Vereinfachen des Zahlungsverkehrs mit Open Banking durch entkoppelte Authentifizierung

Im Juli dieses Jahres erläuterte mein Kollege Mark Perry einem Blog, wie eine neue OpenID Connect-Spezifikation, die als Client Initiated Backchannel Authentication (CIBA) bezeichnet wird, für die Verbesserung der Kundenerfahrung in einem breiten Spektrum an Interaktionen mit einem Unternehmen verwendet werden kann. Mark erläuterte den Einsatz der entkoppelten Authentifizierung im Rahmen der CIBA zur Rationalisierung von Verfahren bei der Authentifizierung von Kunden und dem Einholen ihrer digitalen Einwilligung für verschiedenste Transaktionen, und zwar ohne die Browser-Weiterleitungen, die häufig als verwirrend wahrgenommen wird.

In diesem Blogartikel möchte ich Marks Aussagen aufgreifen und durch eine Reihe von konkreten Anwendungsbeispielen ergänzen, die allesamt dem Bereich des Open Banking entnommen sind. Zu diesem Zweck nutzte ich die Funktionen von PingFederate (das ab Version 9.3 CIBA vollständig unterstützt) und PingID SDK, um einige wenige Alternativen aufzuzeigen, auf die sich Banken und andere Anbieter stützen könnten, um ihren Kunden und auch ihren Handelspartnern mehr Flexibilität und Wahlmöglichkeiten bei der Zahlungsfreigabe zu bieten.

Das Open Banking ist die Umsetzung der europäischen PSD2-Gesetzgebung in Großbritannien und wird durch ein technisches Framework ermöglicht und gesichert, das auf dem OpenID Connect-Standard basiert. Die erste Version des Sicherheitsprofils für das Open Banking basierte auf einem Modell mit Browser-Umleitungen, entsprechend den Vorgaben für OpenID Connect und Financial-Grade API (FAPI). Bei diesem Modell wird ein Kunde sicher auf die eigene Authentifizierungsseite seiner Bank umgeleitet, um dort seine Identität nachzuweisen und Transaktionen zu bestätigen, um anschließend wieder zur Händler-Website zurückzukehren, wo er die Bestellbestätigung erhält. Obwohl dieser Ansatz allgemein als die bestmögliche Sicherheitslösung erachtet wird, zeigen die über längere Zeit erfassten Rückmeldungen von Kunden, dass er hinsichtlich der Benutzerfreundlichkeit einiges zu wünschen übrig lässt.

Die Kunden beschweren sich über die vielen Schritte, die bei einem Zahlungsabschluss in der Regel nötig sind, und brechen gelegentlich sogar die gesamte Transaktion wegen unerwarteter – und nicht selten verwirrender – Umleitungen ab. Die Händler hatten noch größere Vorbehalte gegen dieses Modell und beklagten den Verlust der Kontrolle über die Benutzeroberfläche und -erfahrung, die das Umleitungskonzept mit sich bringt. Wenn Kunden Mobilgeräte nutzen, werden diese Probleme noch weiter verschärft.

In Anbetracht dieser Rückmeldungen hat das Team für Open Banking-Standards in enger Zusammenarbeit mit der OpenID Foundation eine Reihe von alternativen Ansätzen vorgelegt, mit denen Bänker und Händler unter Einsatz der entkoppelten Authentifizierung und CIBA die oben genannten Schwierigkeiten umgehen können. 

Der Abschnitt 2.3 der aktualisierten Leitlinien für die Open Banking-Kundenerfahrung enthält eine detaillierte Erläuterung dieser entkoppelten Abläufe. Ich möchte hier trotzdem versuchen, einige der wichtigsten Optionen anhand weniger vereinfachter Darstellungen zusammenzufassen. 

