# デジタル認証アプリ 署名API

<br>

## **概要**
    
デジタル認証アプリ署名APIは、インターネット等で利用者が作成・送信した電子文書が「利用者が作成した真正なものであり、利用者が送信したものであること」を確かめるためのAPIです。
マイナンバーカードのICチップから署名用電子証明書を読み取り、利用者によって作成された電子文書を秘密鍵を使用して暗号化することで電子署名を生成します。
これにより、受領した電子文書の利用者の実在性、氏名・住所等を正確・確実に把握し、かつ、改ざんや送信否認のおそれがないものとして申請書等を安心して受け取ることができます。券面事項入力補助APを用いた基本4情報連携機能も利用可能です。

## **処理の流れ**

<Steps>
    <Step title="署名の要求（サービスプロバイダ事業者）">
        契約書や申し込み情報など、署名対象となる電子文書からハッシュ値を生成し、Base64形式にエンコードします。生成した署名対象データ、リダイレクト先URL、券面事項入力補助APより取得する基本4情報の項目をAPIに送信します。
    </Step>
    <Step title="署名トランザクションの開始（プラットフォーム事業者）">
        受信した署名対象データをもとに署名トランザクションを開始します。正常に開始された場合、サービスプロバイダ事業者にデジタル認証アプリ用の署名用URLを返却します。
    </Step>
    <Step title="デジタル認証アプリの起動（サービスプロバイダ事業者）">
        受信した署名用URLにアクセスすることで、利用者のスマートフォンでデジタル認証アプリが起動します。PCまたはタブレットの場合は、認証用のQRコードがブラウザやアプリ画面に表示されます。利用者はスマートフォンでQRコードを読み取り、表示された6桁のパスコードを入力することでデジタル認証アプリを認証・起動します。
    </Step>
    <Step title="署名値の生成（サービスプロバイダ事業者）">
        デジタル認証アプリ起動後、利用者は画面の案内に従って操作を行い、署名対象データをもとに署名値を生成します。署名完了後、リダイレクトにより署名結果パラメータをAPIへ送信します。
    </Step>
    <Step title="CSRF対策検証（プラットフォーム事業者）">
        リダイレクトで受信したデータをもとに、CSRF攻撃の有無を検証します。攻撃が検知された場合は、認証処理を中断しエラーを返却します。
    </Step>
    <Step title="署名トランザクション結果の取得（プラットフォーム事業者）">
        検証が正常に完了した場合、デジタル認証アプリで生成された署名結果を取得します。取得した内容に異常がある場合は、エラーを返却し処理を中断します。
    </Step>
    <Step title="署名検証・有効性確認（プラットフォーム事業者）">
        取得した署名結果を使用して、署名検証および署名用電子証明書の有効性確認を行います。これらの結果は証跡としてプラットフォーム事業者のデータベースに保存・管理されます。なお、有効性確認はCRLを利用して行います。
    </Step>
    <Step title="署名トランザクションIDの返却（プラットフォーム事業者）">
        署名検証および有効性確認が正常に完了した場合、署名トランザクションIDをリダイレクトで返却し、署名完了画面へ遷移します。
    </Step>
    <Step title="署名検証結果の取得（サービスプロバイダ事業者）">
        取得した署名トランザクションIDをAPIに送信することで、利用者識別ID、基本4情報、署名検証結果が返却されます。
    </Step>
</Steps>

## **シーケンス図**
    
```mermaid
    %%{init:{'theme':'natural'}}%%
    sequenceDiagram
    participant 利用者
    participant デジタル認証アプリ
    participant サービスプロバイダ事業者
    participant プラットフォーム事業者
    participant デジタル庁サーバ
    participant J-LIS

    利用者->>サービスプロバイダ事業者: [01] 「はじめる」押下
    サービスプロバイダ事業者->>プラットフォーム事業者: [02] 署名の要求
    プラットフォーム事業者->>プラットフォーム事業者: [03] 署名対象ハッシュ値生成
    プラットフォーム事業者->>デジタル庁サーバ: [04] トークンリクエスト（client_credentials）
    デジタル庁サーバ-->>プラットフォーム事業者: [05] トークンレスポンス（client_credentials）
    プラットフォーム事業者->>デジタル庁サーバ: [06] 署名トランザクション開始リクエスト
    デジタル庁サーバ-->>プラットフォーム事業者: [07] 署名トランザクション開始レスポンス
    プラットフォーム事業者-->>サービスプロバイダ事業者: 署名用URLの返却

    alt スマートフォン（同一端末）
        サービスプロバイダ事業者->>デジタル認証アプリ: [08] 認可リクエスト [09] リダイレクト
        デジタル認証アプリ->>利用者: デジタル認証アプリ起動
    else PC・タブレット（別端末）
        サービスプロバイダ事業者->>デジタル認証アプリ: [08] 認可リクエスト [09] リダイレクト（QRコード表示）
        デジタル認証アプリ->>利用者: デジタル認証アプリ起動<br>QRコードの読み取り・パスコード認証
    end
    利用者->>利用者: デジタル認証アプリの操作
    利用者->>デジタル認証アプリ: 署名用電子証明書の読み取り<br>暗証番号の入力

    デジタル認証アプリ->>デジタル認証アプリ: [10] 利用者が署名対象ハッシュ値に署名
    デジタル認証アプリ->>デジタル庁サーバ: 署名完了
    デジタル庁サーバ->>プラットフォーム事業者: [11] 認可レスポンス [12] リダイレクト
    プラットフォーム事業者->>デジタル庁サーバ: [13] トークンリクエスト
    デジタル庁サーバ-->>プラットフォーム事業者: [14] トークンレスポンス
    プラットフォーム事業者->>デジタル庁サーバ: [16] 署名トランザクション結果取得リクエスト
    デジタル庁サーバ-->>プラットフォーム事業者: [17] 署名トランザクション結果取得レスポンス
    プラットフォーム事業者->>デジタル庁サーバ: [18] UserInfoリクエスト
    デジタル庁サーバ-->>プラットフォーム事業者: [19] UserInfoレスポンス
    プラットフォーム事業者->>プラットフォーム事業者: 署名検証
    プラットフォーム事業者->>プラットフォーム事業者: CRLによる有効性確認
    プラットフォーム事業者->プラットフォーム事業者: 証跡の保存

    プラットフォーム事業者->>サービスプロバイダ事業者: [20] レスポンス<br>（リダイレクトで署名トランザクションIDを返却）
    サービスプロバイダ事業者->>プラットフォーム事業者: 署名トランザクションIDを送信
    プラットフォーム事業者-->>サービスプロバイダ事業者: 基本4情報・署名検証結果の返却
```

<br>