2.6. 金融级 API (FAPI)支持

为确保您的客户端兼容 FAPI，您可以在您的域中配置客户端策略，如服务器管理 指南中所述，并将它们链接到 FAPI 支持的全局客户端配置集，这些配置文件可在每个域中自动可用。您可以根据需要客户端符合 FAPI 配置集，使用 fapi-1-baseline 或 fapi-1-advanced 配置集。您还可以使用配置文件 fapi-2-security-profile 或 fapi-2-message-signing 来遵守 FAPI 2 Draft 规范。

如果要使用 Pushed Authorization Request (PAR)，建议您客户端同时使用 fapi-1-baseline 配置集和 fapi-1-advanced 用于 PAR 请求。具体来说，fapi-1-baseline 配置集包含 pkce-enforcer executor，这样可确保客户端使用带有安全 S256 算法的 PKCE。FAPI 高级客户端不需要此功能，除非它们使用 PAR 请求。

如果要以 FAPI 兼容方式使用 CIBA，请确保您的客户端同时使用 fapi-1-advanced 和 fapi-ciba 客户端配置集。需要使用 fapi-1-advanced 配置集，或其他包含请求的 executors 的客户端配置文件，因为 fapi-ciba 配置集仅包含 CIBA 特定的 executors。当强制实施 FAPI CIBA 规范的要求时，需要更多要求，如强制机密客户端或证书绑定访问令牌。

红帽构建的 Keycloak 与 Open Finance Brasil financial-grade API Security Profile 1.0 实施器 Draft 3 兼容。这比 FAPI 1 高级 规格的一些要求更严格，因此可能需要更严格地配置客户端 策略 来强制实施某些要求。特别是：

红帽构建的 Keycloak 与 Australia Consumer Data Right Security Profile 兼容。

如果要应用 Australia CDR 安全配置集，您需要使用 fapi-1-advanced 配置集，因为 Australia CDR 安全配置集基于 FAPI 1.0 高级安全配置文件。如果您的客户端也适用 PAR，请确保客户端应用适用于代码交换的 RFC 7637 概念验证(PKCE)，因为 Australia CDR 安全配置集要求您在应用 PAR 时应用 PKCE。这可以通过使用带有 pkce-enforcer executor 的客户端配置集来实现。

由于机密信息正在交换，所有交互都应与 TLS (HTTPS)加密。此外，FAPI 规格和使用的 TLS 协议版本有一些要求。要匹配这些要求，您可以考虑配置允许的密码。可以通过设置 https-protocols 和 https-cipher-suites 选项来完成此配置。红帽构建的 Keycloak 默认使用 TLSv1.3，因此可能不需要更改默认设置。但是，如果您需要因为某种原因回退到较低 TLS 版本，可能需要调整密码。如需了解更多详细信息，请参阅配置 TLS 章节。