Вопрос:
Необходима динамическая регистрация - есть ли описание полное - как она должна проходитьсхема: 4.1 Обобщенная диаграмма взаимодействия участников информационного обмена (https://wiki.openbankingrussia.ru/security/technical-requirements-for-implementing-security-profiles-fapi)
Вопрос: 1. Динамическая регистрация клиента (https://wiki.openbankingrussia.ru/guides/oidc-dynamic-client-registration)
-- где, в какой момент должен быть выдан Software Statement (подписанный или MACed JSON Web Token (JWT), [RFC 7519], содержащий значения метаданных о
Client Software виде пакета заявленных значений.)?сейчас написано:
"Сервер авторизации (или в более широком смысле - OpenID Provider) может потребовать использования начального токена доступа (Initial access token),
процедура генерации и доставки которого выходит за пределы данной спецификации.Для того, чтобы поддержать протокол Dynamic Client регистрации конечная точка регистрации Клиента должна поддерживать запросы на регистрацию,
не требующие включения стандартных токенов доступа в том значении, в котором они определены в протоколе OAuth2.0."-- где и когда он должен передаваться (Диаграмма последовательности процесс Динамической регистрации клиента. - там указано "среда openAPI" - что, в нашем случае, будет являться средой OpenAPI?
Ответ:
Касательно среды:
-- Описанный процесс динамической регистрации клиента применяется только для участников, которые объедены в общую среду взаимодействия (здесь Среда Открытых API). В настоящей момент под Средой Открытых API могут подразумеваться следущие сущности:
- Пилотная Среда ОБИ (Присоединение к Среде Открытых банковских интерфейсов) реализованная на площадке АФТ с помощью Сертификационного стенда (Сертификационный стенд среды Открытых API. Руководство пользователя Личного кабинета ).
- Целевая Среда, которая будет реализована в рамках инициативы ЦБ РФ по Открытым API Нормативное понятие Среда ОБИ определена в СТО БР ОТКРЫТЫЕ БАНКОВСКИЕ ИНТЕРФЕЙСЫ. Общие положения
В обоих случаях, для попадания в Среду, участникам взаимодействия требуется призвести процедуры вхождения в Среду (акредитацию, подписания Соглашения о присоединенении), провести технологические проверки и опубликовать свои методанные в реестре Среды (для Пилотной среды описание здесь Сертификационный стенд среды Открытых API. Руководство пользователя Личного кабинета pdf). В пилотной среде процесс упрощен и используется выгрузка SSA без взаимодействия по API), на основании чего формируется список доверенных участников.
-- Будут ли входить участники в Пилотную Среду должно быть определено в процессе определения области пилотирования на основании их намерений протестировать процесс динамической регистрации клиента и дать рекомендации для Целевой Среды то они могут его включать в пилот.
Касательно Initial access token:
-- На данный момент процесс получения Initial access token не регулируется стандартами, участники могут ее определять самостоятельно. Подразумевается, что это однаразовый токен доступавыданный для единойОн должен передаваться в виде SSA (jwt)?
-- Нет требования использования Initial access token в виде JWTКакие мета-данные должны быть переданы при регистрации (минимум от базовых)?
-- Требования в настоящий момент не определеныКакие мета-данные будут использоваться (должны передаваться) в нашем пилоте (дополнительные - указанные в ссылке)?
-- Требования могут определены, если участники предполагают использовать динамическую регистрацию