| Índice | ||||
|---|---|---|---|---|
|
...
deve suportar Request Objects JWE assinados e criptografados passados por valor ou deve exigir requisições do tipo "pushed authorization requests" PAR;
deve publicar metadados de descoberta (incluindo a do endpoint de autorização) por meio do documento de metadado especificado em OIDD e [RFC8414] (".well-known");
deve suportar os parâmetros
claimscomo definido no item 5.5 do OpenID Connect Core;deve suportar o atributo
claimpadrão oidc "cpf" conforme definido no item Clarificações sobre a "sub" Claim deste documento;deve suportar o atributo
claimpadrão oidc "cnpj" conforme definido no item Solicitando uma "claim" cpf deste documento, se a instituição for detentora de conta para pessoas jurídicas;deve suportar o atributo
acr"urn:brasil:openbanking:loa2" como definido no item Solicitando uma "claim" cnpj deste documento;deveria suportar o atributo
acr"urn:brasil:openbanking:loa3" como definido no item Solicitando uma "claim" cnpj deste documento;deve implementar o endpoint "userinfo" como definido no item 5.3 do OpenID Connect Core;
deve suportar o escopo parametrizável ("parameterized OAuth 2.0 resource scope") consent como definido no item 6.3.1 de OIDF FAPI WG Lodging Intent Pattern;
pode suportar Financial-grade API: Client Initiated Backchannel Authentication Profile;
(requisito temporariamente retirado);
deve suportar
refresh tokens;deve emitir
access tokenscom o tempo de expiração entre 300 (mínimo) e 900 (máximo) segundos;deve sempre incluir a claim
acrno id_token;deve suportar os valores
codeeid_tokenpara o atributoresponse_type;pode suportar o valor
codepara o atributoresponse_typeem conjunto com o valorjwtpara o atributoresponse_mode;não deve permitir o recurso de rotação de
refresh tokens;deve garantir que em caso de compartilhamento do Servidor de Autorização para outros serviços, além do Open Finance, não divulgue e/ou possibilite o uso de métodos não certificados no ambiente do Open Finance;
deve garantir que as configurações divulgadas aos demais participantes através do
OpenID Discovery(indicado pelo arquivo deWell-Knowncadastrado no Diretório) sejam restritos aos modos de operação aos quais a instituição se certificou;deve manter em suas configurações os métodos para os quais ainda hajam clientes ativos;
deve atualizar os cadastros que utilizem métodos não certificados, através de tratamento bilateral entre as instituições envolvidas;
Âncora token_id token_id
deve recusar requisições, para o ambiente do Open Finance, que estejam fora dos modos de operação ao qual a instituição certificou seu Servidor de Autorização;
deve recusar requisições de autenticação que incluam um id_token_hint, visto que o id_token em posse do requisitante pode conter Informação de Identificação Pessoal, que poderia ser enviada descriptografada pelo cliente público;
o tempo mínimo de expiração do
request_urideve ser de 60 segundos;deve recusar requisições que não apresentem o cabeçalho
x-fapi-interaction-idem endpoints FAPI;
...
O receptor deve validar a consistência da assinatura digital da mensagem JWS exclusivamente com base nas informações obtidas do diretório, ou seja, com base nas chaves publicadas no JWKS da instituição no diretório.
As assinaturas devem ser realizadas com uso do certificado digital de assinatura especificado no Padrão de Certificados Open Finance Brasil;
A claim iat deve ser numérica no formato Unix Time GMT+0 com tolerância de +/- 60 segundos;
A claim do jti deve ser única para um clientId dentro de um intervalo de tempo de 86.400 segundos (24h), não podendo ser reutilizada neste período. Em caso de reutilização, deverá ser retornado o código de erro HTTP 403. Demais casos seguir instrução da RFC 6749, item 5.2;
...