<div dir="ltr">In our attempt to use FAPI to implement the NextGenPSD2 oAuth approach, we are facing the following problem.<div><br></div><div>The PSD2 trust framework assumes each ASPSP maintains the list of legitimated certification authorities (rootCAs). This is, regulators expect ASPSP to accept requests from any licensed TPP that present a valid QWAC/QSealC certificate.</div><div><br></div><div>We have been looking for a way to use dynamic client registration to allow the TPP to register with ASPSP's OP/AS prior to sending their first requests.</div><div><br></div><div>OP can get access to TPP's authenticated information:</div><div>- If TPP uses mTLS (QWAC) at the OP interface.</div><div>- If TPP uses QSealC to sign the client registration request, seems to be the best approach, as it also provides non repudiation.</div><div><div><br></div><div>Request Signature:</div><div>Alt-1: I prefer signing the whole http request (see <a href="https://datatracker.ietf.org/doc/draft-ietf-httpbis-message-signatures/" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-httpbis-message-signatures/</a>). Not sure if this is covered by FAPI.</div><div>Alt-2: QSealC could be used to produce a private_key_jwt that will be included to the registration request. QSealC can be added to the token, to avoid pre-registration. Digest of the request body could be added to the private_key_jwt to provide for non repudiation.</div><div><br></div><div>What am I missing? Are we still in the scope of OIDC/FAPI or getting out of bound?</div><div><br></div><div>Thanks in advance for feedback.</div>-- <br><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div>Francis Pouatcha</div><div>Co-Founder and Technical Lead</div><div>adorsys GmbH & Co. KG</div><div><a href="https://adorsys-platform.de/solutions/" target="_blank">https://adorsys-platform.de/solutions/</a></div></div></div></div></div></div></div></div></div></div></div></div>