Financial API (FAPI)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[OAuth 2.0 拡張]]
--[[OpenID / OAuth / OpenID Connect]]
* 目次 [#m9a7ace2]
#contents
*概要 [#c3d7eaf3]
Financial API ---> Financial-grade APIと名称が変わった。
-[[OpenID Financial API (FAPI) WG>#f4f721ee]]において、
-EU決済サービス指令(Payment Services Directive/PSD)
-Open Banking Standard
を考慮し、
-ISO/TC 68(Financial services)への提出も視野に入れなが...
以下のような、金融 API の標準仕様群の策定作業が進められて...
|Part|Title|説明|h
|1|[[Read Only API Security Profile>#jcbf3a32]]|参照系 AP...
|2|[[Read & Write API Security Profile>#j5efef5b]]|更新系...
|3|[[Open Data API>#x600e47c]]|公開データ API 仕様|
|4|[[Protected Data API and Schema - Read only>#ve2809ce]...
|5|[[Protected Data API and Schema - Read and Write>#o962...
**目的 [#bbfcc927]
セキュアなOAuthプロファイルで保護されたREST / JSONデータ...
金融サービスの具体的な実装ガイドラインを提供することを目...
***勧告を提供する。 [#wfe4b9ec]
下記に関する勧告を提供(チェックリスト)
-セキュリティ+プライバシー・プロファイル
-JSON data schema, REST APIs
***以下を可能にする。 [#v208b39c]
銀行・証券口座およびクレジットカード口座を考慮対象とする。
-アプリケーションが口座を参照
-アプリケーションが口座を更新
-利用者がセキュリティとプライバシー設定をする
**背景 [#eda6649b]
***金融向けセキュリティ・プロファイルが必要 [#gf05d567]
OAuth2.0はフレームワークなので用途に合わせたセキュリティ...
-基本実装でOK
--ソーシャルアプリにおけるデータ共有
--閉回路の産業アプリケーション
-金融機関APIのセキュリティ・プロファイル
--[[Read Only API用セキュリティ・プロファイル>#jcbf3a32]]
--[[Read and Write API用セキュリティ・プロファイル>#j5efe...
***金融のIdentity Federation APIの使用例 [#k79735dc]
+口座開設(KYCを含む)
+個人資産管理
+支払い、送金
+融資申し込み
+AIによるポートフォリオ管理(出所)
***様々な団体からの後押し [#geb3e8d1]
-INDUSTRY PUSH
--FS-ISAC(Financial Services - Information Sharing and A...
の定める継続的データAPI(Durable Data API)に関する委員会。
--(Source) FS-ISAC FSDDA WG OpenID Financial API
-REGULATORY PUSH
--EU決済サービス指令(Payment Services Directive/PSD)20...
--(Source) ODI OBWG: The Open Banking Standard (2016) JSO...
-Regulatory Pressures (規制圧力)
--リリース1 - 12ヶ月以内に完了させる。~
密接に範囲を絞ったOpen Banking APIのローンチにより、~
オープンなデータのselect, read-accessの使用が可能になった。
--リリース2 - 2017年第1四半期までに完成させる。~
midata(第三者の個人顧客データ)への読み取りアクセス(読...
--リリース3 - 2018年第1四半期までに完成させる。~
midata(第三者の企業顧客データ)への読み取りアクセス(読...
--リリース4 - 2019年1月末までに完了する
---高リスク - 完全な読み書きアクセス。~
---最小midataはcsvファイル。
*考慮事項 [#g964b656]
金融機関API向けのプロファイルは 全てを解決する必要がある。
**1 Client・1 Authorization Server [#t12a7cab]
-1 Clientは、 1 Authorization Serverとのみ関係を持つ。~
(リダイレクト・エンドポイントを分け、クライアントの論理...
-個人財務管理ソフトウェア/クライアントの場合、
--複数のAuthorization Serverが必然的に必要。
--バーチャル・セパレーションを行う。~
Authorization Server毎に異なるRedirectエンドポイントを設...
**メッセージに関する各種の認証 [#j8c91cf7]
-UserAgent(ブラウザなど)を介した通信は、UserAgentがTLS...
