CIBA spec client requests acr

OpenBanking-Brasil / specs-seguranca

Documentação das especificações do GT de Segurança do Open Banking Brasil. As especificações ainda estão em versão draft e não devem ser utilizadas para implementação.

66 stars 46 forks source link

CIBA spec client requests acr #285

Closed jogu closed 2 years ago

jogu commented 2 years ago

The confidential client part of the CIBA spec says:

3. shall not populate the `acr` claim with required values
4. shall require the `acr` claim as an essential claim

https://openid.net/specs/openid-client-initiated-backchannel-authentication-core-1_0.html#rfc.section.7.1 does not define a way to request the acr claim (other than acr_values).

I suggest these two clauses are removed, as there's no way for the client to specify this.

pedro-octavio-andrade commented 2 years ago

https://github.com/OpenBanking-Brasil/specs-seguranca/blob/ciba-first-draft/open-banking-brasil-financial-api-1_ID3-ptbr.md Em observância à regulação em vigor, sugere-se que: Para a autenticação do usuário em autorizações de acessos às APIs de compartilhamento de dados (Fase 2), os Authorization Servers deveriam adotar, no mínimo, método compatível com LoA2; e Para a autenticação do usuário em autorizações de acessos às API´s das fases subsequentes, os Authorization Servers deveriam adotar método de autenticação compatível com LoA3 ou superior.

Em reunião (27/09/2022) Squad ciba sugeriu manter apenas a cláusula 4

pedro-octavio-andrade commented 2 years ago

Vamos manter a recomendação da espec. CIBA core da OIDF de considerar acr_values como opcional. As duas cláusulas serão removidas.