CIBA : Client Initiated Backchannel Authentication Authlete, Inc. Co-founder, Representative Director Takahiko Kawasaki freee Open Guild #07 on December 18, 2019 

2 2018 10 FAPI 実装者向けドラフト第⼆版承認 FAPI (Financial-grade API) と CIBA (Client Initiated Backchannel Authentication) の歩み 2019 2 CIBA Core 1.0 実装者向けドラフト第⼀版承認 2019 4 FAPI 公式認定プログラム開始 2019 8 FAPI-CIBA Profile 実装者向けドラフト第⼀版承認 2019 9 FAPI-CIBA Profile 公式認定プログラム開始 ※ 本⽇時点で FAPI-CIBA Profile 公式認定を取得しているのは世界で Authlete 社のみ 

3 スマートスピーカー 商品を購⼊！ バックエンドシステム CIBA をサポート する認可サーバー 権限を要求する 認証 デバイス Consumption Device API を提供する リソースサーバー 権限を与える システムが権限を 要求しています。 承認しますか？ API コール 4 1 2 3 5 6 7 CIBA により、API を使⽤するクライアントアプリケーションを搭載するデバイス （Consumption Device）と、ユーザー認証と同意取得処理をおこなうデバイス （認証デバイス; Authentication Device) を別々にすることができる。 バックチャネル認証リクエスト 

4 全ての CIBA フローはバックチャネル認証 リクエストから始まる。 クライアントは認可サーバーのバック チャネル認証エンドポイントにバック チャネル認証リクエストを送る。 バックチャネル 認証エンドポイント クライアント アプリ 認可サーバー NEW CIBA で定義される 新しいエンドポイント バックチャネル 認証リクエスト 

5 バックチャネル認証 エンドポイント クライアント アプリ 認可サーバー 認証 デバイス バックチャネル認証 エンドポイントは、 すぐに応答を返す。 認可サーバーはユーザー認証と 同意取得処理を認証デバイスに 委譲する。 認証デバイスは結果を認可 サーバーに伝える。 1 2 3 

6 認可サーバー クライアント バックチャネル 認証エンド ポイント 認証 デバイス 通信 ユーザー バックチャネル 認証リクエスト バックチャネル 認証レスポンス CIBA POLL モード 1 2 3 トークン エンドポイント トークンレスポンス 5 トークンリクエスト 4 ③ が終わるまで ④ 〜 ⑤ が繰り 返される。 

7 認可サーバー クライアント 通知 バックチャネル 認証エンド ポイント クライアント 通知エンド ポイント 認証 デバイス 通信 ユーザー バックチャネル 認証リクエスト バックチャネル 認証レスポンス CIBA PING モード 1 2 3 4 トークン エンドポイント トークンレスポンス 6 トークンリクエスト 5 

8 認可サーバー クライアント 通知 バックチャネル 認証エンド ポイント クライアント 通知エンド ポイント 認証 デバイス 通信 ユーザー バックチャネル 認証リクエスト バックチャネル 認証レスポンス CIBA PUSH モード 1 2 3 4 この通知には ID トークンとアクセス トークンが含まれる。 トークン エンドポイント 

9 Thank You ⼀般 [email protected] 営業 [email protected] 広報 [email protected] 技術 [email protected] お問い合わせ https://www.authlete.com/contact/ @authlete_jp