-メッセージは変更される恐れがあり、また、メッセージは汚染...
-このため、FAPIでは、メッセージに関する各種の認証を必要と...
***メッセージの種類 [#hd5c59a6]
-認可リクエスト
--送信者:Client
--受信者:Authorization Server
-認可レスポンス
--送信者:Authorization Server
--受信者:Client
-アクセストークン・リクエスト
--送信者:Client
--受信者:Authorization Server
-アクセストークン・レスポンス
--送信者:Authorization Server
--受信者:Client
***メッセージ自体の認証 [#rbe12d2b]
各種リクエスト・レスポンスの各種パラメタが改ざんされない...
***メッセージ送信者の認証 [#s130153f]
-Redirectで中継する、メッセージの送信元の認証
***メッセージ受信者の認証 [#s130153f]
-Redirectで中継する、メッセージの受信先の認証
-特にスマホ端末では、以下に対する注意が必要になる。
--Publicクライアントによる「Accessトークン横取り攻撃」
--Private-Use URL Scheme上書きによる「認可コード横取り攻...
**ユーザーIDと認証の問題 [#i918c34c]
-利用者(Resource Owner)のIDの概念がない。
-ユーザー認証は「範囲外」です。
**メッセージ機密性の問題 [#ga03fb1d]
-UserAgentがTLS終端であるが、~
アプリケーション層で暗号化されていないため、~
UserAgent上でメッセージを見ることができる。
-MITB(Man in the Browser)のマルウェア攻撃は、
>
+UserAgentを監視し、
+ログインが成功すると、
+UserAgentを乗っ取り、
+情報を改ざんする。
**トークンのフィッシング・リプレイ攻撃 [#eff1779a]
-エンドポイントが変更になったなどの偽メールを流す。
--Authorization Server
---認可リクエスト
---アクセストークン・リクエスト
--Resource Server
---リソースのリクエスト
-若しくは、不正発行されたTLS 証明書とDNS スプーフィングの...
*機能 [#yaefe264]
**基準 [#o2f057e2]
***(a) Unique Source Identifier(ユニークなソース識別子 [...
各種のソース識別子(IF)が一意(ユニーク)。
-Resource Owner
-Authorization Server
-Resource Server
***(b) Protocol + version identifier(プロトコル + バージ...
プロトコル + バージョン + msg識別子などが明確に決められて...
***(c) Full list of actor/roles(人物/役割の完全なリスト ...
***(d) Message Authentication(改ざんされていないメッセー...
メッセージ自体の認証による、改ざんされていないメッセージ...
**AS-IS / TO-BE [#e39021f0]
***AS-IS [#n6c15b3c]
-RFC6749は何をしているか?
|#|Message|Parameters|(a) Unique Source Identifier&br;(...
|1|Authorization Request|・response_type&br;・client_id&b...
|2|Authorization Response|・code&br;・state&br;・other ex...
|3|Token Request|・grant_type&br;・code&br;・redirect uri...
|4|Token Response|・access_token&br;・token_type&br;・exp...
-RFC6749の認証への対応状況
|#|メッセージ|メッセージ送信者の認証|メッセージ受信者の認...
|1|認可リクエスト|Indirect(間接)|None(なし)|None(な...
|2|認可レスポンス|None(なし)|None(なし)|None(なし)|
|3|アクセストークン・リクエスト|Weak(弱い)|Good(良い)...
|4|アクセストークン・レスポンス|Good(良い)|Good(良い)...
***TO-BE [#t5c59f1e]
-[[OpenID Financial API (FAPI) WG>#f4f721ee]]による対策
--認証要求・応答の種類とセキュリティ・レベル
|Part|セキュリティ・レベル|機能セット|適用|h
|[[Part 2>#j5efef5b]]|高い|[[JWS Authz Req w>OpenID Conne...
|~||[[Hybrid Flow>OpenID Connect#l565139a]] (秘密のクライ...
|[[Part 1>#jcbf3a32]]||[[Code Flow>OAuth#yfeb403d]] (秘密...
|-||[[Code Flow>OAuth#yfeb403d]] (秘密のクライアント)|ク...
|-||[[Implicit Flow>OAuth#m5c2d510]]|クライアント認証無し|
|-|低い|[[Plain OAuth>OAuth]]|Anonymous|
--トークンの種類とセキュリティ・レベル
|Part|セキュリティ・レベル|トークンの種類|適用|h
|[[Part 2>#j5efef5b]]|高い|記名式トークン (Sender Constra...
|[[Part 1>#jcbf3a32]]|低い|持参人トークン (Bearer Token)|...
