SlideShare a Scribd company logo

Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 - July 24, 2018

FinTechLabs.io, profile picture
FinTechLabs.io

By Tatsuo Kudo (Authlete)

Internet
1 of 20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Financial APIs Workshop - Japan/UK Open Banking and APIs Summit 2018 銀行APIのトレンド 工藤達雄
本プレゼンテーションの内容 • 近年欧州を中心に「銀行API」の共通仕様を策定する動きが 進んでいます。本プレゼンテーションでは各仕様のAPIアク セス認可に注目し、今後の方向性を考察します。 2
自己紹介 • 工藤達雄 https://www.linkedin.com/in/tatsuokudo – サン・マイクロシステムズ(1998-2008) – 野村総合研究所 (2008-2018) – OpenIDファウンデーション・ジャパン (2013-2014) – NRIセキュアテクノロジーズ (2014-2018) – Authlete(2018-) • VP of Solution Strategy 3
「銀行API」とは • 「銀行API」と言ってもいろいろある – 「オープンデータ」の提供(e.g.支店 の住所情報) – コア機能のホワイトレーベル提供 (“Bank as a Service”) – お客さまに関わるデータ・機能の口 座情報・契約情報・取引履歴の提供、 取引の実行機能など 約2万API中、Bankingカテゴリに登録されているのは371種類 Source: https://www.programmablew eb.com/category/banking 4
銀行APIにおける“OAuth 2.0”の活用 • お客さまの同意に基づく APIアクセス認可のフ レームワークとして用い られることが多い 5 “OAuth 2.0” の登場人物と処理の流れ Source: https://www.slideshare.net/tkudo/api-meetup-oauth
銀行APIの策定者 • 銀行各行が策定 • 業界団体やコンソーシアムが 共通仕様を策定 • (ベンダーが策定) 6 • Open Banking UK • Berlin Group NextGenPSD2 • Polish Bank Association • Slovak Banking Association • (France Stet)
Open Banking UK • FAPI Part 2 • Client Credentials Grant Type (OAuth 2.0) / OIDC Hybrid Flow • Request Object • Mutual TLS 7 Source: Open Banking Security Profile - Implementer's Draft v1.1.2 https://openbanking.atlassian.net/w iki/spaces/DZ/pages/83919096/Open+Banking+Security+Profile+-+Implementer+s+Draft+v1.1.2
Open Banking UK 口座情報等取得のフロー 1. PSU (Payment Service User) がAISP (Account Information Service Provider) に情報取得開始を許可 2. AISPがASPSP (Account Servicing Payment Service Provider) にPOST /account-resource (Mutual TLS, Client Credentials Grant Type) 3. ASPSPがPISPに “AccountRequestId” を返却 4. AISPがAccountRequestIdを含む Request Objectを生成し ASPSPに認可リクエスト (OIDC Hybrid Flow) 5. ASPSPがPSUを認証 6. ASPSPがAISPに認可コードを返却 7. AISPがASPSPに認可コードを送信しアクセストークンを取得 (Mutual TLS) 8. AISPがアクセストークンを使ってGET /accounts (Mutual TLS) 8 Source: Account and Transaction API - v2.0.0 https://openbanking.atlassian.net/w iki/spaces/DZ/pages/127009546/Account+and+ Transaction+API+Specification+-+v2.0.0
Open Banking UK 決済指示のフロー 1. PSUがPISP (Payment Initiation Service Provider) に決済指示 開始を許可 2. PISPがASPSPにPOST /payments (Mutual TLS, Client Credentials Grant Type) 3. ASPSPがPISPに ”PaymentId” を返却 4. PISPが PaymentId を含む Request Objectを生成し、ASPSPに 認可リクエスト (OIDC Hybrid Flow) 5. ASPSPがPSUを認証 6. ASPSPがPISPに認可コードを返却 7. PISPがASPSPに認可コードを送信しアクセストークンを取得 (Mutual TLS) 8. PISPがアクセストークンを使ってPOST /payment-submissions (Mutual TLS) 9. Optionally retrieve the status of a payment setup or submission 9 Source: Payment Initiation API - v1.1.0 https://openbanking.atlassian.net/w iki/spaces/DZ/pages/5786479/Payment+Initiation+API+Specification+-+v1.1.0
