FAPI とは

OpenID Foundation 傘下のワーキンググループが策定を進めている Financial-grade API (FAPI) は、非常にセキュアな OAuth プロファイルにより保護された REST/JSON データモデルの仕様群と、その仕様群をオンライン金融サービスに適用する上での実装ガイドラインの提供を目標としています。

FAPI セキュリティプロファイル

仕様群の中でも FAPI セキュリティプロファイルは、金融サービスに限らず、標準的な OAuth もしくは OpenID Connect を超える高度なセキュリティが求められる分野のオンラインサービスに対して適用可能です。FAPI セキュリティプロファイルは 2 種類あります。

• Financial-grade API - Part 1: Read-Only API Security Profile

  金融データの参照 （read-only) や、それに類似するユースケースへの利用に適した OAuth のプロファイル

• Financial-grade API - Part 2: Read and Write API Security Profile

  金融サービスへの参照・更新 (read and write) やそれに類似する、よりリスクの高い状況での API 提供に適したセキュリティプロファイル

このうち後者の “FAPI Part 2” では、OAuth 2.0 だけではなく OpenID Connect 仕様に定義されている高度な機能を積極的に活用しています。主な機能強化点は以下の通りです。

• 認可リクエスト / レスポンスの送信者詐称・改ざん防止
  • リクエストオブジェクトの利用
  • ハイブリッドフローもしくは JARM の利用
• 認可コードの漏洩・盗用防止
  • リダイレクト URI (redirect_uri) の厳密な管理
• クライアントのなりすまし防止
  • 双方向 TLS クライアント認証 もしくは JWT によるクライアント認証
• トークンの漏洩・盗用防止
  • OAUTB（トークンバインディング）もしくはクライアント証明書へのバインドの利用

概要は以下の文章ならびにスライドをご参照ください。

1. 世界最先端の API セキュリティー技術、実装者による『FAPI（Financial-grade API）』解説

   Financial-grade API、通称 FAPI（『ファピ』と読む）は、OpenID Foundation の Financial-grade API ワーキンググループが策定を担当している技術仕様だ。OAuth 2.0 と OpenID Connect（以降 OIDC）を基盤とし、より高いセキュリティー要件を定めているのが特徴で、金融業界などの高度なセキュリティーが求められる環境での使用を想定している。 […] 本記事は FAPI のセキュリティープロファイルについて解説する。

2. FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authentication) (Authelte 社勉強会資料)

3. Financial-grade API (FAPI) and CIBA, IIW Fall 2019

Authlete と FAPI

Authlete では、2018年7月以降、Financial-grade API をサポートし、2019年4月以降 Financial-grade API Certification を取得しています。

詳細は、以下のドキュメントをご参照ください。

• FAPI の機能を利用するにあたって

  本ドキュメントでは、Authlete で Financial-grade API (通称 FAPI) の機能を利用するための具体的な方法について解説します。

• FAPI モードにおける追加検討項目

  標準の OAuth 2.0 および OpenID Connect 用の検証項目に加えて、FAPI モードにおいて追加で実行される検証項目について説明します。

• Authlete API チュートリアル: FAPI Basics

  Authlete を利用した Financial-grade API - Part 2: Read and Write API Security Profile （以下 FAPI）対応のアイデンティティ・プロバイダーを構築する手順を通じて、同仕様が規定するセキュリティ条項の概要と Authlete の設定方法を紹介します。