-[[OpenID Financial API (FAPI) WG>#f4f721ee]]による対策の...
--整備された基準([[Part 2>#j5efef5b]])
|#|Message|Parameters|(a) Unique Source Identifier&br;(...
|1|Authorization Request|・response_type&br;・client_id&b...
|2|Authorization Response|・code&br;・state&br;・other ex...
|3|Token Request|・grant_type&br;・code&br;・redirect_uri...
|4|Token Response|・access_token&br;・token_type&br;・exp...
--メッセージの認証状況([[Part 2>#j5efef5b]])
|#|メッセージ|送信者認証|受信者認証|メッセージ認証|h
|1|認可リクエスト|[[Request Object>OpenID Connect#q19eeb3...
|2|認可レスポンス|[[Hybrid Flow>OpenID Connect#l565139a]]...
|3|アクセストークン・リクエスト|Good|Good|Good|
|4|アクセストークン・レスポンス|Good|Good|Good|
*Part [#g2ce933d]
現在[[Part1>#jcbf3a32]], [[2>#j5efef5b]]がImplementer's D...
実装を始めても問題のない状態状態になっている。
**[[Part 1: Read Only API Security Profile>FAPI Part 1 (R...
**[[Part 2: Read and Write API Security Profile>FAPI Part...
**Part X: [[Client Initiated Backchannel Authentication P...
**Part 3: Open Data API [#x600e47c]
***要約 [#c69533aa]
***詳細 [#i755f34d]
***原文読んで書く [#vb084c7e]
**Part 4: Protected Data API and Schema - Read only [#ve2...
***要約 [#qb4c7fe9]
-銀行口座~
--などを参考に作成
---US FS-ISAC DDA
---OpenBank Project
---Figo
--UK OBIEからの寄付待ち。
-証券口座~
現在NRIで試案作成中
***詳細 [#w547b2fa]
***原文読んで書く [#je445c7d]
**Part 5: Protected Data API and Schema - Read and Write ...
***要約 [#s063c7fc]
-同上
-Scopeではなく、Claims Requestを使うことで、より詳細・柔...
***詳細 [#n28beb52]
***原文読んで書く [#s6e83d89]
*参考 [#rb6016fa]
-Financial-grade APIについて — HACK The Nikkei~
https://hack.nikkei.com/blog/fapi_and_conformance_test/
**OpenID [#n6f0aba7]
-OpenID Foundation website~
http://openid.net
***OpenID Financial API (FAPI) WG [#f4f721ee]
NRI、Microsoft、Intuitが中心となり組織されたWG。
-Financial API (FAPI) WG | OpenID~
http://openid.net/wg/fapi/
--Financial API | OpenID~
http://openid.net/tag/financial-api/
--openid / fapi — Bitbucket~
https://bitbucket.org/openid/fapi/
***OpenID Certification | OpenID [#fdcbdf3b]
http://openid.net/certification/
-仕様が正しく実装されているかどうか確認できる。
-オンライン提供されているテスト・スイートを使う。
-結果をSelf Certify して登録・公開~
→ FTC法5条の配下に入る。これによって信頼性を担保。
-ログも公開されるので、虚偽の申告は、他者が指摘可能。
-現在はOP Certification, RP Certificationが正式提供中。
-FAPIにおいても、同様のスキームでテスト可能にする予定。
**インフル諸兄 [#jfe836ef]
***nat [#a2685f07]
-slideshare~
https://www.slideshare.net/nat_sakimura/presentations
--OpenID Foundation Foundation Financial API (FAPI) WG~
https://www.slideshare.net/nat_sakimura/openid-foundation...
--Financial Grade OAuth & OpenID Connect~
https://www.slideshare.net/nat_sakimura/financial-grade-o...
