2.6. 商业级 API (FAPI)支持

为确保您的客户端兼容 FAPI，您可以在域中配置客户端策略，如 服务器管理指南 中所述，并将它们链接到 FAPI 支持的全局客户端配置文件，这些配置文件在每个域中自动可用。您可以根据您需要的客户端符合哪个 FAPI 配置集，使用 fapi-1-baseline 或 fapi-1-advanced 配置集。

如果要使用 Pushed Authorization Request (PAR)，建议您的客户端使用 fapi-1-baseline 配置文件和 fapi-1-advanced 用于 PAR 请求。具体来说，fapi-1-baseline 配置集包含 pkce-enforcer executor，这样可确保客户端使用带有安全 S256 算法的 PKCE。FAPI 高级客户端不需要此功能，除非它们使用了 PAR 请求。

如果要以 FAPI 兼容方式使用 CIBA，请确保您的客户端同时使用 fapi-1-advanced 和 fapi-ciba 客户端配置文件。需要使用 fapi-1-advanced 配置集，或者包含所请求 executors 的其他客户端配置文件，因为 fapi-ciba 配置集仅包含 CIBA 特定的 executor。当强制实施 FAPI CIBA 规范的要求时，需要更多要求，如强制机密客户端或证书边界访问令牌。

红帽构建的 Keycloak 与 Open Finance Brasil financial-grade API Security Profile 1.0 实施器 Draft 3 兼容。与 FAPI 1 高级 规格相比，这个要求严格严格，因此可能需要以更严格的方式配置客户端 策略 来强制实施某些要求。特别是：

由于机密信息正在交换，所有交互都应与 TLS (HTTPS)加密。此外，FAPI 规范中所使用的密码套件和 TLS 协议版本有一些要求。要满足这些要求，您可以考虑配置允许的密码。此配置可通过设置 https-protocols 和 https-cipher-suites 选项来实现。红帽构建的 Keycloak 默认使用 TLSv1.3，因此可能不需要更改默认设置。但是，出于某种原因，可能需要调整密码（如果需要回退到较低的 TLS 版本）。如需了解更多详细信息，请参阅配置 TLS 章节。