OIDC Hybrid Flowによる決済指示フローの例 (1) • Slovak Banking API Standard – OB UKと同様、PISPは決済のID (orderId) をASPSPから取得後、それをRequest Objectに格納し、認可 リクエストを開始する 10 Source: Slovak Banking API Standard Version 1.1 http://w ww.sbaonline.sk/files/subory/projekty/sbas/sbas_ver1.1-final.pdf
OIDC Hybrid Flowによる決済指示フローの例 (2) • ハンガリー MKB銀行 – Open Banking UKのSecurity Profileを活用 – OB UKと同様、PISPは決済の ID (openbanking_intent_id)を ASPSPから取得後、それを RequestObjectに格納し、認可 リクエストを開始する 11 Source: Account and Transaction API Specification https://portal.sandbox.mkb.hu/api-documentation/account-info
Berlin Group “NextGenPSD2” • 認証・認可フローが大別して4種類ある – Redirect SCAApproach – OAuth2 SCAApproach – Decoupled SCAApproach – Embedded SCAApproach 12
Berlin Group “NextGenPSD2” Redirect / OAuth2 SCA Approach • PSUをASPSPにリダイレ クトしてPSUの同意を確 認 • “OAuth2” はRedirectの 一種 – Authorization Server Metadataを用いてリダイ レクト先を動的に決定 13 Source: NextGenPSD2 XS2A Framew orkImplementation Guidelines Version 1.1 https://docs.wixstatic.com/ugd/c2914b_5351b289bf844c6881e46ee3561d95bb.pdf
Berlin Group “NextGenPSD2” Decoupled SCA Approach • ASPSPがPISP/AISPと は別の経路を介して PSUの同意を確認 14 Source: NextGenPSD2 XS2A Framew orkImplementation Guidelines Version 1.1 https://docs.wixstatic.com/ugd/c2914b_5351b289bf844c6881e46ee3561d95bb.pdf
Berlin Group “NextGenPSD2” Embedded SCA Approach • ASPSPがPISP/AISPを介して PSUの同意を確認 15 Source: NextGenPSD2 XS2A Framew orkImplementation Guidelines Version 1.1 https://docs.wixstatic.com/ugd/c2914b_5351b289bf844c6881e46ee3561d95bb.pdf
Berlin Group “NextGenPSD2” OAuth 2.0との関係 • “Optional Usage” という位置付け • PISP/AISPは、“pre-step” の結果として、もしくはOAuth SCA Approachを実行した結果として、ASPSPからアクセス トークンを取得し、API (XS2A interface) を呼び出し 16
他のDecoupledな認証の例 • ポーランド “PolishAPI” • NextGenPSD2とは別の方 法による decoupled な認証 – OAuth 2.0の認可コードグラ ントを応用 – TPP (Third-Party Provider) がEAT (External Authorization Tool) の出力 値をASPSPに送信 17 Source: PolishAPI Verison 2.0 https://docs.polishapi.org/files/ver2.0/PolishAPI-spec-v2.0-EN.pdf
他のEmbeddedアプローチの例 • フランス “STET” • Resource Owner Password Grant – ASPSPがPSUを Strong Customer Authenticationによって 認証した結果を「パス ワード」として送信する 18 Source: PolishAPI Verison 2.0 https://www.stet.eu/assets/files/PSD2/1_3/API_DSP2_STET_V1_3.pdf
まとめ • TPPからASPSPに “intent” をPOST → 取得した intent idを Request Objectに入れて認可リクエスト、というフローが Open Banking UKを中心に広まりつつある • TPPとASPSPとの間は原則的に相互TLS認証を行っている • “Embedded” vs “Decoupled” 19
Thanks!

