「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Financial API (FAPI)]]
* 目次 [#zce5c6fe]
#contents

*概要 [#mec56743]
-[[Financial API (FAPI)]]の「Read and Write API用セキュリティ・プロファイル」
-金融データへのトランザクション・アクセスに適した[[OAuth]]プロファイル

※ この項は、ドラフト 4 を参考にして作成。

*要約 [#sab53ee8]
-送信者・受信者・メッセージ認証を強化
-以下の攻撃に対するコントロールを規定
--認可要求の改ざん
--コードインジェクション
--状態インジェクション
--トークン要求フィッシング
--認可応答の改ざん

**フロー [#y974f9a7]
[[OpenID Connect]]の[[Hybrid Flow>OpenID Connect#l565139a]]

***response_type [#s32102a0]
-code id_token
-code id_token token

***[[IDトークン>OpenID Connect#ofb73c59]] [#g7df69b2]
-[[クレーム追加>OpenID Connect#c007540d]]
--at_hash
--c_hash

-JWT形式
--JWS署名
---PS256
---ES256
--JWE暗号化

***s_hash [#k722ecb6]
状態ハッシュ値。

-値
--状態値のASCII表現のオクテットのハッシュの左端の半分をbase64urlエンコーディング
--ハッシュはIDトークンのJOSEヘッダのalgパラメタで使用されるアルゴリズム。

-例:algがHS512の場合
--SHA-512で状態値をハッシュ、
--次に左端の256ビットを取り、
--base64urlエンコード

**通信 [#ob9374f1]
-SSL/TLS
-redirect_uri(完全一致)

**認証 [#k8da384f]
-[[LoA 3>#h48691d5]]
-[[JWT Secured Authorization Request (JAR)>#a0c1344d]](必須)

**トークン種類 [#x210d002]
記名式トークン

-トークン所有者とトークンの紐付けが必要。

-紐付けのために以下をサポートする必要がある。
--[[OAuth 2.0 Mutual TLS]]
--[[OAuth 2.0 Token Binding]]

shall only issue holder of key authorization code, access token, and refresh token for write operations;

*役割 [#a2170501]

**Authorization Server [#zf702573]

***クライアント認証 [#tf6a9f9c]

***認証・認可 [#u62c1062]

***redirect_uri [#fabee59b]

***codeとtoken [#mbd264d4]

***追加の機能 [#k8b3bfec]

**Client [#ide28df2]

***Confidentialクライアント [#b1fc3c02]
Confidentialクライアントは以下の何れかをサポートする。
-[[OAuth 2.0 Mutual TLS>#l97e2e37]]
-[[OAuth 2.0 Token Binding>#h9e26456]]

***Publicクライアント [#e482f66f]
-[[OAuth 2.0 Token Binding>#h9e26456]]必須

***HTTP [#z7825ead]

**Resource Server [#fbfccde7]

***HTTP [#j47923bc]

***Accessトークン [#y3d4cbbf]

*セキュリティに関する考慮事項 [#mea47b47]

*考察 [#o856c12a]

*参考 [#w0534ff5]
-Financial Services – Financial API - Part 2: Read and Write API Security Profile~
http://openid.net/specs/openid-financial-api-part-2.html
>FAPI Read and Writeセキュリティ・プロファイル

-Financial API 実装の技術課題 - Qiita > FAPI Part 2~
https://qiita.com/TakahikoKawasaki/items/48a9d22205f77db59726#fapi-part-2

----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS