Financial API (FAPI) のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Financial API (FAPI) へ行く。
  • 1 (2017-12-09 (土) 17:04:01)
  • 2 (2017-12-09 (土) 17:17:57)
  • 3 (2017-12-11 (月) 12:48:44)
  • 4 (2017-12-11 (月) 14:51:58)
  • 5 (2017-12-11 (月) 17:11:46)
  • 6 (2017-12-12 (火) 10:05:13)
  • 7 (2017-12-18 (月) 21:37:00)
  • 8 (2017-12-20 (水) 15:19:30)
  • 9 (2018-02-03 (土) 18:50:14)
  • 10 (2018-02-03 (土) 20:35:31)
  • 11 (2018-02-04 (日) 12:35:59)
  • 12 (2018-02-04 (日) 15:29:18)
  • 13 (2018-02-16 (金) 20:02:36)
  • 14 (2018-03-05 (月) 10:57:45)
  • 15 (2018-03-05 (月) 16:28:02)
  • 16 (2018-03-06 (火) 13:00:55)
  • 17 (2018-03-07 (水) 09:46:49)
  • 18 (2018-03-16 (金) 17:31:25)
  • 19 (2018-03-16 (金) 22:01:19)
  • 20 (2018-03-17 (土) 18:11:47)
  • 21 (2018-03-20 (火) 14:39:08)
  • 22 (2018-03-20 (火) 21:39:40)
  • 23 (2018-08-22 (水) 15:23:12)
  • 24 (2018-10-02 (火) 14:37:58)
  • 25 (2018-10-09 (火) 22:13:10)
  • 26 (2018-10-10 (水) 12:07:11)
  • 27 (2018-10-10 (水) 18:07:19)
  • 28 (2018-10-11 (木) 11:22:15)
  • 29 (2018-10-27 (土) 16:05:57)
  • 30 (2018-10-28 (日) 17:26:36)
  • 31 (2019-01-17 (木) 12:46:03)
  • 32 (2019-01-23 (水) 09:16:45)
  • 33 (2019-02-05 (火) 21:09:16)
  • 34 (2019-03-29 (金) 15:33:07)
  • 35 (2019-05-14 (火) 11:08:58)
  • 36 (2019-11-29 (金) 20:42:13)
  • 37 (2020-02-23 (日) 15:46:18)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

OpenID Financial API (FAPI) WGにおいて、

• PSD2 や Open Banking Standard を考慮し、
• ISO/TC 68（Financial services）への提出も視野に入れながら、

以下のような、金融 API の標準仕様群の策定作業が進められている。

目的 †

下記に関する勧告を提供（チェックリスト）

• セキュリティ＋プライバシー・プロファイル
• JSON data schema, REST APIs

機能 †

以下を可能にする。

• アプリケーションが銀行・証券口座の参照
• アプリケーションが銀行・証券口座の更新
• 利用者がセキュリティとプライバシー設定をする

保険およびクレジットカード口座も考慮対象とする。

背景 †

OAuth2.0はフレームワークなので用途に合わせたセキュリティ・プロファイルが必要。

• 基本実装でOK
  • ソーシャルアプリにおけるデータ共有
  • 閉回路の産業アプリケーション

• 金融機関APIのセキュリティ・プロファイル
  • Read Only API用セキュリティ・プロファイル
  • Read and Write API用セキュリティ・プロファイル

考慮事項 †

金融機関API向けのプロファイルは 全てを解決する必要がある。

1. １クライアントは１つの認可サーバとのみ関係を持つ。
   （リダイレクト・エンドポイントを分け、クライアントの論理分割）
2. メッセージ
   • 認証
     • リクエスト
     • レスポンス
   • 秘匿性
3. 認証
   • 送信者（Client、Server）
   • 受信者（Client、Server）
   • 利用者（Resource Owner）
4. トークン
   • フィッシング攻撃
   • リプレイ攻撃

基準 †

1. Unique Source Identifier
   ユニークなソース識別子
2. Protocol + version identifier
   プロトコル + バージョン + msg識別子
3. Full list of actor/roles
   actor/rolesの完全なリスト
4. Message Authentication
   改ざんされていないメッセージ