Eine der anspruchsvollsten Herausforderungen, die sich bei der Verwendung von CIBA für die entkoppelte Authentifizierung stellt, ist das Erkennen des richtigen Benutzers. Bei einem Umleitungs-Modell braucht der Händler die Identität eines Kunden bei der Bank nicht zu kennen; dieser Identifizierungsschritt erfolgt direkt auf der bankeigenen Website nach der ersten Weiterleitung. In einem entkoppelten Ablauf ist dies allerdings nicht möglich, da der Benutzer zu keiner Zeit weitergeleitet wird. Vielmehr muss der Händler aktiv werden, um der Bank einen Hinweis auf die Identität des Käufers zu geben. Dies sollte im Idealfall einen möglichst hohen Schutz der Privatsphäre leisten; die simple Aufforderung zur Eingabe ihrer Benutzerkennung für das Online Banking ist daher vielleicht nicht der beste Ansatz! 

Die im Folgenden beschriebenen drei Szenarien sollen alternative Vorgehensweisen erläutern. Jedem der Fälle geht ein kurzes Video voraus, das die Erfahrungen unserer „Mystery Shopperin“ (und AnyBank-Kontoinhaberin) Angela beim Kauf von Sportbekleidung auf der Website von Limitless Ambition zeigt. Anschließend werde ich einige der Einzelheiten jedes Ablaufs erörtern – und mich dabei mit komplizierten technischen Details zurückhalten.

Option 1: Auschecken mit einer Einmal-Benutzerkennung

Wir starten unser Szenario an einem Punkt, an dem unsere Shopperin Angela ihr AnyBank-Konto noch nie für einen Kauf bei Limitless Ambition verwendet hat. In diesem Fall verwendet sie eine speziell generierte einmalige Benutzerkennung, um den Prozess einzuleiten. Diese Benutzerkennung für den einmaligen Gebrauch wird von ihrer AnyBank-Mobile App generiert. Dabei kommt ein gesichertes Verfahren zwischen der App und dem AnyBank-Backend zum Einsatz. Die Kennung ist mit Angelas Konto verbunden und kann nur einmal verwendet werden. Die Zuordnung der Kennung zu Angelas wahrer Identität ist abhängig von der Backend-Infrastruktur der Bank.

Angela kann diese Kennung gefahrlos direkt an Limitless Ambition weitergeben, und sobald die Webseite den entkoppelten Authentifizierungsablauf mit CIBA anstößt, um die Zahlung zu bestätigen, sendet das Unternehmen diese Einmal-Benutzerkennung als Login-Hinweis an den AnyBank OpenID-Anbieter. AnyBank verwendet PingFederate und kann daher die einmalige Benutzer-ID neu referenzieren, um Angelas echten Benutzernamen über einen einfachen API-Aufruf zu ermitteln und anschließend mit dem PingID SDK die Benachrichtigung der Zahlungsgenehmigung an das richtige Mobiltelefon zu senden.

Da bei diesem Konzept eine einmalige Benutzer-ID generiert und dann eingegeben werden muss, bietet es möglicherweise nicht die optimale Benutzererfahrung auf einer Website. Dieses Modell bietet hingegen wesentliche Vorteile, wenn Angela eine Zahlung über ein Terminal in einem Geschäft tätigt, wie beispielsweise in einem Instore-Kiosk. In diesem Fall würde die AnyBank-App die einmalige Benutzerkennung als QR-Code anzeigen, die dann vom Kiosk gescannt werden kann, ohne dass sie eine Eingabe vornehmen muss.

Option 2: Auschecken mit einem QR-Code

Eine Alternative zum oben genannten Ansatz startet mit den gleichen Voraussetzungen: Angela hat ihr AnyBank-Konto noch nie zuvor für einen Kauf bei Limitless Ambition verwendet. In diesem Fall jedoch wird Limitless Ambition eine einzigartige Referenz für die Zahlungstransaktion generieren und diesen Wert als Login-Hinweis verwenden, den das Unternehmen im Rahmen eines CIBA-Abrufs an die AnyBank sendet. (Jeder, der mit den Besonderheiten der Zahlungsabläufe beim Open Banking vertraut ist, wird zweifellos erkennen, dass der Händler die Intent-ID, welche die Bank nach der Zahlungsstufung sendet, als fertige, eindeutige Kennung für diesen Zweck verwenden könnte.)

