<div dir="ltr"><div>Hi Natalie,</div><div><br></div><div>I believe you may be talking about about 5.2.2 - 14</div><div><br></div><div></div><div>   shall authenticate the confidential client using one of the following methods (this overrides <a href="https://openid.net/specs/openid-financial-api-part-1-1_0.html" rel="nofollow" target="_blank">FAPI Security Profile 1.0 - Part 1: Baseline</a> clause 5.2.2-4):<ol><li><code>tls_client_auth</code> or <code>self_signed_tls_client_auth</code> as specified in section 2 of <a href="https://tools.ietf.org/html/rfc8705" rel="nofollow" target="_blank">MTLS</a>, <b>OR</b></li><li><code>private_key_jwt</code> as specified in section 9 of <a href="http://openid.net/specs/openid-connect-core-1_0.html" rel="nofollow" target="_blank">OIDC</a>;</li></ol><div><br></div><div>So it's an OR situation, you don't need to support both for client authentication. But Part 2 does require MTLS for sender constrained access tokens in 5.2.2 - 6</div><div><br></div><div>      shall support <a href="https://tools.ietf.org/html/rfc8705" rel="nofollow" target="_blank">MTLS</a> as mechanism for constraining the legitimate senders of access tokens; <br></div><div><br></div><div><br></div><div>Per RFC8705:<br><pre>Mutual-TLS certificate-bound access tokens and mutual-TLS client
   authentication are distinct mechanisms that are complementary but
   don't necessarily need to be deployed or used together</pre></div><div><br></div><div>-- Edmund<br></div>

</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 27, 2021 at 8:07 AM Natalie Cuthbert <natalie@stitch.money> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div>Hi Edmund, <br></div><div><br></div>Haven't been following a huge amount of the preceding discussions, so forgive me if this is a question asked out of ignorance, but what is the motivation behind requiring both private_key_jwt  AND mTLS in the advanced profile? <br></div><div><br></div><div>
<div>The latter in particular would be particularly hard to implement  for us due to our reliance on Cloudflare proxy for some of our security needs. Other companies that rely on middleware for additional security would probably face similar challenges. <br></div><div><br></div>

</div><br><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><br><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 27, 2021 at 1:52 AM Edmund Jay via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Dear WG members,</div><div><br></div><div>Attached  are the Final preview #4 version of the rendered HTML of the FAPI<br>Security Profile 1.0 Parts 1 and 2 with all issues resolved. <br></div><div></div><div><br></div><div>Your comments and feedback are much appreciated.</div><div><br></div><div>Thank you.<br></div><div><br></div><div>-- Edmund<br></div><br></div>
_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote></div>
</blockquote></div>