--API Days 2016 Day 1: OpenID Financial API WG~
https://www.slideshare.net/nat_sakimura/api-days-2016-day...
--OpenID Foundation FAPI WG: June 2017 Update~
https://www.slideshare.net/nat_sakimura/openid-foundation...
--金融 API 時代のセキュリティ: OpenID Financial API (FAPI...
https://www.slideshare.net/nat_sakimura/api-openid-financ...
--Introduction to the FAPI Read & Write OAuth Profile~
https://www.slideshare.net/nat_sakimura/introduction-to-t...
-金融APIに求められるセキュリティ~APIDays Paris講演より~
2017年2月号|金融ITフォーカス|刊行物|NRI Financial Solu...
http://fis.nri.co.jp/ja-JP/publication/kinyu_itf/backnumb...
***TakahikoKawasaki [#yb98c811]
-Qiita
--Financial API 実装の技術課題~
https://qiita.com/TakahikoKawasaki/items/48a9d22205f77db5...
--【2019年版】世界最先端の API セキュリティー技術、~
実装者による『FAPI(Financial-grade API)』解説~
https://qiita.com/TakahikoKawasaki/items/83c47c9830097dba...
***tkudo [#kcd2bb84]
-FAPI (Financial-grade API) and CIBA (Client Initiated Ba...
https://www.slideshare.net/tkudo/fapi-ciba-2019-03-28
**勉強会 [#w494c7f7]
-OpenID BizDay で金融 API の動向について聞いてきた - TMD4...
http://blog.tmd45.jp/entry/2017/08/02/011504
-FAPI Security について聞いてきた話(2017/08/18 社内勉強...
https://www.slideshare.net/tmd45/fapi-security-20170818
***OAuth & OIDC 勉強会(FAPI & CIBA 特集!) [#f941dfc8]
-『#OAuth & #OIDC 勉強会(#FAPI & #CIBA 特集)』ツイート...
--https://togetter.com/li/1309508
--https://authlete.connpass.com/event/111649/
<FAPI>
-Tokenエンドポイントでは~
Confidential Clientの認証を義務付けている(ただし、Basic ...
--[[FAPI Part 1>FAPI Part 1 (Read Only API Security Profi...
---client_secret_jwt / private_key_jwt
---[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS Client Authen...
--[[FAPI Part 2>FAPI Part 2 (Read and Write API Security ...
※ [[OAUTB>OAuth 2.0 Token Binding]]の雲行きは怪しい。
---private_key_jwt
---[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS Client Authen...
-トークン
--署名アルゴリズム
---[[FAPI Part 1>FAPI Part 1 (Read Only API Security Prof...
---[[FAPI Part 2>FAPI Part 2 (Read and Write API Security...
-ID トークン
--[[FAPI Part 1>FAPI Part 1 (Read Only API Security Profi...
--[[FAPI Part 2>FAPI Part 2 (Read and Write API Security ...
---Hybrid Flowで認可応答に署名(Detatched Signature)する。
---[[JARM>JWT Secured Authorization Response Mode for OAu...
-共通
--redirect_uriは、完全一致にしないといけない。
--Public Client
---SPA系は、~
[[FAPI Part 2>FAPI Part 2 (Read and Write API Security Pr...
---ネイティブ系は、~
[[Claimed Https Scheme URI Redirection>https://dotnetdeve...
([[FAPI Part 1>FAPI Part 1 (Read Only API Security Profi...
--FAPI に準拠する API は、x-fapi-interaction-id HTTP ヘッ...
(クライアント側のログとサーバー側のログの付き合わせを容...
---リクエストに x-fapi-interaction-id HTTP ヘッダーが含ま...
---そうでなければ UUID をサーバー側で生成
<[[CIBA>CIBA(Client Initiated Backchannel Authenticati...
