Contenu connexe
Plus de FinTechLabs.io (6)
Authlete FAPI Implementation Part 2 #fapisum - Japan/UK Open Banking and APIs Summit 2018 - July 24, 2018
- 2. Agenda
• Read Only と Read and Write の判定方法
• リクエストオブジェクトのパラメーターチェック
• Authlete 2.0
© 2018 Authlete, Inc. 2
- 3. Agenda
• Read Only と Read and Write の判定方法
• リクエストオブジェクトのパラメーターチェック
• Authlete 2.0
© 2018 Authlete, Inc. 3
- 4. FAPI 仕様群
Part 1: Read Only API Security Profile
Part 2: Read and Write API Security Profile
Part 3: Open Data API
Part 4: Protected Data API and Schema - Read only
Part 5: Protected Data API and Schema - Read and Write
認可サーバーを
実装する上で重要
© 2018 Authlete, Inc. 4
- 5. Part 1: Read Only API Security Profile
5.2.2. Authorization server
• コンフィデンシャルクライアントのサポートが必須
• パブリッククライアントに対して PKCE の実施が必須
• 認可リクエストに redirect_uri パラメーターが必須
etc...
Part 2: Read and Write API Security Profile
5.2.2. Authorization server
(Part 1 の事項に加えて)
• リクエストオブジェクトのサポートが必須
• response type は “code id_token” もしくは “code
id_token token” でなければならない
• Holder-of-key のメカニズムとして OAUTB あるいは
MTLS のサポートが必須
etc...
Read Only と Read and Write で認可サーバーの振る舞いが異なる
© 2018 Authlete, Inc. 5
- 7. Q: 認可サーバーは Read Only なのか
Read and Write なのかをどう判定するの
か?
仕様書には特に明記されていない
スコープを利用して判定する!
© 2018 Authlete, Inc. 7
- 9. 認可サーバー
(FAPI 対応済)
1. read_account スコープが
“fapi : r“ 属性に紐づくと判る
2. “fapi : r“ 属性は Read Only に対
応すると判る
3. このリクエストを Read Only の
仕様に従って処理する
クライアントアプリ
認可リクエスト
https://example.com/authorization
?response_type=code+id_token
&client_id=123456789
&scope=openid+read_account
…
© 2018 Authlete, Inc. 9
- 10. Authlete でのスコープの属性定義
属性のキー 属性の値 対応するケース
fapi r FAPI Read Only
fapi rw FAPI Read and Write
上記以外の場合
OpenID Connect の
authentication リクエスト
© 2018 Authlete, Inc. 10
- 11. Agenda
• Read Only と Read and Write の判定方法
• リクエストオブジェクトのパラメーターチェック
• Authlete 2.0
© 2018 Authlete, Inc. 11
- 12. FAPI - Part 2: Read and Write API Security Profile
5.2.2 Authorization server
…
In addition, the authorization server, for the write operation,
10. shall require that all parameters are present inside the signed request
object;
「全てのパラメーターが署名されたリクエストオブジェクト内に存在する」
ということを認可サーバーは要求するものとする
© 2018 Authlete, Inc. 12
- 21. Agenda
• Read Only と Read and Write の判定方法
• リクエストオブジェクトのパラメーターチェック
• Authlete 2.0
© 2018 Authlete, Inc. 21
- 22. ✓BaaS (Backend as a Service)として利用可能であり
導入・運用が容易
✓OAuth 2.0 / OIDC関連仕様を網羅した実装
✓ユーザーからのフィードバックに基づいて
仕様の先を行く機能群を実装
✓関連仕様の専門家集団が設計・運用
© 2018 Authlete, Inc.
OAuth/OIDC実装者の課題洞察から誕生した
「認可サーバ構築用APIサービス」
22
- 23. © 2018 Authlete, Inc.
ワールドワイドに多数の利用実績 & 有力企業様も活用
採用実績例
コンシューマーIAMソリューション
「Uni-ID Libra」の認可エンジンとして採用
ユーザープロファイル(地域別)
Grand Prize Winner
ヘルスケアサービス「ルナルナ」等で採用
API 公開基盤「Resonatex」 に採用
銀行APIの認可基盤として採用
FinTech企業との連携PoCにおいて活用
IoTプラットフォームにて採用
各種サービスの認可サーバとして採用
IBM 賞
受賞歴
49%
21%
14%
12%
3% 1%
Japan
North America
Europe
Asia
Central/South America
Africa
23