Hier verschlüsselt Limitless Ambition die eindeutige Referenz in Form eines scanbaren QR-Codes und blendet diesen auf der eigenen Webseite ein. Angela muss diesen Code mit ihrer AnyBank-Mobile-App einscannen, um die Zahlung zu bestätigen und ihre Bestellung abzuschließen. 

Das Ungewöhnliche an diesem Ablauf ist, dass der Händler (Limitless Ambition) der AnyBank kein Login-Hinweis zur Verfügung stellen kann, der die Benutzerin in irgendeiner Art ausweist. Der Login-Hinweis besteht einzig in einer Referenz, die beiden Parteien bekannt ist, und es wird der AnyBank überlassen, die wahre Identität der Benutzerin letztendlich „herauszufinden“. Durch das Einscannen des QR-Codes mit ihrer Mobile App, kann Angela die Transaktion anfordern. Die Mobile App, die über Angelas wahre Identität und damit auch über die eindeutige Referenz verfügt, kann nun einen gesicherten Aufruf an das Backend der AnyBank absetzen, um ihre Benutzeridentität dieser Transaktionsreferenz zuzuordnen, zusätzliche Details über die Ratenzahlung zu erfassen und ihre Einwilligung und Genehmigung einzuholen, bevor die AnyBank die entsprechenden Token an den Händler ausgibt.

Option 3: Verwenden eines gespeicherten Identitäts-Token

Die dritte Option ist aus Käufersicht die reibungsloseste, geht aber von einer anderen Annahme aus. In diesem Fall hat Angela ihr AnyBank-Konto bereits für einen Kauf bei Limitless Ambition verwendet, vielleicht mit einem der oben genannten Zahlungsmittel oder sogar mit einem früheren, auf einer Umleitung basierenden Verfahren. Wir können davon ausgehen, dass Limitless Ambition das ID-Token, welches das Unternehmen von der AnyBank während des Vorgangs erhalten hat, aufbewahrt und sicher im eigenen Backend-Verzeichnis speichert, das mit Angelas Kundenkonto bei Limitless Ambition verbunden ist.

Jedes Mal, wenn Angela nun einen Kauf auf der Website tätigen möchte, kann Limitless Ambition direkt eine entkoppelte Authentifizierung starten und dieses gespeicherte Token als ID-Token-Hinweis weitergeben, wie in der CIBA-Spezifikation beschrieben.

Der OpenID-Anbieter der AnyBank ist mit der Unterstützung von PingFederate in der Lage, genügend Informationen aus diesem früheren ID-Token zu extrahieren, um festzustellen, dass es sich bei dem Benutzer um Angela handelt, auch wenn das ID-Token selbst nicht ihren tatsächlichen Benutzernamen enthält. PingFederate verwendet PingID SDK, um eine detaillierte Bestätigungsmeldung über die Transaktion an Angelas Mobilgerät zu senden, ohne dass sie weitere Schritte unternehmen muss.

Sie sollten wissen, dass Limitless Ambition in allen oben genannten Fällen die volle Kontrolle über die End-to-End-Benutzererfahrung behält, ohne dass Angelas Browser jemals die Unternehmens-Website verlässt. 

Im Zuge unserer Arbeit mit der OpenID Foundation und dank unserer End-to-End-Lösung für Kundenauthentifizierung und -einwilligungen kann Ping Identity perfekte Lösungen für Unternehmen anbieten, die Kundenerfahrungen durch entkoppelte Authentifizierung und CIBA verbessern möchten. Auch wenn sich die obigen Beispiele auf das Bank- und Zahlungsverkehrswesen beschränken, haben wir unzählige Ideen parat, wie das CIBA-Verfahren unseren Kunden auch in anderen Branchen einen enormen Mehrwert bieten kann. Kontaktieren Sie uns und lassen Sie uns Ihnen zeigen, wie Sie CIBA mit Ping Identity nutzbringend einsetzen können.