Table of Contents
OpenID Foundation 傘下のワーキンググループが策定を進めている Financial-grade API (FAPI) は、非常にセキュアな OAuth プロファイルにより保護された REST/JSON データモデルの仕様群と、その仕様群をオンライン金融サービスに適用する上での実装ガイドラインの提供を目標としています。
仕様群の中でも FAPI セキュリティプロファイルは、金融サービスに限らず、標準的な OAuth もしくは OpenID Connect を超える高度なセキュリティが求められる分野のオンラインサービスに対して適用可能です。FAPI セキュリティプロファイルは 2 種類あります。
Financial-grade API - Part 1: Read-Only API Security Profile
金融データの参照 (read-only) や、それに類似するユースケースへの利用に適した OAuth のプロファイル
Financial-grade API - Part 2: Read and Write API Security Profile
金融サービスへの参照・更新 (read and write) やそれに類似する、よりリスクの高い状況での API 提供に適したセキュリティプロファイル
このうち後者の “FAPI Part 2” では、OAuth 2.0 だけではなく OpenID Connect 仕様に定義されている高度な機能を積極的に活用しています。主な機能強化点は以下の通りです。
redirect_uri
) の厳密な管理概要は以下の文章ならびにスライドをご参照ください。
世界最先端の API セキュリティー技術、実装者による『FAPI(Financial-grade API)』解説
Financial-grade API、通称 FAPI(『ファピ』と読む)は、OpenID Foundation の Financial-grade API ワーキンググループが策定を担当している技術仕様だ。OAuth 2.0 と OpenID Connect(以降 OIDC)を基盤とし、より高いセキュリティー要件を定めているのが特徴で、金融業界などの高度なセキュリティーが求められる環境での使用を想定している。 […] 本記事は FAPI のセキュリティープロファイルについて解説する。
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authentication) (Authelte 社勉強会資料)
Authlete では、2018年7月以降、Financial-grade API をサポートし、2019年4月以降 Financial-grade API Certification を取得しています。
詳細は、以下のドキュメントをご参照ください。
本ドキュメントでは、Authlete で Financial-grade API (通称 FAPI) の機能を利用するための具体的な方法について解説します。
標準の OAuth 2.0 および OpenID Connect 用の検証項目に加えて、FAPI モードにおいて追加で実行される検証項目について説明します。
Authlete API チュートリアル: FAPI Basics
Authlete を利用した Financial-grade API - Part 2: Read and Write API Security Profile (以下 FAPI)対応のアイデンティティ・プロバイダーを構築する手順を通じて、同仕様が規定するセキュリティ条項の概要と Authlete の設定方法を紹介します。