More Related Content

PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
 
PDF
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
FinTechLabs.io
 
PDF
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
Tatsuo Kudo
 
PDF
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
 
PDF
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
 
PDF
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
Tatsuo Kudo
 
PDF
Japan/UK Open Banking and APIs Summit 2018 TOI
Tatsuo Kudo
 
PDF
オープン API と Authlete のソリューション
Tatsuo Kudo
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
 
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
FinTechLabs.io
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
Tatsuo Kudo
 
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
Tatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Tatsuo Kudo
 
オープン API と Authlete のソリューション
Tatsuo Kudo
 

What's hot (17)

PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
 
PDF
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
 
PPTX
次世代KYCのあるべき姿 - OpenID BizDay #14
OpenID Foundation Japan
 
PDF
Open shiftmeetup 3scalelt_3
Yuichi Nakamura
 
PDF
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
 
PPTX
Keycloakの紹介と最新開発動向
Yuichi Nakamura
 
PDF
OAuthのHolder of Key Token
Yuichi Nakamura
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
PPTX
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
 
PDF
Keycloakの動向
Yuichi Nakamura
 
PDF
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
PDF
Keycloak開発入門
Yuichi Nakamura
 
PDF
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
Nat Sakimura
 
PDF
金融向けoへの認証の導入
FIDO Alliance
 
PPTX
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
OpenID Foundation Japan
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Yuichi Nakamura
 
PDF
Authlete overview
mtisol
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
 
次世代KYCのあるべき姿 - OpenID BizDay #14
OpenID Foundation Japan
 
Open shiftmeetup 3scalelt_3
Yuichi Nakamura
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
 
Keycloakの紹介と最新開発動向
Yuichi Nakamura
 
OAuthのHolder of Key Token
Yuichi Nakamura
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
 
Keycloakの動向
Yuichi Nakamura
 
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
Keycloak開発入門
Yuichi Nakamura
 
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
Nat Sakimura
 
金融向けoへの認証の導入
FIDO Alliance
 
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
OpenID Foundation Japan
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Yuichi Nakamura
 
Authlete overview
mtisol
 
Ad

Similar to Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 - July 24, 2018 (20)

PPTX
20200515 api meetup online #1
kounan13
 
PPTX
DRIVE CHARTの裏側 〜 AI ☓ IoT ☓ ビッグデータを 支えるアーキテクチャ 〜
DeNA
 
PDF
Kongの概要と導入事例
briscola-tokyo
 
PDF
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ
 
PPTX
20170911 API Meetup Tokyo #21
kounan13
 
PPTX
PayPalとセキュリティの関係について
Junichi Okamura
 
PPTX
PPUG Kyoto #1
Junichi Okamura
 
PPTX
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
PPTX
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
PDF
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
Toshihiko Yamakami
 
PPTX
20170324 html5j web_paltform_study
Junichi Okamura
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
 
PDF
Data API + AWS = (CMS どうでしょう 札幌編)
Yuji Takayama
 
PPTX
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
PDF
Kong meetup tokyo 2018.10.26 ブリスコラ
briscola-tokyo
 
PDF
【2018/09/11】PAYでのReact Nativeにおける APIクライアント実装 について
Natsuki Yamanaka
 
PDF
Aws summits2014 ソニー銀行_ソニー銀行の考える金融機関のaws活用方式
Boss4434
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
PDF
中国市場提言(大津山)
沖縄ロングステイ協議会代表(超小型モビリティ実証)
 
PDF
SAP Inside Track Tokyo 2022 Deep Learning版Cash Applicationをやってみた
Shuntaro Oguri
 
20200515 api meetup online #1
kounan13
 
DRIVE CHARTの裏側 〜 AI ☓ IoT ☓ ビッグデータを 支えるアーキテクチャ 〜
DeNA
 
Kongの概要と導入事例
briscola-tokyo
 
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ
 
20170911 API Meetup Tokyo #21
kounan13
 
PayPalとセキュリティの関係について
Junichi Okamura
 
PPUG Kyoto #1
Junichi Okamura
 
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
Toshihiko Yamakami
 
20170324 html5j web_paltform_study
Junichi Okamura
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
 
Data API + AWS = (CMS どうでしょう 札幌編)
Yuji Takayama
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
Kong meetup tokyo 2018.10.26 ブリスコラ
briscola-tokyo
 
【2018/09/11】PAYでのReact Nativeにおける APIクライアント実装 について
Natsuki Yamanaka
 
Aws summits2014 ソニー銀行_ソニー銀行の考える金融機関のaws活用方式
Boss4434
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
中国市場提言(大津山)
沖縄ロングステイ協議会代表(超小型モビリティ実証)
 
SAP Inside Track Tokyo 2022 Deep Learning版Cash Applicationをやってみた
Shuntaro Oguri
 
Ad

More from FinTechLabs.io (11)

PDF
Open Banking: The View from a Japanese Startup (Authlete) #fapisum - Japan/UK...
FinTechLabs.io
 
PDF
FAPI / Open Banking Test Suite #fapisum - Japan/UK Open Banking and APIs Summ...
FinTechLabs.io
 
PDF
Trust Frameworks and Open Banking #fapisum - Japan/UK Open Banking and APIs S...
FinTechLabs.io
 
PDF
Issues towards Open Banking ecosystem and how OpenID Foundation tackles them ...
FinTechLabs.io
 
PDF
Banking API Trends in Japan #fapisum - Japan/UK Open Banking and APIs Summit ...
FinTechLabs.io
 
PDF
Open Banking: Lessons from the UK #fapisum - Japan/UK Open Banking and APIs S...
FinTechLabs.io
 
PDF
FAPI / Open Banking Conformance #fapisum - Japan/UK Open Banking and APIs Sum...
FinTechLabs.io
 
PDF
The Great British API Client Bake Off #fapisum - Japan/UK Open Banking and AP...
FinTechLabs.io
 
