Criipto är nu Idura. Läs varför här →

Vad är Client Initiated Backchannel Authentication (CIBA)?

Av Natalia Moskaleva den 22 januari 2026

3 min lästid

Teckning av flow mellan kund och call center för CIBA och autentisering

Traditionella OpenID Connect-autentiseringsflöden i webb- och mobilapplikationer förlitar sig på omdirigeringar i webbläsaren. Användare startar vanligtvis autentiseringsprocessen i klientapplikationen på sin enhet, omdirigeras via sin webbläsare till Identity Provider för att autentisera sig och återvänder slutligen till klientapplikationen. Detta kräver att användarens primära enhet både hanterar autentiseringen och ger åtkomst till klientapplikationen.

Omdirigeringsflöden fungerar bra när samma enhet har åtkomst till både klientapplikationen och Identity Providern och när användaren initierar autentiseringsprocessen.

Men vad händer om du behöver utlösa autentiseringen från en enhet men slutföra den på en annan? I vissa situationer kontrolleras t.ex. inte klientapplikationen av slutanvändaren, men autentisering krävs ändå.

Det är där det nya CIBA-flödet erbjuder en lösning.

Vad är CIBA?

CIBA (Client Initiated Backchannel Authentication) är en utökning av de traditionella OpenID Connect-flödena där klientapplikationen initierar autentiseringsprocessen på uppdrag av slutanvändaren.

Till skillnad från traditionella flöden möjliggör CIBA direkt kommunikation mellan klientapplikationen och OpenID Providern, så det finns inget behov av en webbläsare alls.

Med andra ord krävs ingen interaktion från slutanvändaren för att starta autentiseringsprocessen med CIBA. Detta öppnar nya möjligheter för säkra och användarvänliga autentiseringslösningar.

Nyckelbegrepp för att förstå CIBA

Här är några användbara termer att hålla i minnet:

  • Frikopplad autentisering: CIBA separerar (frikopplar) den enhet där klientapplikationen körs ("konsumtionsenhet") och den enhet där användaren autentiserar sig ("autentiseringsenhet").

  • Konsumtionsenheten initierar CIBA-flödet genom att skicka en autentiseringsbegäran till OpenID Provider.

  • Autentiseringsenheten hanterar autentiseringen av slutanvändaren. Den kommer att få meddelanden från OpenID Provider som ber användaren att godkänna eller neka autentiseringsförfrågningar.

  • OpenID Provider (Authentication Server) hanterar användaridentiteter och hanterar autentiseringsförfrågningar.

  • Backchannel-kommunikation: OpenID Providern och klientapplikationen kommunicerar via backchannel. Detta innebär att endast konfidentiella klienter (t.ex. traditionella serverbaserade applikationer) är berättigade att använda CIBA.

När ska man använda CIBA?

Några viktiga användningsområden för CIBA inkluderar:

Bevisa din identitet för en handläggare på ett callcenter

Det här är ett kanoniskt exempel som belyser fördelarna med det frikopplade flödet. När en handläggare på ett callcenter behöver verifiera en uppringares identitet initierar de en autentiseringsbegäran för uppringaren. Den uppringande får ett meddelande på sin autentiseringsenhet - vanligtvis en smartphone - för att bekräfta sin identitet.

Läs mer om autentisering av uppringare >

Terminaler på försäljningsstället (POS)

POS-system kan initiera en betalningsauktorisation och användaren godkänner transaktionen på sin telefon.

IoT-enheter (Internet of Things)

IoT-enheter som smarta TV-apparater och vitvaror saknar ofta praktiska inmatningsmetoder.

CIBA gör det möjligt för dessa enheter att utlösa en autentisering på användarens smartphone, vilket är mer användarvänligt. En smart-TV kan till exempel uppmana dig att autentisera dig på din telefon innan du får tillgång till en streamingtjänst.

Ett annat IoT-användningsfall är när du ber Alexa eller Siri att göra ett köp. Innan betalningen slutförs kan din virtuella assistent använda CIBA för att verifiera att rätt person har gjort en köpbegäran genom att skicka ett meddelande till din smartphone.

Hur CIBA fungerar

Låt oss nu ta en närmare titt på hur autentiseringsprocessen går till med CIBA:

  1. Klientapplikationen initierar en autentiseringsbegäran: Klientprogrammet skickar en CIBA-autentiseringsbegäran till slutpunkten för backchannel-autentisering på OpenID Providerns auktoriseringsserver. Denna begäran inkluderar:

    • Klientautentiseringsuppgifter för autentisering
    • Omfattningar
    • En giltig identifierare av en användare som ska autentiseras (e-postadress, personnummer eller någon annan unik identifierare)
  2. Authorization Server svarar omedelbart med en Authorization Request Identifier: Det unika auth_req_id kommer att användas för att spåra autentiseringsprocessen.

  3. Autentisering av användare: Authorization Server använder det angivna användar-ID:t för att lokalisera och uppmana användaren att autentisera sig på sin autentiseringsenhet.

  4. Utfärdande och leverans av tokens: När användaren har autentiserat sig och gett sitt samtycke (om tillämpligt) skapar auktoriseringsservern en ID-token, en åtkomsttoken och eventuellt en uppdateringstoken.

    Klienten kan sedan använda ett av tre lägen för att hämta tokens från Authorization Server-tokens slutpunkt:
  • Poll: Klienten kontrollerar regelbundet om det finns tokens.
  • Ping: Klienten hämtar tokens från token-slutpunkten när den får ett meddelande från OpenID Provider.
  • Push (tryck): OpenID-providern levererar tokens till klientens notifieringspunkt.

CIBA sequence graphic

Vi introducerar svensk BankID-autentisering via telefon (powered by CIBA)

Svensk BankID-telefonautentisering tillhandahåller en säker metod för användaridentifiering under telefonsamtal. Det kan fungera på följande sätt:

  1. Användaren ringer till kundtjänst på sin bank (eller annat företag).
  2. Kundtjänstmedarbetaren knappar in användarens personnummer i sitt system och initierar en autentiseringsbegäran till användarens BankID-app.
  3. BankID-appen visar en telefonikon och företagets namn och frågar om användaren har ringt företaget.
  4. Användaren svarar:
    • Om Ja, fortsätter de att autentisera sig med en säkerhetskod eller biometri
    • Om Nej, kan de avbryta processen.

se-bankid-phone-auth

Idura Verify levererar nu BankID i telefonsamtal genom CIBA.

Sammanfattning

CIBA låter utvecklare bygga användarautentiseringsupplevelser som passar för scenarier där traditionell redirect-baserad autentisering inte är möjlig.

Har du ett specifikt användningsfall i åtanke? Kontakta oss i dag.
Table of contents

Visa alla
Sessionsbaserad vs. tokenbaserad användarautentisering
Dator med kodning
Autentisering

Sessionsbaserad vs. tokenbaserad användarautentisering

23 januari 2026 10 min lästid
Hur man använder eID:er för beständig användaridentifiering
Utvecklare kodar framför dator
Autentisering

Hur man använder eID:er för beständig användaridentifiering

23 januari 2026 3 min lästid
Adressregisteruppslag i praktiken: från UX till bedrägeridetektering
Bild över stad med adresser markerade runt omkring
Autentisering

Adressregisteruppslag i praktiken: från UX till bedrägeridetektering

22 januari 2026 4 min lästid