Saltar al contenido principal
Para usar las funcionalidades de autenticación de canal secundario iniciada por el cliente (CIBA), debes tener un Enterprise Plan o un complemento adecuado. Consulta Auth0 Pricing para obtener más información.
El flujo autenticación de canal secundario iniciada por el cliente (CIBA) es un estándar de la Fundación que permite una autenticación y autorización desacopladas mediante solicitudes seguras de canal secundario. El flujo CIBA está diseñado para casos de uso en los que el dispositivo que inicia una solicitud (el dispositivo de consumo) es distinto del dispositivo que el usuario usa para autenticarse (el dispositivo de autenticación). En un flujo CIBA, hay dos actores:
  • Usuario iniciador: La entidad que inicia la autenticación o autorización en el dispositivo de consumo. Puede ser una aplicación de backend, un usuario humano, como un agente de atención al cliente en una aplicación de atención al cliente, o un agente de IA que realiza una tarea en nombre del usuario final.
  • Usuario autorizador: El usuario final que recibe la solicitud de autenticación o autorización en el dispositivo de autenticación y da su consentimiento.
Al desacoplar la autenticación y la autorización del dispositivo de consumo, la aplicación cliente puede llamar directamente al proveedor de OpenID mediante una solicitud de canal secundario. Esto proporciona mayor seguridad, ya que puedes usar métodos más seguros de autenticación del cliente, como mTLS y JWT de clave privada, con el flujo CIBA.

Casos de uso

Entre los casos de uso habituales del flujo CIBA se incluyen:
  • Un agente de IA usa aprobaciones con intervención humana para solicitar el permiso del usuario a fin de completar una acción solicitada por el propio usuario.
  • Un usuario ha llamado a un centro de atención telefónica, y el agente que atiende la llamada quiere acceder desde su computadora a la información personal de la persona que llama. Esta puede dar su consentimiento, por ejemplo, aprobando una notificación push en su teléfono.
  • Un usuario quiere acceder a un dispositivo con capacidades de entrada limitadas, como una bicicleta de alquiler en una ciudad o un quiosco en un entorno comercial.
  • Un usuario inicia una transacción delicada en un dispositivo relativamente inseguro y quiere autorizarla en un dispositivo más seguro. Por ejemplo, podría autorizar un pago o un cambio en sus datos personales tras recibir una notificación push en un teléfono móvil personal.

Canales de notificación

Auth0 admite los siguientes canales de notificación con CIBA:
  • Notificaciones push móviles de Auth0 Guardian: Disponibles para todos los planes Enterprise. El usuario recibe una notificación push en su dispositivo móvil registrado para autenticarse o confirmar los detalles de la transacción. La autenticación y la autorización se realizan en el dispositivo de autenticación que recibe la notificación push. Puede habilitar las notificaciones push móviles con CIBA a través de:
    • La aplicación Auth0 Guardian
    • Una aplicación personalizada integrada con el SDK de Auth0 Guardian
  • Notificaciones por correo electrónico: Disponibles como complemento para los planes de pago. El usuario recibe un correo electrónico en su dirección de correo electrónico verificada. El correo electrónico contiene un enlace, y la autenticación y la autorización se realizan a través del navegador.
De forma predeterminada, Auth0 usa y recomienda las notificaciones push de Guardian para los flujos de CIBA. Las notificaciones push de Guardian son más seguras que otros canales, como el correo electrónico, que puede ser vulnerable a ataques de phishing. Debe habilitar explícitamente las notificaciones por correo electrónico para los flujos de CIBA.

Cómo funciona

El siguiente diagrama describe el flujo CIBA de principio a fin:
  1. La aplicación cliente o el dispositivo de consumo solicita la autenticación o autorización del usuario.
  2. El backend de la aplicación cliente envía una solicitud POST al endpoint /bc-authorize.
  3. Auth0 recibe la solicitud POST y envía una notificación al dispositivo de autenticación.
  4. El dispositivo de autenticación recupera los detalles de la autorización desde Auth0 y se los muestra al usuario final.
  5. El usuario final revisa la solicitud, incluidos los detalles contextuales de autorización relacionados con ella.
  6. El usuario final proporciona su respuesta en el dispositivo de autenticación, que la envía a Auth0.
  7. El backend de la aplicación cliente consulta el endpoint /token y recibe los tokens correspondientes al completarse el flujo CIBA.
Como el flujo CIBA se usa para la autenticación y autorización asíncronas de usuarios por única vez, CIBA no crea ni almacena una autorización que contenga el consentimiento del usuario para que una aplicación acceda a los recursos de una API. Si más adelante el usuario se autentica mediante un flujo de autenticación diferente y ese flujo solicita los mismos alcances a los que el usuario ya había dado su consentimiento mediante CIBA, Auth0 no tendrá registro de ese consentimiento. Por lo tanto, le solicitará que vuelva a dar su consentimiento.

Límites de la entidad

El flujo CIBA tiene los siguientes límites:
  • Se pueden crear hasta 500 solicitudes de CIBA por minuto por inquilino.
  • Hasta 5000 solicitudes de CIBA pendientes por inquilino en un momento dado. Una solicitud de CIBA pendiente es una solicitud que se ha iniciado, pero que todavía no ha recibido una respuesta del usuario. Si una solicitud de CIBA vence sin recibir una respuesta, puede seguir contando para el límite de 5000 durante un máximo de 24 horas.

Primeros pasos

Lea…Para aprender…
Configurar la autenticación de canal secundario iniciada por el clienteCómo configurar el tipo de concesión CIBA y el canal de notificación para su aplicación.
Notificaciones push móviles con CIBACómo autenticar a los usuarios mediante el flujo CIBA con notificaciones push móviles.
Notificaciones por correo electrónico con CIBACómo autenticar a los usuarios mediante el flujo CIBA con notificaciones por correo electrónico.
Autorización de usuarios con CIBACómo autorizar a los usuarios mediante CIBA con el flujo de solicitudes de autorización enriquecida (RAR).