**OSSコンソーシアム [#hbc189a4]
***開発基盤部会 Blog [#t5a7240c]
-Financial API Part 1 (Read Only API Security Profile) を...
https://www.osscons.jp/jo4uzqs3i-537/
-OAuth2/OIDC/FAPI2関連仕様、JAR、JARMを汎用認証サイトに実...
https://www.osscons.jp/jo21dkox6-537/
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[OAuth 2.0 拡張]]
--[[OpenID / OAuth / OpenID Connect]]
* 目次 [#m9a7ace2]
#contents
*概要 [#c3d7eaf3]
Financial API ---> Financial-grade APIと名称が変わった。
-[[OpenID Financial API (FAPI) WG>#f4f721ee]]において、
-EU決済サービス指令(Payment Services Directive/PSD)
-Open Banking Standard
を考慮し、
-ISO/TC 68(Financial services)への提出も視野に入れなが...
以下のような、金融 API の標準仕様群の策定作業が進められて...
|Part|Title|説明|h
|1|[[Read Only API Security Profile>#jcbf3a32]]|参照系 AP...
|2|[[Read & Write API Security Profile>#j5efef5b]]|更新系...
|3|[[Open Data API>#x600e47c]]|公開データ API 仕様|
|4|[[Protected Data API and Schema - Read only>#ve2809ce]...
|5|[[Protected Data API and Schema - Read and Write>#o962...
**目的 [#bbfcc927]
セキュアなOAuthプロファイルで保護されたREST / JSONデータ...
金融サービスの具体的な実装ガイドラインを提供することを目...
***勧告を提供する。 [#wfe4b9ec]
下記に関する勧告を提供(チェックリスト)
-セキュリティ+プライバシー・プロファイル
-JSON data schema, REST APIs
***以下を可能にする。 [#v208b39c]
銀行・証券口座およびクレジットカード口座を考慮対象とする。
-アプリケーションが口座を参照
-アプリケーションが口座を更新
-利用者がセキュリティとプライバシー設定をする
**背景 [#eda6649b]
***金融向けセキュリティ・プロファイルが必要 [#gf05d567]
OAuth2.0はフレームワークなので用途に合わせたセキュリティ...
-基本実装でOK
--ソーシャルアプリにおけるデータ共有
--閉回路の産業アプリケーション
-金融機関APIのセキュリティ・プロファイル
--[[Read Only API用セキュリティ・プロファイル>#jcbf3a32]]
--[[Read and Write API用セキュリティ・プロファイル>#j5efe...
***金融のIdentity Federation APIの使用例 [#k79735dc]
+口座開設(KYCを含む)
+個人資産管理
+支払い、送金
+融資申し込み
+AIによるポートフォリオ管理(出所)
***様々な団体からの後押し [#geb3e8d1]
-INDUSTRY PUSH
--FS-ISAC(Financial Services - Information Sharing and A...
の定める継続的データAPI(Durable Data API)に関する委員会。
--(Source) FS-ISAC FSDDA WG OpenID Financial API
-REGULATORY PUSH
--EU決済サービス指令(Payment Services Directive/PSD)20...
--(Source) ODI OBWG: The Open Banking Standard (2016) JSO...
-Regulatory Pressures (規制圧力)
--リリース1 - 12ヶ月以内に完了させる。~
密接に範囲を絞ったOpen Banking APIのローンチにより、~
オープンなデータのselect, read-accessの使用が可能になった。
--リリース2 - 2017年第1四半期までに完成させる。~
midata(第三者の個人顧客データ)への読み取りアクセス(読...
--リリース3 - 2018年第1四半期までに完成させる。~
midata(第三者の企業顧客データ)への読み取りアクセス(読...
--リリース4 - 2019年1月末までに完了する
---高リスク - 完全な読み書きアクセス。~
---最小midataはcsvファイル。
*考慮事項 [#g964b656]
金融機関API向けのプロファイルは 全てを解決する必要がある。
**1 Client・1 Authorization Server [#t12a7cab]
-1 Clientは、 1 Authorization Serverとのみ関係を持つ。~
(リダイレクト・エンドポイントを分け、クライアントの論理...
-個人財務管理ソフトウェア/クライアントの場合、
--複数のAuthorization Serverが必然的に必要。
--バーチャル・セパレーションを行う。~
Authorization Server毎に異なるRedirectエンドポイントを設...
**メッセージに関する各種の認証 [#j8c91cf7]
-UserAgent(ブラウザなど)を介した通信は、UserAgentがTLS...
