Ping obtient la Certification FAPI 2.0

J’ai été ravi d’apprendre par l’un de nos collaborateurs de Ping que nous avions obtenu la certification FAPI 2.0 et que nous étions l’une des premières entreprises à l’obtenir. 

Cela fait longtemps que je m’intéresse aux standards d’identité, depuis l’époque où l’interopérabilité SAML était testée, puis OAuth puis OpenID Connect et maintenant FAPI. Il est excellent de constater que les standards ouverts continuent de se développer et de prospérer.

Pour ceux qui ne le connaissent pas encore, FAPI est un ensemble de spécifications développées par OpenID Foundation et qui visent à définir un cadre sécurisé et standardisé pour mettre en œuvre des API. OpenID Foundation est une organisation sans but non lucratif dédiée aux standards ouverts qui vise à aider les individus à faire valoir leur identité là où ils le souhaitent et dont la mission est de guider la communauté internationale vers la création de standards d’identité sécurisés, interopérables et respectueux de la vie privée. 

L’une des forces de l’OIDF est de créer des protocoles d’identité qui servent des milliards de consommateurs sur des millions d’applications. Bien que chaque protocole soit unique, ils partagent tous le même objectif : permettre le partage sécurisé d’attributs et de ressources d’identité de façon standardisée et interopérable.

FAPI 1.0 a réellement eu du succès dès sa création. Il a fourni un cadre interopérable bien spécifié pour protéger les API utilisées pour transmettre et recevoir des informations financières sensibles. 

Une analyse formelle de la sécurité et une suite de certification en libre-service ont renforcé son attraction. Après une adoption initiale dans le cadre de l’initiative open banking au Royaume-Uni il est aujourd’hui adopté par les banques au Royaume-Uni, en Australie, en Nouvelle-Zélande, au Brésil, aux États-Unis, en Arabie Saoudite et d’autres pays encore. Et sa diffusion a continué. De plus en plus d’industries ont adopté le cadre FAPI pour les mêmes avantages en termes de sécurité et d’interopérabilité qui avaient conduit à son adoption dans le secteur des services financiers.

Nous avons maintenant une nouvelle évolution : FAPI 2.0. FAPI 2.0 s’appuie sur FAPI 1.0 tout en le simplifiant, en fournissant des cas d’usage existants et de nouveaux très importants. La portée de FAPI 2.0 est plus large que celle de FAPI 1.0. Il vise l’interopérabilité entre le client le serveur d’autorisation, ainsi que des mécanismes de sécurité interopérables pour l’interface entre le client et le serveur de ressource.

S’ajoutant à une interopérabilité renforcée, ce protocole est aussi plus facile à mettre en œuvre tout en conservant un niveau de sécurité comparable, puisqu’il repose sur OAuth et d’autres spécifications qui y sont liées plutôt que sur OpenID Connect. La plupart des options présentes dans FAPI 1.0 ont aussi été supprimées.

FAPI 2.0 introduit également l’authentification des clients, le chiffrement obligatoire et une gestion avancée des jetons. En ce qui concerne l’identité, il se concentre sur une authentification forte de l’utilisateur et la gestion du consentement, pour s’assurer que seules les entités autorisées puissent accéder aux informations sensibles.

Le profil FAPI 2.0 que Ping a validé en premier est le profil FAPI 2.0 ConnectID australien. ConnectID est une infrastructure de gestion des identités nationale ouverte et reposant sur des standards. Elle rassemble un large éventail de fournisseurs de solutions d’identité pour permettre aux consommateurs de vérifier qui ils sont en utilisant des organisations auxquelles ils font déjà confiance.. 

En Australie, ConnectID a adopté FAPI 2.0 pour son écosystème et financé le développement d’une suite de tests de conformité FAPI 2.0, comme annoncé l’année dernière.

Ping travaille avec plusieurs banques australiennes importantes pour faciliter leurs capacité d’IdP au sein de l’écosystème ConnectID. De plus, la bonne nouvelle pour les consommateurs est le fait qu’ils pourront bientôt vérifier leur identité en utilisant les organisations auxquelles ils font déjà confiance sans que leurs données personnelles ne soient stockées par ConnectID, qui partagera uniquement les données personnelles pour lesquelles les consommateurs ont donné leur consentement.

Chez Ping, nous sommes très fiers d’être conformes aux certifications FAPI 2.0 actuelles et je suis ravi que nous ouvrions la voie pour rester à la pointe de cet important progrès.