PDF
Authlete FAPI Implementation Part 1 #fapisum - Japan/UK Open Banking and APIs...
FinTechLabs.io
 
PDF
Open Banking UK “Identity Product” Internals #fapisum - Japan/UK Open Banking...
FinTechLabs.io
 
PDF
Open Banking for Developers #fapisum - Japan/UK Open Banking and APIs Summit ...
FinTechLabs.io
 
Open Banking: The View from a Japanese Startup (Authlete) #fapisum - Japan/UK...
FinTechLabs.io
 
FAPI / Open Banking Test Suite #fapisum - Japan/UK Open Banking and APIs Summ...
FinTechLabs.io
 
Trust Frameworks and Open Banking #fapisum - Japan/UK Open Banking and APIs S...
FinTechLabs.io
 
Issues towards Open Banking ecosystem and how OpenID Foundation tackles them ...
FinTechLabs.io
 
Banking API Trends in Japan #fapisum - Japan/UK Open Banking and APIs Summit ...
FinTechLabs.io
 
Open Banking: Lessons from the UK #fapisum - Japan/UK Open Banking and APIs S...
FinTechLabs.io
 
FAPI / Open Banking Conformance #fapisum - Japan/UK Open Banking and APIs Sum...
FinTechLabs.io
 
The Great British API Client Bake Off #fapisum - Japan/UK Open Banking and AP...
FinTechLabs.io
 
Authlete FAPI Implementation Part 1 #fapisum - Japan/UK Open Banking and APIs...
FinTechLabs.io
 
Open Banking UK “Identity Product” Internals #fapisum - Japan/UK Open Banking...
FinTechLabs.io
 
Open Banking for Developers #fapisum - Japan/UK Open Banking and APIs Summit ...
FinTechLabs.io
 

Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 - July 24, 2018

  • 1. Financial APIs Workshop - Japan/UK Open Banking and APIs Summit 2018 銀行APIのトレンド 工藤達雄
  • 3. 自己紹介 • 工藤達雄 https://www.linkedin.com/in/tatsuokudo – サン・マイクロシステムズ(1998-2008) – 野村総合研究所 (2008-2018) – OpenIDファウンデーション・ジャパン (2013-2014) – NRIセキュアテクノロジーズ (2014-2018) – Authlete(2018-) • VP of Solution Strategy 3
  • 4. 「銀行API」とは • 「銀行API」と言ってもいろいろある – 「オープンデータ」の提供(e.g.支店 の住所情報) – コア機能のホワイトレーベル提供 (“Bank as a Service”) – お客さまに関わるデータ・機能の口 座情報・契約情報・取引履歴の提供、 取引の実行機能など 約2万API中、Bankingカテゴリに登録されているのは371種類 Source: https://www.programmablew eb.com/category/banking 4
  • 6. 銀行APIの策定者 • 銀行各行が策定 • 業界団体やコンソーシアムが 共通仕様を策定 • (ベンダーが策定) 6 • Open Banking UK • Berlin Group NextGenPSD2 • Polish Bank Association • Slovak Banking Association • (France Stet)
  • 7. Open Banking UK • FAPI Part 2 • Client Credentials Grant Type (OAuth 2.0) / OIDC Hybrid Flow • Request Object • Mutual TLS 7 Source: Open Banking Security Profile - Implementer's Draft v1.1.2 https://openbanking.atlassian.net/w iki/spaces/DZ/pages/83919096/Open+Banking+Security+Profile+-+Implementer+s+Draft+v1.1.2
  • 8. Open Banking UK 口座情報等取得のフロー 1. PSU (Payment Service User) がAISP (Account Information Service Provider) に情報取得開始を許可 2. AISPがASPSP (Account Servicing Payment Service Provider) にPOST /account-resource (Mutual TLS, Client Credentials Grant Type) 3. ASPSPがPISPに “AccountRequestId” を返却 4. AISPがAccountRequestIdを含む Request Objectを生成し ASPSPに認可リクエスト (OIDC Hybrid Flow) 5. ASPSPがPSUを認証 6. ASPSPがAISPに認可コードを返却 7. AISPがASPSPに認可コードを送信しアクセストークンを取得 (Mutual TLS) 8. AISPがアクセストークンを使ってGET /accounts (Mutual TLS) 8 Source: Account and Transaction API - v2.0.0 https://openbanking.atlassian.net/w iki/spaces/DZ/pages/127009546/Account+and+ Transaction+API+Specification+-+v2.0.0
  • 9. Open Banking UK 決済指示のフロー 1. PSUがPISP (Payment Initiation Service Provider) に決済指示 開始を許可 2. PISPがASPSPにPOST /payments (Mutual TLS, Client Credentials Grant Type) 3. ASPSPがPISPに ”PaymentId” を返却 4. PISPが PaymentId を含む Request Objectを生成し、ASPSPに 認可リクエスト (OIDC Hybrid Flow) 5. ASPSPがPSUを認証 6. ASPSPがPISPに認可コードを返却 7. PISPがASPSPに認可コードを送信しアクセストークンを取得 (Mutual TLS) 8. PISPがアクセストークンを使ってPOST /payment-submissions (Mutual TLS) 9. Optionally retrieve the status of a payment setup or submission 9 Source: Payment Initiation API - v1.1.0 https://openbanking.atlassian.net/w iki/spaces/DZ/pages/5786479/Payment+Initiation+API+Specification+-+v1.1.0
  • 10. OIDC Hybrid Flowによる決済指示フローの例 (1) • Slovak Banking API Standard – OB UKと同様、PISPは決済のID (orderId) をASPSPから取得後、それをRequest Objectに格納し、認可 リクエストを開始する 10 Source: Slovak Banking API Standard Version 1.1 http://w ww.sbaonline.sk/files/subory/projekty/sbas/sbas_ver1.1-final.pdf
  • 11. OIDC Hybrid Flowによる決済指示フローの例 (2) • ハンガリー MKB銀行 – Open Banking UKのSecurity Profileを活用 – OB UKと同様、PISPは決済の ID (openbanking_intent_id)を ASPSPから取得後、それを RequestObjectに格納し、認可 リクエストを開始する 11 Source: Account and Transaction API Specification https://portal.sandbox.mkb.hu/api-documentation/account-info
  • 12. Berlin Group “NextGenPSD2” • 認証・認可フローが大別して4種類ある – Redirect SCAApproach – OAuth2 SCAApproach – Decoupled SCAApproach – Embedded SCAApproach 12
  • 13. Berlin Group “NextGenPSD2” Redirect / OAuth2 SCA Approach • PSUをASPSPにリダイレ クトしてPSUの同意を確 認 • “OAuth2” はRedirectの 一種 – Authorization Server Metadataを用いてリダイ レクト先を動的に決定 13 Source: NextGenPSD2 XS2A Framew orkImplementation Guidelines Version 1.1 https://docs.wixstatic.com/ugd/c2914b_5351b289bf844c6881e46ee3561d95bb.pdf
  • 14. Berlin Group “NextGenPSD2” Decoupled SCA Approach • ASPSPがPISP/AISPと は別の経路を介して PSUの同意を確認 14 Source: NextGenPSD2 XS2A Framew orkImplementation Guidelines Version 1.1 https://docs.wixstatic.com/ugd/c2914b_5351b289bf844c6881e46ee3561d95bb.pdf
  • 15. Berlin Group “NextGenPSD2” Embedded SCA Approach • ASPSPがPISP/AISPを介して PSUの同意を確認 15 Source: NextGenPSD2 XS2A Framew orkImplementation Guidelines Version 1.1 https://docs.wixstatic.com/ugd/c2914b_5351b289bf844c6881e46ee3561d95bb.pdf
  • 16. Berlin Group “NextGenPSD2” OAuth 2.0との関係 • “Optional Usage” という位置付け • PISP/AISPは、“pre-step” の結果として、もしくはOAuth SCA Approachを実行した結果として、ASPSPからアクセス トークンを取得し、API (XS2A interface) を呼び出し 16
  • 17. 他のDecoupledな認証の例 • ポーランド “PolishAPI” • NextGenPSD2とは別の方 法による decoupled な認証 – OAuth 2.0の認可コードグラ ントを応用 – TPP (Third-Party Provider) がEAT (External Authorization Tool) の出力 値をASPSPに送信 17 Source: PolishAPI Verison 2.0 https://docs.polishapi.org/files/ver2.0/PolishAPI-spec-v2.0-EN.pdf
  • 18. 他のEmbeddedアプローチの例 • フランス “STET” • Resource Owner Password Grant – ASPSPがPSUを Strong Customer Authenticationによって 認証した結果を「パス ワード」として送信する 18 Source: PolishAPI Verison 2.0 https://www.stet.eu/assets/files/PSD2/1_3/API_DSP2_STET_V1_3.pdf
  • 19. まとめ • TPPからASPSPに “intent” をPOST → 取得した intent idを Request Objectに入れて認可リクエスト、というフローが Open Banking UKを中心に広まりつつある • TPPとASPSPとの間は原則的に相互TLS認証を行っている • “Embedded” vs “Decoupled” 19