettää ilmoituksen käyttäjän laitteelle.
  4. Käyttäjä hyväksyy tunnistautumisen
    Tunnistautuminen tehdään esimerkiksi pankkitunnuksilla tai biometrisellä tunnisteella. Onnistuneen tunnistautumisen jälkeen sovellus saa tarvittavat tokenit.

Miten sovellus saa tokenit? CIBA tukee kolmea tapaa:

  • Poll: sovellus kysyy säännöllisesti, onko tunnistautuminen valmis

  • Ping: sovellus saa ilmoituksen ja hakee tokenit

  • Push: tunnistuspalvelu toimittaa tokenit suoraan sovellukselle

 

CIBA sequence graphic


Esimerkki: Puhelintunnistautuminen CIBA-menetelmällä 

Ruotsalainen BankID tukee puhelun aikaista tunnistautumista CIBA-menetelmällä: 

  1. Asiakas soittaa asiakaspalveluun
  2. Asiakaspalvelija käynnistää tunnistautumisen
  3. Asiakas saa ilmoituksen puhelimeensa
  4. Sovellus näyttää yrityksen nimen ja kysyy vahvistusta
  5. Asiakas hyväksyy tunnistautumisen PIN-koodilla tai biometrisella tunnisteella
    Asiakas voi myös halutessaan keskeyttää tunnistautumisen.

se-bankid-phone-auth

Yhteenveto

CIBA mahdollistaa tunnistautumisen tilanteissa, joissa perinteinen selainpohjainen malli ei toimi. Se sopii erityisesti: 

  • Puhelintunnistautumiseen

  • Monikanavaiseen asiointiin

  • IoT-laitteisiin, kuten älytelevisioihin ja muuhun kodinelektroniikkaan

  • Tilanteisiin, joissa käyttäjä ei itse käynnistä tunnistautumista

Tarvitsetko CIBA-tunnistautumista johonkin tiettyyn tarkoitukseen? Voit ottaa meihin yhteyttä yhteydenottolomakkeemme kautta!

 
Table of contents

Viisi syytä, miksi digitaalisten todistusten käyttöönotto on hidasta
Viisi syytä, miksi digitaalisten todistusten käyttöönotto on hidasta
Tunnistautuminen

Viisi syytä, miksi digitaalisten todistusten käyttöönotto on hidasta

31. maaliskuuta 2026 2 min lukuaika
Mitä sähköinen tunnistautuminen tarkoittaa?
What is Authentication? Factors, Types, and Examples
Tunnistautuminen

Mitä sähköinen tunnistautuminen tarkoittaa?

30. maaliskuuta 2026 4 min lukuaika
Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa
Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa
Tunnistautuminen

Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa

26. maaliskuuta 2026 2 min lukuaika