重要：サービス一時停止 および Authlete 2.1 提供の開始

2016 年より継続してサービスを提供しております Authlete API (https://api.authlete.com) ですが、インフラ老朽化に伴い、大規模なインフラ更新作業を実施いたします。

つきましては、日本標準時間 2020 年 2 月 2 日（日曜日） 23:00 - 24:00 (UTC 14:00 - 15:00) の期間、ビジネスプラン契約者様向けのサービスを一時的に中断させていただきます（エンタープライズプランご契約者様には影響ございません）。

また、上記インフラ更新に伴い、Authlete API のバージョンを 1.1 から 2.1 に更新いたします。既存 API の廃止はございませんが、一部 API は仕様が変更されます。詳細は、下記『既存API の仕様変更』をご参照ください。

既存 API の仕様変更（重要）

1. クライアント認証における制約の厳密化

• 従来の Authlete API では、クライアントタイプ・クライアント認証方式の設定値に係わらず、トークンリクエスト時にクライアントシークレットが含まれている場合、その値の検証を行っていました。次期バージョンよりクライアント認証方式の設定に従います。
• 詳細につきましては、こちらを参照の上、サービス・クライアントの設定をご確認ください。

2. PKCE 利用時の code_verifier チェック項目の追加

• 仕様に準拠する形で、次期バージョンより、code_verifier が「A-Za-z0-9._~-」のみで構成され、「長さが43～128文字」であるかどうかの確認が追加されます。
• PKCE をお使いのお客様は、クライアントからのリクエストに含まれる内容をあらかじめご確認いただきますようよろしくお願いいたします。

検証環境の提供

• 検証環境を提供いたします。各アドレスは下記のとおりです。
  • Authlete API サーバー： https://stg-api.authlete.com
  • サービス管理者コンソール：　https://stg-so.authlete.com
  • クライアント開発者コンソール： https://stg-cd.authlete.com
• 2019 年 12 月 20 日時点での https://api.authlete.com におけるサービスおよびクライアントの設定をコピーしてあります。現在お使いの ID/PW をご利用してログインください。
• 本環境は、2020 年 2 月 2 日 23:00 ごろまでお使いいただけます。

新規機能

今回の更新により、サーバーの応答時間等が改善するとともに、下記の機能が新たに追加されます。

1. アクセストークンの一括取得 & 削除

• 発行済みのアクセストークンの情報一覧を取得するAPI（ /auth/token/get/list API、詳細はこちら）が追加されます。
• また、上記 API と /auth/token/delete API を組み合わせることで、アクセス＆リフレッシュトークンを一括削除することができます。

2. スコープ単位でのアクセストークン・リフレッシュトークン有効期限の制御

• スコープの属性（scope attribute）機能 を活用し、特定のスコープを持つアクセストークンおよびリフレッシュトークンにおいて、その有効期限を**「短く」**することができます。
• 対象とするスコープの属性に、key に access_token.duration または refresh_token.duration、value に有効期限（秒）を設定いただくことで、サービスで設定されている有効期限より短くすることができます。
• 詳細につきましては、こちらをご参照ください。

3. クライアント単位でのアクセストークン・リフレッシュトークン有効期限の制御

• クライアント単位で、アクセストークンおよびリフレッシュトークンの有効期限を、サービスで設定されている値より**「短く」**することができます。
• 開発者コンソールに管理者権限でログイン（サービスの API キーとシークレットを使ってログイン）していただき、クライアントの設定画面の『拡張』タブより設定できます。

4. code_challenge_method=S256 の要求

• OAuth 2.0 Security Best Current Practice に基づき、認可サーバーは、PKCE を利用するリクエストに対して code_challenge_method=S256 を要求することができるようになります。
• サービス管理者コンソールの「認可」タブより設定いただくことでご利用いただけます。

5. 新しいクライアント認証方式のサポート

• RFC7523 および MTLS に基づき、新たに client_secret_jwt、private_key_jwt、tls_client_auth、self_signed_tls_client_auth の 4 つのクライアント認証方式がサーポートされます。
• 各クライアント認証方式の詳細につきましては下記ドキュメントをご参照ください。
  • OAuth 2.0 クライアント認証（概要説明）
  • client_secret_jwt によるクライアント認証
  • private_key_jwt によるクライアント認証
  • tls_client_auth によるクライアント認証

6. JWT 形式のアクセストークンのサポート

• JWT 形式のアクセストークンの発行を新たにサポートします。
• コンソールより設定いただくことでご利用可能となります。詳細はこちらをご参照ください。

7. JARM のサポート

• Financial-grade API: JWT SEcured AUthorization Response Mode for OAuth 2.0 (JARM) にて定義されている、JWT Secured Authorization Response (JARM) Mode をサポートいたします。
• 認可サーバーが上記機能をサポートした場合、クライアントは認可レスポンスの形式を JWT 形式に指定することが可能となります。この機能により、署名・暗号化・送信者の認証・可読者の制限をし、リプレイアタック、情報漏洩等のセキュリティ対策につながります。詳細は、こちらをご参照ください。
• 上記仕様に基づき、response_mode のパラメーターとして、query.jwt、fragment.jwt、form_post.jwt、jwt の 4 つを新たにサポートいたします。

8. Dynamic Client Registration のサポート

• RFC7591 および RFC7592 に準拠したクライアントおよびメタ情報の登録・更新 API（/api/client/registration）を提供いたします。
• Authlete 社としては、既存のクライアント管理 API（ /api/client/*）のご利用をお勧めいたします。仕様に準拠した API の開発が必要な場合のみ、当該 API のご利用をご検討ください。

9. Device Flow のサポート

• RFC8628 にて定義されている Device Flow をサポートいたします。
• この機能を利用することで、クライアントは、スマートTVやメディアコンソール、プリンターなどの入力手段が不十分であったり、適切なブラウザを内蔵しないデバイスを用いたエンドユーザーの認証が可能となります。

10. CIBA Flow のサポート

• OpenID Connect Client Initiated Backchannel Authentication Flow - Core 1.0 にて定義されている CIBA フローをサポートいたします。
• この機能を利用することで、認証する端末と、認可フローを開始する端末を分けることが可能となります。
• 詳細はこちらをご参照ください。

11. Financial-grade API のサポート

• Financial-grade API および FAPI-CIBA をサポートいたします。商用でのご利用に関しては、有償オプションとなります。
• 詳細はこちらをご参照ください。

参考文献

• ナレッジベース
• API ドキュメント
• 仕様書
• API チュートリアル

お問合せ先

お問合せ 又は 営業担当者 までお願いいたします。