「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
OpenID Financial API (FAPI) WGにおいて、
以下のような、金融 API の標準仕様群の策定作業が進められている。
Part | Title | 説明 |
1 | Read Only API Security Profile | 参照系 API(向けの)セキュリティー要件 |
2 | Read & Write API Security Profile | 更新系 API(向けの)セキュリティー要件 |
3 | Open Data API | 公開データ API 仕様 |
4 | Protected Data API and Schema - Read only | 参照系 API(向けの)仕様 |
5 | Protected Data API and Schema - Read and Write | 更新系 API(向けの)仕様 |
下記に関する勧告を提供(チェックリスト)
以下を可能にする。
保険およびクレジットカード口座も考慮対象とする。
OAuth2.0はフレームワークなので用途に合わせたセキュリティ・プロファイルが必要。
金融機関API向けのプロファイルは 全てを解決する必要がある。
# | メッセージ | 送信者認証 | 受信者認証 | メッセージ認証 |
1 | 認可リクエスト | Indirect | None | None |
2 | 認可レスポンス | None | None | None |
3 | アクセストークン・リクエスト | Weak | Good | Good |
4 | アクセストークン・レスポンス | Good | Good | Good |
# | Message | Parameters | (a) Unique Source Identifier | (b) Protocol + version identifier | (c) Full list of actor/roles | (d) Message Authentication |
1 | Authorization Request | response_type client_id redirect_uri scope state | Client ID is not globally unique. Tampering possible. | OK, but it is not integrity protected. | No. | No. |
2 | Authorization Response | code state other extension parameters | No source identifier | |||
3 | Token Request | grant type code redirect uri client_id/client_secret | Client ID is not globally unique. Tampering possible. | OK (as long as there is no OAuth 3.0) | No. | OK. |
4 | Token Response | access_token token_type expires_in refresh_token others | No source identifier |
FAPI Read Onlyセキュリティ・プロファイル
安全なフローを使用する。
FAPI Read and Writeセキュリティ・プロファイル
送信者・受信者・メッセージ認証を強化
# | メッセージ | 送信者認証 | 受信者認証 | メッセージ認証 |
1 | 認可リクエスト | Request Object | Request Object | Request object |
2 | 認可レスポンス | Hybrid Flow | Hybrid Flow | Hybrid Flow |
3 | アクセストークン・リクエスト | Good | Good | Good |
4 | アクセストークン・レスポンス | Good | Good | Good |
# | Message | Parameters | (a) Unique Source Identifier | (b) Protocol + version identifier | (c) Full list of actor/roles | (d) Message Authentication |
1 | Authorization Request | response_type client_id redirect_uri scope state | Unique redirect_uri + client_id | OK (Unique Parameter List) | (a) + state as the UA identifier / TBID as UA identifier | Signing by JWT Secured Authorization Request (JAR) |
2 | Response code | state other extension parameters | Unique redirect_uri | (a) + client_id + state as the UA identifier / TBID as UA identifier | Signing by ID Token + s_hash | |
3 | Token Request | grant_type code redirect_uri client_id/client_secret | Unique redirect_uri + client_id | OK (Unique Parameter List) | (a) + state as the UA identifier / TBID as UA identifier | TLS Protected |
4 | Token Response | access_token token_type expires_in refresh_token others | redirect_uri | (a) + client_id + state as the UA identifier / TBID as UA identifier |
UK OBIE(Open Banking Implementation Entity)からの寄付待ち。
https://tools.ietf.org/html/draft-ietf-oauth-mtls-05
相互TLS証明書に基づく認証を利用するクライアント認証の追加メカニズム
https://tools.ietf.org/html/draft-ietf-oauth-token-binding-05
NRI、Microsoft、Intuitが中心となり組織されたWG。
https://www.slideshare.net/nat_sakimura/presentations
Tags: :認証基盤, :クレームベース認証