金融グレード API (FAPI)

FAPI とは

OpenID Foundation 傘下のワーキンググループが策定を進めている Financial-grade API (FAPI) は、非常にセキュアな OAuth プロファイルにより保護された REST/JSON データモデルの仕様群と、その仕様群をオンライン金融サービスに適用する上での実装ガイドラインの提供を目標としています。

FAPI セキュリティプロファイル

仕様群の中でも FAPI セキュリティプロファイルは、金融サービスに限らず、標準的な OAuth もしくは OpenID Connect を超える高度なセキュリティが求められる分野のオンラインサービスに対して適用可能です。FAPI セキュリティプロファイルは 2 種類あります。

このうち後者の “FAPI Part 2” では、OAuth 2.0 だけではなく OpenID Connect 仕様に定義されている高度な機能を積極的に活用しています。主な機能強化点は以下の通りです。

概要は以下をご参照ください。

  1. 世界最先端の API セキュリティー技術、実装者による『FAPI(Financial-grade API)』解説

    Financial-grade API(通称 FAPI; ファピ)は、OpenID Foundation の Financial-grade API ワーキンググループが策定した技術仕様です。OAuth 2.0 と OpenID Connect(以降 OIDC)を基盤とし、より高い API セキュリティーを必要とする金融業界および他の様々な業界のため、追加の技術要求事項を定めています。

  2. Financial-grade API (FAPI) 勉強会

    2022 年 1 月 12 日に開催した弊社勉強会のプレゼンテーション録画です。FAPI の概要、および 2021 年 3 月に公開された FAPI 1.0 を解説します。また、FAPI 2.0 の最新動向もご紹介します。

Authlete と FAPI

Authlete では、2018 年 7 月以降、Financial-grade API をサポートし、2019 年 4 月以降 Financial-grade API Certification を取得しています。

詳細は、以下のドキュメントをご参照ください。

  • FAPI の機能を利用するにあたって

    本ドキュメントでは、Authlete で Financial-grade API (通称 FAPI) の機能を利用するための具体的な方法について解説します。

  • FAPI モードにおける追加検討項目

    標準の OAuth 2.0 および OpenID Connect 用の検証項目に加えて、FAPI モードにおいて追加で実行される検証項目について説明します。

  • FAPI Basics

    Authlete を利用した Financial-grade API - Part 2: Read and Write API Security Profile (以下 FAPI)対応のアイデンティティ・プロバイダーを構築する手順を通じて、同仕様が規定するセキュリティ条項の概要と Authlete の設定方法を紹介します。

  • FAPI Basics Supplement: Integration with Reference Implementations

    Financial-grade API (FAPI) Basics を通じて設定した Authlete に、リファレンス実装を統合し、動作を確認するチュートリアルです。