Вопрос:
по cnf": {"x5t#S256"} который кладется в client_assertion:
-- Правильно ли мы понимаем что Поставщик данных предоставляет Cтороннему потребителю clientId и сертификат с привязкой к clientId, c которым СП обращается к ПД.-- И СП кладет hash256 CN в client_assertion в cnf": {"x5t#S256"}?
Ответ:
Связь токена доступа с клиентским ТЛС сертификатом является одним из требований ФАПИ.СЕК (5.8.4 Токен доступа, связанный с MTLS сертификатом клиента) и основана на RFC 8705 (OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens).
Здесь проверяется, что при установке MTLS соединения для доступа к ресурсам с токеном доступа предъявлен тот же сертификат клиента, что и был использован при получении данного токена доступа.