idbok

Appearance

OpenID Foundation AuthZEN WG 活動レポート (2024年3月)

執筆日: 2026-05-22(2024 年 3 月の活動を遡及してまとめたレポートです)

1. 概要

AuthZEN Working Group(WG)は、Policy Enforcement Point (PEP) と Policy Decision Point (PDP) の間の認可クエリを標準化することを目的とした OpenID Foundation の WG である。Subject・Action・Resource・Context(SARC)の JSON ベース情報モデルを核に、Authorization API のドラフト策定と相互運用性デモを並行して進めている。2024 年 3 月時点で Omri Gazitt(Aserto)は co-chair・spec editor・interop シナリオ author を兼ねており(Aserto Blog)、David Brossard(Axiomatics)も WG の中心人物として 4 月以降の OIDF Workshop で共同登壇する関係にある。WG は OIDF Board により 2023 年 10 月に chartered されたばかりで、ML アーカイブも同月から開始しており、2024 年 3 月時点では初期仕様策定期に位置する。

2024 年 3 月の AuthZEN WG は、「5 月の Identiverse 2024 を初の公開 interop イベントとして照準に定め、Todo アプリケーションを題材とする interop シナリオの payload 設計を煮詰める、外部から見るときわめて静かな『地固めの月』」 に位置付けられる。Aserto 共同議長 Omri Gazitt が後の「One Year In: A Retrospective」で振り返った通り、「We agreed on the general shape of the spec by March, and defined an interop scenario...」Aserto Blog)と位置付けられる時期である。仕様文書としての Implementer's Draft 公開(後の 2024-08)にはまだ 5 ヶ月先行し、4 月 PR #85 で導入される「単一評価/複数評価 API の明示分離」も、4 月 PR #90 で導入される「response 側 context フィールド」も、まだこの月には存在しない。

openid-specs-authzen ML への 3 月分投稿数は 5 件のみ2024 年 3 月アーカイブ000099000103)。投稿のすべてが、前月末 2-28 に Rifaat Shekh-Yusef(OIDF 内 OAuth/AuthZEN レビュアー)が起こした 「Review of 'Payloads for the Todo application interop scenario'」ML #98 (2024-02))への応答とそれに付随する 3-05 コール議題告知に集中している。openid/authzen リポジトリの 3 月活動も内訳のほとんどが dependabot 起点のセキュリティ依存性更新 PR 19 件PR #58〜#76、いずれも 3-20 マージ)であり、人間によるレビュー・議論を伴う実質的な PR は PR #79 "Update Cerbos URL"(alexolivier、2024-03-26、Cerbos PDP の hosted endpoint を cerbos-authzen-pdp-piy6w63peq-ey.a.run.app から authzen-proxy-demo.cerbos.dev へ移行) 1 件のみ。新規 Issue は 0 件

それでも当月に進んだ技術論点は明確で、次の 3 点に集約できる:

  • Todo interop payload の不整合洗い出し — Rifaat Shekh-Yusef による具体的なレビュー指摘(userID が URI とペイロード identity 双方に登場する冗長性、can_read_user 型アクション命名の妥当性、ownerID の意味付け、Todo リストが共有か個人かの曖昧さなど)に対し、Omri Gazitt が ML スレッド + 3-05 コール内デモで解説。最終的に「文書の front-matter を更新して self-contained に」する方針で 3-06 に着地(ML #103
  • Authorization API ドキュメントの「サブセット分割」方針合意 — 3-05 コール議題(ML #99)において Gerry Gebel(Strata Identity)が、API 仕様文書を「permit/deny 判定だけを扱う basic authorization profile」と、「search や query などのより高度な capability」とに分割し、後者を後続フェーズに送る方針を提案。これが 4 月 PR #85 で実装される「Access Evaluation(単数) vs Access Evaluations(複数)」の章分離、ひいては 6 月 PR #113 の「multi 系列は 1.0 から除外して profiles へ送る」長期方針の 遠因 となる
  • Cerbos PDP の hosted endpoint 移行と interop website への結果登録 — Alex Olivier(Cerbos)によるPR #79(3-26 起票・即日マージ、merge commit 77181db)で Cerbos の AuthZEN proxy が独自ドメイン authzen-proxy-demo.cerbos.dev に移行。同日 Omri Gazitt が commit 6abad9acerbos.md を interop website に追加し、Cerbos が全 interop test ケースを PASS した結果を初めて公式に記録。4 月 OIDF Workshop で報告される「4 実装 conformant」体制(Aserto Topaz / Cerbos / Kogito / SGNL)の Cerbos 側基盤がこの月に整った

加えて、依存性更新の 3-20 集中マージ(PR #58〜#76、Todo Application / Todo Backend / Interop Website の 3 ワークスペースに対する dependabot PR 18 件をまとめてマージ)は、Identiverse interop に向けたコードベースの脆弱性メンテナンスの一環であり、webpack 5.70.0 → 5.90.3@babel/traverse 7.17.3 → 7.24.0crypto-js 4.1.1 → 4.2.0follow-redirects 1.15.5 → 1.15.6ip 1.1.5 → 1.1.9jose 4.14.4 → 4.15.5 といった広範な更新が含まれる。

2. 公開された仕様・ドラフト改訂

Authorization API ドラフト(3 月時点の状態)