-メッセージは変更される恐れがあり、また、メッセージは汚染...
-このため、FAPIでは、メッセージに関する各種の認証を必要と...
***メッセージの種類 [#hd5c59a6]
-認可リクエスト
--送信者:Client
--受信者:Authorization Server
-認可レスポンス
--送信者:Authorization Server
--受信者:Client
-アクセストークン・リクエスト
--送信者:Client
--受信者:Authorization Server
-アクセストークン・レスポンス
--送信者:Authorization Server
--受信者:Client
***メッセージ自体の認証 [#rbe12d2b]
各種リクエスト・レスポンスの各種パラメタが改ざんされない...
***メッセージ送信者の認証 [#s130153f]
-Redirectで中継する、メッセージの送信元の認証
***メッセージ受信者の認証 [#s130153f]
-Redirectで中継する、メッセージの受信先の認証
-特にスマホ端末では、以下に対する注意が必要になる。
--Publicクライアントによる「Accessトークン横取り攻撃」
--Private-Use URL Scheme上書きによる「認可コード横取り攻...
**ユーザーIDと認証の問題 [#i918c34c]
-利用者(Resource Owner)のIDの概念がない。
-ユーザー認証は「範囲外」です。
**メッセージ機密性の問題 [#ga03fb1d]
-UserAgentがTLS終端であるが、~
アプリケーション層で暗号化されていないため、~
UserAgent上でメッセージを見ることができる。
-MITB(Man in the Browser)のマルウェア攻撃は、
>
+UserAgentを監視し、
+ログインが成功すると、
+UserAgentを乗っ取り、
+情報を改ざんする。
**トークンのフィッシング・リプレイ攻撃 [#eff1779a]
-エンドポイントが変更になったなどの偽メールを流す。
--Authorization Server
---認可リクエスト
---アクセストークン・リクエスト
--Resource Server
---リソースのリクエスト
-若しくは、不正発行されたTLS 証明書とDNS スプーフィングの...
*機能 [#yaefe264]
**基準 [#o2f057e2]
***(a) Unique Source Identifier(ユニークなソース識別子 [...
各種のソース識別子(IF)が一意(ユニーク)。
-Resource Owner
-Authorization Server
-Resource Server
***(b) Protocol + version identifier(プロトコル + バージ...
プロトコル + バージョン + msg識別子などが明確に決められて...
***(c) Full list of actor/roles(人物/役割の完全なリスト ...
***(d) Message Authentication(改ざんされていないメッセー...
メッセージ自体の認証による、改ざんされていないメッセージ...
**AS-IS / TO-BE [#e39021f0]
***AS-IS [#n6c15b3c]
-RFC6749は何をしているか?
|#|Message|Parameters|(a) Unique Source Identifier&br;(...
|1|Authorization Request|・response_type&br;・client_id&b...
|2|Authorization Response|・code&br;・state&br;・other ex...
|3|Token Request|・grant_type&br;・code&br;・redirect uri...
|4|Token Response|・access_token&br;・token_type&br;・exp...
-RFC6749の認証への対応状況
|#|メッセージ|メッセージ送信者の認証|メッセージ受信者の認...
|1|認可リクエスト|Indirect(間接)|None(なし)|None(な...
|2|認可レスポンス|None(なし)|None(なし)|None(なし)|
|3|アクセストークン・リクエスト|Weak(弱い)|Good(良い)...
|4|アクセストークン・レスポンス|Good(良い)|Good(良い)...
***TO-BE [#t5c59f1e]
-[[OpenID Financial API (FAPI) WG>#f4f721ee]]による対策
--認証要求・応答の種類とセキュリティ・レベル
|Part|セキュリティ・レベル|機能セット|適用|h
|[[Part 2>#j5efef5b]]|高い|[[JWS Authz Req w>OpenID Conne...
|~||[[Hybrid Flow>OpenID Connect#l565139a]] (秘密のクライ...
|[[Part 1>#jcbf3a32]]||[[Code Flow>OAuth#yfeb403d]] (秘密...
|-||[[Code Flow>OAuth#yfeb403d]] (秘密のクライアント)|ク...
|-||[[Implicit Flow>OAuth#m5c2d510]]|クライアント認証無し|
|-|低い|[[Plain OAuth>OAuth]]|Anonymous|
--トークンの種類とセキュリティ・レベル
|Part|セキュリティ・レベル|トークンの種類|適用|h
|[[Part 2>#j5efef5b]]|高い|記名式トークン (Sender Constra...
|[[Part 1>#jcbf3a32]]|低い|持参人トークン (Bearer Token)|...
