Financial-grade API

FAPI とは

OpenID Foundation 傘下のワーキンググループが策定を進めている Financial-grade API (FAPI) は、非常にセキュアな OAuth プロファイルにより保護された REST/JSON データモデルの仕様群と、その仕様群をオンライン金融サービスに適用する上での実装ガイドラインの提供を目標としています。

FAPI セキュリティプロファイル

仕様群の中でも FAPI セキュリティプロファイルは、金融サービスに限らず、標準的な OAuth もしくは OpenID Connect を超える高度なセキュリティが求められる分野のオンラインサービスに対して適用可能です。FAPI セキュリティプロファイルは 2 種類あります。

このうち後者の “FAPI Part 2” では、OAuth 2.0 だけではなく OpenID Connect 仕様に定義されている高度な機能を積極的に活用しています。主な機能強化点は以下の通りです。

概要は以下の文章ならびにスライドをご参照ください。

  1. 世界最先端の API セキュリティー技術、実装者による『FAPI(Financial-grade API)』解説

    Financial-grade API、通称 FAPI(『ファピ』と読む)は、OpenID Foundation の Financial-grade API ワーキンググループが策定を担当している技術仕様だ。OAuth 2.0 と OpenID Connect(以降 OIDC)を基盤とし、より高いセキュリティー要件を定めているのが特徴で、金融業界などの高度なセキュリティーが求められる環境での使用を想定している。 […] 本記事は FAPI のセキュリティープロファイルについて解説する。

  2. FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authentication) (Authelte 社勉強会資料)

  3. Financial-grade API (FAPI) and CIBA, IIW Fall 2019

Authlete と FAPI

Authlete では、2018年7月以降、Financial-grade API をサポートし、2019年4月以降 Financial-grade API Certification を取得しています。

詳細は、以下のドキュメントをご参照ください。

  • FAPI の機能を利用するにあたって

    本ドキュメントでは、Authlete で Financial-grade API (通称 FAPI) の機能を利用するための具体的な方法について解説します。

  • FAPI モードにおける追加検討項目

    標準の OAuth 2.0 および OpenID Connect 用の検証項目に加えて、FAPI モードにおいて追加で実行される検証項目について説明します。

  • Authlete API チュートリアル: FAPI Basics

    Authlete を利用した Financial-grade API - Part 2: Read and Write API Security Profile (以下 FAPI)対応のアイデンティティ・プロバイダーを構築する手順を通じて、同仕様が規定するセキュリティ条項の概要と Authlete の設定方法を紹介します。