AS-IS †

• RFC6749の認証への対応状況

  #	メッセージ	送信者認証	受信者認証	メッセージ認証
  1	認可リクエスト	Indirect	None	None
  2	認可レスポンス	None	None	None
  3	アクセストークン・リクエスト	Weak	Good	Good
  4	アクセストークン・レスポンス	Good	Good	Good

• RFC6749の基準への対応状況

  #	Message	Parameters	(a) Unique Source Identifier	(b) Protocol + version identifier	(c) Full list of actor/roles	(d) Message Authentication
  1	Authorization Request	response_type client_id redirect_uri scope state	Client ID is not globally unique. Tampering possible.	OK, but it is not integrity protected.	No.	No.
  2	Authorization Response	code state other extension parameters	No source identifier
  3	Token Request	grant type code redirect uri client_id/client_secret	Client ID is not globally unique. Tampering possible.	OK (as long as there is no OAuth 3.0)	No.	OK.
  4	Token Response	access_token token_type expires_in refresh_token others	No source identifier

仕様 †

Part 1: Read Only API Security Profile †

• Draft-04: Financial Services – Financial API - Part 1: Read-Only API Security Profile
  http://openid.net/specs/openid-financial-api-part-1.html

  FAPI Read Onlyセキュリティ・プロファイル

要約 †

安全なフローを使用する。

• フロー
  • Authorization Code
  • OAuth PKCE
  • OAuth 2.0 Token Revocation

• 通信
  • SSL/TLS
  • client_id + redirect_uri（完全一致）

• 認証
  • ユーザ：LoA 2
  • クライアント：
    追加のクライアント認証の実装が必要。
    • JWT Client Assertion
    • Mutual TLS

• トークン種類：Bearer Token

詳細 †

• IDトークン署名の鍵のエントロピーがアルゴリズム毎に規定されている。

• access_token発行
  • エントロピーは 128 ビット以上
  • ともに、付与されたscopeの情報を返す。

原文読んで書く †

Part 2: Read and Write API Security Profile †

• Draft-04: Financial Services – Financial API - Part 2: Read and Write API Security Profile
  http://openid.net/specs/openid-financial-api-part-2.html

  FAPI Read and Writeセキュリティ・プロファイル

要約 †

送信者・受信者・メッセージ認証を強化

• フロー
  OpenID ConnectのHybrid Flow
  • response_type
    • code id_token
    • code id_token token
  • IDトークン
    • クレーム追加（at_hash、c_hash）
    • JWS署名（PS256, ES256） ＋ 暗号化

• 通信
  • SSL/TLS
  • client_id + redirect_uri（完全一致）

• 認証：LoA 3
• トークン種類：記名式トークン

詳細 †

• JWT Secured Authorization Request (JAR)のサポート（必須ではない）

• トークン所有者とトークンの紐付け
  • confidential クライアント
    • Mutual TLS
    • トークン・バインディング
  • public クライアント
    • トークン・バインディング必須

• 対応
  • 認証

    #	メッセージ	送信者認証	受信者認証	メッセージ認証
    1	認可リクエスト	Request Object	Request Object	Request object
    2	認可レスポンス	Hybrid Flow	Hybrid Flow	Hybrid Flow
    3	アクセストークン・リクエスト	Good	Good	Good
    4	アクセストークン・レスポンス	Good	Good	Good

• 基準

  #	Message	Parameters	(a) Unique Source Identifier	(b) Protocol + version identifier	(c) Full list of actor/roles	(d) Message Authentication
  1	Authorization Request	response_type client_id redirect_uri scope state	Unique redirect_uri + client_id	OK (Unique Parameter List)	(a) + state as the UA identifier / TBID as UA identifier	Signing by JWT Secured Authorization Request (JAR)
  2	Response code	state other extension parameters	Unique redirect_uri		(a) + client_id + state as the UA identifier / TBID as UA identifier	Signing by ID Token + s_hash
  3	Token Request	grant_type code redirect_uri client_id/client_secret	Unique redirect_uri + client_id	OK (Unique Parameter List)	(a) + state as the UA identifier / TBID as UA identifier	TLS Protected
  4	Token Response	access_token token_type expires_in refresh_token others	redirect_uri		(a) + client_id + state as the UA identifier / TBID as UA identifier