-[[OpenID Financial API (FAPI) WG>#f4f721ee]]による対策の...
--整備された基準([[Part 2>#j5efef5b]])
|#|Message|Parameters|(a) Unique Source Identifier&br;(...
|1|Authorization Request|・response_type&br;・client_id&b...
|2|Authorization Response|・code&br;・state&br;・other ex...
|3|Token Request|・grant_type&br;・code&br;・redirect_uri...
|4|Token Response|・access_token&br;・token_type&br;・exp...
--メッセージの認証状況([[Part 2>#j5efef5b]])
|#|メッセージ|送信者認証|受信者認証|メッセージ認証|h
|1|認可リクエスト|[[Request Object>OpenID Connect#q19eeb3...
|2|認可レスポンス|[[Hybrid Flow>OpenID Connect#l565139a]]...
|3|アクセストークン・リクエスト|Good|Good|Good|
|4|アクセストークン・レスポンス|Good|Good|Good|
*Part [#g2ce933d]
現在[[Part1>#jcbf3a32]], [[2>#j5efef5b]]がImplementer's D...
実装を始めても問題のない状態状態になっている。
**[[Part 1: Read Only API Security Profile>FAPI Part 1 (R...
**[[Part 2: Read and Write API Security Profile>FAPI Part...
**Part X: [[Client Initiated Backchannel Authentication P...
**Part 3: Open Data API [#x600e47c]
***要約 [#c69533aa]
***詳細 [#i755f34d]
***原文読んで書く [#vb084c7e]
**Part 4: Protected Data API and Schema - Read only [#ve2...
***要約 [#qb4c7fe9]
-銀行口座~
--などを参考に作成
---US FS-ISAC DDA
---OpenBank Project
---Figo
--UK OBIEからの寄付待ち。
-証券口座~
現在NRIで試案作成中
***詳細 [#w547b2fa]
***原文読んで書く [#je445c7d]
**Part 5: Protected Data API and Schema - Read and Write ...
***要約 [#s063c7fc]
-同上
-Scopeではなく、Claims Requestを使うことで、より詳細・柔...
***詳細 [#n28beb52]
***原文読んで書く [#s6e83d89]
*参考 [#rb6016fa]
-Financial-grade APIについて — HACK The Nikkei~
https://hack.nikkei.com/blog/fapi_and_conformance_test/
**OpenID [#n6f0aba7]
-OpenID Foundation website~
http://openid.net
***OpenID Financial API (FAPI) WG [#f4f721ee]
NRI、Microsoft、Intuitが中心となり組織されたWG。
-Financial API (FAPI) WG | OpenID~
http://openid.net/wg/fapi/
--Financial API | OpenID~
http://openid.net/tag/financial-api/
--openid / fapi — Bitbucket~
https://bitbucket.org/openid/fapi/
***OpenID Certification | OpenID [#fdcbdf3b]
http://openid.net/certification/
-仕様が正しく実装されているかどうか確認できる。
-オンライン提供されているテスト・スイートを使う。
-結果をSelf Certify して登録・公開~
→ FTC法5条の配下に入る。これによって信頼性を担保。
-ログも公開されるので、虚偽の申告は、他者が指摘可能。
-現在はOP Certification, RP Certificationが正式提供中。
-FAPIにおいても、同様のスキームでテスト可能にする予定。
**インフル諸兄 [#jfe836ef]
***nat [#a2685f07]
-slideshare~
https://www.slideshare.net/nat_sakimura/presentations
--OpenID Foundation Foundation Financial API (FAPI) WG~
https://www.slideshare.net/nat_sakimura/openid-foundation...
--Financial Grade OAuth & OpenID Connect~
https://www.slideshare.net/nat_sakimura/financial-grade-o...
