LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@toyopilgrim(Chikashi Toyoshima)in合同会社Instiny

Authlete 3.0 で認可サーバーに複数のFAPIプロファイルを共存可能に

Last updated at Posted at 2025-01-16

Authlete 3.0 とは

2025年1月現在、現行で利用・稼働されているAuthleteはほとんどがAuthlete 2系かと思います。

Authlete 3.0 は 2024年11月に公式リリースされて間もないですが、弊社が開発支援している複数のAuthlete利用企業様でもAuthlete 3への移行プロジェクトを開始されています。

OID4VCI のサポートや管理画面機能の大幅強化などが特徴的なアップデートですが、v2時点から対応していたFAPI周りの機能についてもv3になってから興味深い機能強化があったので今回の記事ではAuthlete v3でのFAPI設定という観点で記事を書きます。

Authlete v2 での FAPI 設定

Scope Attributes

Authlete で FAPI を有効化する方法として Scope Attributes という機能があります。

任意のメタデータをスコープに割り当てることができるのですが、Authleteによって事前定義された Key-Valueペアがあります。事前定義は公式ドキュメントに記載されており以下表を転載します。

image.png

Service Owner Console の Token タブ -> Scope で設定できます。

image.png

例えばfapi:rw を該当のスコープに設定すると、accounts を指定した認可リクエスト、トークンリクエストは FAPI 1.0 Advanced のバリデーションが適用されます。

しかし、これはクライアント単位の設定値ではないため クライアントAは FAPI 1.0, クライアントBは FAPI 2.0 という構成を実現しようとする時は、Scope を分けるしか回避策がありませんでした。

Scope Attribute(Key:Value)
accounts fapi:rw
accounts2 fapi2:sp

これだと、クライアントに適用するProfileを条件定義して指定できるKeycloak の Client Policiesのような柔軟な機能に劣るなと正直感じていました。

Authlete v3 での FAPI 設定

Authlete v3 ではどうでしょう。前述の Scope Attributes の機能はv3でも残っています。実際に検証してみたところv2と同じ挙動のようです。

次は、Authlete 3.0 で新たに追加されたFAPI設定の機能を考察します。

Service Settings

まずは Service Settingsを眺めます。

image.png

Supported Service Profiles

FAPI をチェックしないと、後述のFAPI Modes は適用されないのでチェックします。公式にも言及があります。

[IMPORTANT] Supported additional features on top of the base OAuth 2.0 and OpenID Connect. Note that if these features are not enabled in your Authlete server environment, you can’t use them even if they are marked as enabled in the Console.

FAPI Modes

サービスレベルで FAPI Profile を指定できます。つまりこの設定を行うとサービスに属するすべてのクライアントに指定したProfileが適用されます。

また、FAPI 1.0 Advanced & FAPI 2.0 Security Profile などコンフリクトするような組み合わせは以下のエラーになって設定はできません。

{
    "resultCode": "A419301",
    "resultMessage": "[A419301] The specified combination of FAPI modes is invalid."
}

Client Settings

image.png

FAPI Modes

Service Settings であった FAPI Modes をクライアント単位でも設定できるので、v2で課題だったクライアントAは FAPI 1.0, クライアントBは FAPI 2.0 という構成が容易になりました。

クライアント単位の設定を効かすには以下の注意点があります。

  • Service Settings の Supported Service Profiles にて FAPIがチェックされていること
  • Service Settings側のFAPI Modes にチェックが入っていないこと。(Service側の設定が優先されるため。)

また、Scope Attributes よりもFAPI Modesで指定したプロファイルが優先されることが検証で判明しました。

FAPI Modes : FAPI 2.0 Security Profile

Scope Attributes : fapi:rw

という設定を行うとFAPI Modesで設定したFAPI 2.0 SP のバリデーションのみが発生しました。逆パターンも同じでした。

まとめ

今回の記事では Authlete 3.0 でリリースされた FAPI に関する新機能を紹介しました。従来よりもよりFAPI Profilesの柔軟な設定ができるようになりました。
「既に FAPI 1.0 を実装していて、シームレスにFAPI 2.0 に移行したい」、「あるクライアントはMessage Signingを要求し、あるクライアントは署名無しの Security Profileを適用したい」など様々なシーンで役に立つ機能だと思います。

InstinyはAuthlete活用に特化したIdPの開発及びコンサルティング支援を行っております。現在、Authlete導入を検討されていて、設計・開発を加速させたいとお考えのご企業様はお気軽にお問い合わせください。

また、認証認可に強いエンジニアを積極的に募集しております。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?