原文読んで書く †

Part X: Client Initiated Backchannel Authentication Profile †

要約 †

UK OBIE（Open Banking Implementation Entity）からの寄付待ち。

詳細 †

原文読んで書く †

Part 3: Open Data API †

要約 †

詳細 †

原文読んで書く †

Part 4: Protected Data API and Schema - Read only †

要約 †

• 銀行口座
  US FS-ISAC DDA / OpenBank? Project / Figo
  などを参考に作成 UK OBIEからの寄付待ち。

• 証券口座
  現在NRIで試案作成中

詳細 †

原文読んで書く †

Part 5: Protected Data API and Schema - Read and Write †

要約 †

• 同上
• Scopeではなく、Claims Requestを使うことで、より詳細・柔軟な認可を取得。

詳細 †

原文読んで書く †

技術 †

クライアント認証 †

Mutual TLS †

https://tools.ietf.org/html/draft-ietf-oauth-mtls-05

相互TLS証明書に基づく認証を利用するクライアント認証の追加メカニズム

トークン・バインディング †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-05

メッセージ認証 †

JWT Secured Authorization Request (JAR) †

• 処理
  • 認可リクエストにrequest_uriを含める。
  • request_uriからリクエスト・オブジェクトを取得する。
  • リクエスト・オブジェクトの署名検証用の鍵を取得。
    • クライアント・メタデータが登録されている場合、
      JWK Setをjwks クライアントメタデータ値から取得。
    • クライアント・メタデータが登録されていない場合、
      jwks_uriからクライアント・メタデータ（JWK Set）を取得。

• 参考
  • The OAuth 2.0 Authorization Framework: JWT Secured Authorization Request (JAR)
    https://tools.ietf.org/html/draft-ietf-oauth-jwsreq-08
  • OpenID Connect Core 1.0 incorporating errata set 1
    6. Passing Request Parameters as JWTs
    http://openid.net/specs/openid-connect-core-1_0.html#JWTRequests

ユーザ認証 †

LoA 認定プログラム †

• 学認 LoA 1認定プログラム - 国立情報学研究所
  http://www.nii.ac.jp/userimg/6_gakunin_loa1_2013-11_v2.pdf

参考 †

OpenID †

• OpenID Foundation website
  http://openid.net

OpenID Financial API (FAPI) WG †

NRI、Microsoft、Intuitが中心となり組織されたWG。

• Financial API (FAPI) WG | OpenID
  http://openid.net/wg/fapi/

• Financial API | OpenID
  http://openid.net/tag/financial-api/

• openid / fapi — Bitbucket
  https://bitbucket.org/openid/fapi/

nat †

https://www.slideshare.net/nat_sakimura/presentations

• OpenID Foundation Foundation Financial API (FAPI) WG
  https://www.slideshare.net/nat_sakimura/openid-foundation-foundation-financial-api-fapi-wg-63097855

• Financial Grade OAuth & OpenID Connect
  https://www.slideshare.net/nat_sakimura/financial-grade-oauth-openid-connect

• API Days 2016 Day 1: OpenID Financial API WG
  https://www.slideshare.net/nat_sakimura/api-days-2016-day-1-openid-financial-api-wg

• OpenID Foundation FAPI WG: June 2017 Update
  https://www.slideshare.net/nat_sakimura/openid-foundation-fapi-wg-june-2017-update

• 金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
  https://www.slideshare.net/nat_sakimura/api-openid-financial-api-fapi-wg

• Introduction to the FAPI Read & Write OAuth Profile
  https://www.slideshare.net/nat_sakimura/introduction-to-the-fapi-read-write-oauth-profile

• 金融APIに求められるセキュリティ～APIDays Paris講演より
  2017年2月号｜金融ITフォーカス｜刊行物｜NRI Financial Solutions
  http://fis.nri.co.jp/ja-JP/publication/kinyu_itf/backnumber/2017/02/201702_8.html

その他 †

• Financial API 実装の技術課題 - Qiita
  https://qiita.com/TakahikoKawasaki/items/48a9d22205f77db59726

• OpenID BizDay? で金融 API の動向について聞いてきた - TMD45'β'LOG!!!
  http://blog.tmd45.jp/entry/2017/08/02/011504

---

Tags: :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.069 sec.