--API Days 2016 Day 1: OpenID Financial API WG~
https://www.slideshare.net/nat_sakimura/api-days-2016-day...
--OpenID Foundation FAPI WG: June 2017 Update~
https://www.slideshare.net/nat_sakimura/openid-foundation...
--金融 API 時代のセキュリティ: OpenID Financial API (FAPI...
https://www.slideshare.net/nat_sakimura/api-openid-financ...
--Introduction to the FAPI Read & Write OAuth Profile~
https://www.slideshare.net/nat_sakimura/introduction-to-t...
-金融APIに求められるセキュリティ~APIDays Paris講演より~
2017年2月号|金融ITフォーカス|刊行物|NRI Financial Solu...
http://fis.nri.co.jp/ja-JP/publication/kinyu_itf/backnumb...
***TakahikoKawasaki [#yb98c811]
-Qiita
--Financial API 実装の技術課題~
https://qiita.com/TakahikoKawasaki/items/48a9d22205f77db5...
--【2019年版】世界最先端の API セキュリティー技術、~
実装者による『FAPI(Financial-grade API)』解説~
https://qiita.com/TakahikoKawasaki/items/83c47c9830097dba...
***tkudo [#kcd2bb84]
-FAPI (Financial-grade API) and CIBA (Client Initiated Ba...
https://www.slideshare.net/tkudo/fapi-ciba-2019-03-28
**勉強会 [#w494c7f7]
-OpenID BizDay で金融 API の動向について聞いてきた - TMD4...
http://blog.tmd45.jp/entry/2017/08/02/011504
-FAPI Security について聞いてきた話(2017/08/18 社内勉強...
https://www.slideshare.net/tmd45/fapi-security-20170818
***OAuth & OIDC 勉強会(FAPI & CIBA 特集!) [#f941dfc8]
-『#OAuth & #OIDC 勉強会(#FAPI & #CIBA 特集)』ツイート...
--https://togetter.com/li/1309508
--https://authlete.connpass.com/event/111649/
<FAPI>
-Tokenエンドポイントでは~
Confidential Clientの認証を義務付けている(ただし、Basic ...
--[[FAPI Part 1>FAPI Part 1 (Read Only API Security Profi...
---client_secret_jwt / private_key_jwt
---[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS Client Authen...
--[[FAPI Part 2>FAPI Part 2 (Read and Write API Security ...
※ [[OAUTB>OAuth 2.0 Token Binding]]の雲行きは怪しい。
---private_key_jwt
---[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS Client Authen...
-トークン
--署名アルゴリズム
---[[FAPI Part 1>FAPI Part 1 (Read Only API Security Prof...
---[[FAPI Part 2>FAPI Part 2 (Read and Write API Security...
-ID トークン
--[[FAPI Part 1>FAPI Part 1 (Read Only API Security Profi...
--[[FAPI Part 2>FAPI Part 2 (Read and Write API Security ...
---Hybrid Flowで認可応答に署名(Detatched Signature)する。
---[[JARM>JWT Secured Authorization Response Mode for OAu...
-共通
--redirect_uriは、完全一致にしないといけない。
--Public Client
---SPA系は、~
[[FAPI Part 2>FAPI Part 2 (Read and Write API Security Pr...
---ネイティブ系は、~
[[Claimed Https Scheme URI Redirection>https://dotnetdeve...
([[FAPI Part 1>FAPI Part 1 (Read Only API Security Profi...
--FAPI に準拠する API は、x-fapi-interaction-id HTTP ヘッ...
(クライアント側のログとサーバー側のログの付き合わせを容...
---リクエストに x-fapi-interaction-id HTTP ヘッダーが含ま...
---そうでなければ UUID をサーバー側で生成
<[[CIBA>CIBA(Client Initiated Backchannel Authenticati...
**OSSコンソーシアム [#hbc189a4]
***開発基盤部会 Blog [#t5a7240c]
-Financial API Part 1 (Read Only API Security Profile) を...
https://www.osscons.jp/jo4uzqs3i-537/
-OAuth2/OIDC/FAPI2関連仕様、JAR、JARMを汎用認証サイトに実...
https://www.osscons.jp/jo21dkox6-537/
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
