Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Comentário: Revertida da versão 26

...

  1. deve realizar a autenticação do cliente utilizando private_key_jwt;

  2. deve exigir requisições do tipo "pushed authorization requests" PAR;

  3. deve publicar metadados de descoberta (incluindo a do endpoint de autorização) por meio do documento de metadado especificado em OIDD e [RFC8414] (".well-known");

  4. deve suportar os parâmetros claims como definido no item 5.5 do OpenID Connect Core;

  5. deve suportar o atributo acr "urn:brasil:openbanking:loa2" como definido no item 5.2.2.3;

  6. deveria suportar o atributo acr "urn:brasil:openbanking:loa3" como definido no item 5.2.2.3;

  7. deve implementar o endpoint "userinfo" como definido no item 5.3 do OpenID Connect Core;

  8. deve suportar o escopo parametrizável ("parameterized OAuth 2.0 resource scope") consent como definido no item 6.3.1 de OIDF FAPI WG Lodging Intent Pattern;

  9. pode suportar Financial-grade API: Client Initiated Backchannel Authentication Profile;

  10. (requisito temporariamente retirado);

  11. deve suportar refresh tokens;

  12. deve emitir access tokens com o tempo de expiração entre 300 (mínimo) e 900 (máximo) segundos;

  13. deve sempre incluir a claim acr no id_token;

  14. deve suportar os valores code e id_token para o atributo response_type;

  15. não deve permitir o recurso de rotação de refresh tokens;

  16. deve garantir que em caso de compartilhamento do Servidor de Autorização para outros serviços, além do Open Finance, não divulgue e/ou possibilite o uso de métodos não certificados no ambiente do Open Finance;

  17. deve garantir que as configurações divulgadas aos demais participantes através do OpenID Discovery (indicado pelo arquivo de Well-Known cadastrado no Diretório) sejam restritos aos modos de operação aos quais a instituição se certificou;

    1. deve manter em suas configurações os métodos para os quais ainda haja clientes ativos;

    2. deve atualizar os cadastros que utilizem métodos não certificados, através de tratamento bilateral entre as instituições envolvidas;

  18. deve recusar requisições, para o ambiente do Open Finance, que estejam fora dos modos de operação ao qual a instituição certificou seu Servidor de Autorização;

  19. o tempo mínimo de expiração do request_uri deve ser de 60 segundos;

  20. deve recusar requisições que não apresentem o cabeçalho x-fapi-interaction-id em endpoints FAPI;

  21. deve exigir a utilização de Proof Key for Code Exchange (PKCE);

  22. deve exigir a utilização do subject_type “public”;

  23. deve exigir a utilização do response_mode “fragment”;

  24. deve emitir refresh_tokens exclusivamente do tipo opaco e sem prazo de validade associado;

5.2.2.1. Token de ID como assinatura separada

...