  • 形態: openid.net/specs/ 配下への正式 publish は 未実施。リポジトリ内 markdown(api/authorization-api.md 系列)+ GitHub Pages プレビューでのみ公開。Implementer's Draft 00 publish(後の 2024-08-14)には 5 ヶ月先行する初期段階
  • 3 月時点の状態: 仕様文書はまだ「単一評価」と「複数評価(boxcarred)」の章を明示分離していない。4 月 PR #85 で導入される /access/v1/evaluation(単数) / /access/v1/evaluations(複数)の URL 分離は未実施。response 側 context フィールド(4 月 PR #90)も未導入。3 月時点のレスポンス構造は「reason object」のみで構成されており、obligations / advice / capability negotiation の枠組みは ML 上にも提案されていない(これらは 4-10 開始の Eve Maler スレッドで初めて持ち込まれる)
  • 3 月内の編集作業: 仕様ドラフト本体への直接コミットは確認できない。openid/authzen の main ブランチへの human commit は PR #79 と関連する Cerbos interop 結果登録(commit 6abad9a)、use local storage for pdp(commit 6c01321、3-20)、updated gitignore and fixed todo-app(commit 62d577d、3-20)の 3 件のみで、いずれも interop アプリケーション側の整備 であり仕様文書本体の改訂ではない
  • 位置付け: 3 月は 「仕様文書の章構成や URL を変える前に、interop シナリオの payload 仕様を確定させる」段取りの月。ML スレッドで Rifaat Shekh-Yusef のレビュー指摘を一つひとつ潰す作業と、3-05 コールでの方針合意が、4 月以降の仕様文書本体の改訂を駆動する土台になった

Interop シナリオ(Todo アプリ)— payload 設計の確定期

3 月時点で AuthZEN WG にとって、Todo アプリの interop シナリオは 「仕様の事実上のリファレンス実装」 として機能しはじめていた。3 月の編集作業は仕様文書本体ではなく、interop シナリオ payload ドキュメントと todo-app コードベースに集中している。

  • シナリオ定義ファイル: interop/authzen-interop-website/docs/scenarios/todo.md(authzen-interop.net 配下に published 予定)

  • アクション命名: can_read_user, can_read_todos, can_create_todo, can_update_todo, can_delete_todo 等の can_* プレフィックス記法を 3 月の ML 議論で擁護。Omri Gazitt は 「intentionally used descriptive action names to demonstrate that 'no reserved verbs' exist in the specification」(ML #100 の趣旨)と説明し、HTTP メソッド/path 連結方式を採用しない設計判断を表明

  • payload 構造の確定:

    • subject.identity: 呼び出し元(ログイン中ユーザー、例: Rick または Morty)の PID。JWT の sub claim から抽出
    • resource.userID: GET /users/{userID} の URL parameter から取得する「対象ユーザー」の識別子
    • resource.ownerID: Todo オブジェクトの所有者識別子
    • policy ルール: Todo オーナーは自身の Todo を edit/delete 可、admin ロールは任意の Todo を delete 可、evil_genius ロールは任意の Todo を modify 可

  • 3 月内の interop 整備作業:

    • 3-20 commit 62d577d(ogazitt): .gitignore から過大な ignore パターン(*.xml, *.html, *.txt)を削除し、index.htmlrobots.txt を public asset として復活。todo-app のビルド/デプロイ問題を修正
    • 3-20 commit 6c01321(ogazitt): PDP 選択を localStorage に永続化。UI クラス .pdp-info, .pdp-select, .separator を導入し、interop website でユーザーが選んだ PDP(Aserto / Cerbos / 等)をブラウザセッションをまたいで保持する仕組みを実装
    • 3-26 PR #79(alexolivier、Cerbos): Cerbos の AuthZEN proxy endpoint を cerbos-authzen-pdp-piy6w63peq-ey.a.run.appauthzen-proxy-demo.cerbos.dev へ移行。cerbos.mdpdps.json の 2 ファイルを更新し、Google Cloud Run の自動生成ドメインから読みやすい独自ドメインへ切替
    • 3-26 commit 6abad9a(ogazitt): Cerbos の interop test 結果(59 行)を interop/authzen-interop-website/docs/results/cerbos.md として追加。yarn tests 実行時の全テストケース(user read / todo create / update / delete、複数の subject identity / resource ownership variations)が PASS した結果を公式に記録

  • dependency 更新群(3-20 中心): dependabot 起点の依存性更新を 3-20 に集中マージ(PR #58〜#76)。対象は Todo Application / Todo Backend / Interop Website の 3 ワークスペース。代表例:

    • webpack 5.70.0 → 5.90.3PR #68
    • @babel/traverse 7.17.3 → 7.24.0PR #60、CVE 関連の急ぎ対応)
    • crypto-js 4.1.1 → 4.2.0PR #62
    • follow-redirects 1.15.5 → 1.15.6PR #64, PR #75、複数ワークスペース)
    • jose 4.14.4 → 4.15.5PR #58
    • ip 1.1.5 → 1.1.9, 2.0.0 → 2.0.1PR #59, PR #61

3 月時点の interop 参加実装

  • Conformant(少なくとも 1 実装): Cerbos — 3-26 に interop website 上で初めて公式に結果登録(commit 6abad9a)。Aserto Topaz は WG 主導者である Aserto 側が並行運用しており、ML #100 の Omri Gazitt の説明から todo-app 側との接続は確立している
  • その他: Kogito(後の PR #84、4-04 起票), SGNL(後の PR #95、4-13 起票), Axiomatics(後の PR #98, PR #99、4-30 起票)は 3 月時点ではまだ interop website に結果登録なし

「OpenID AuthZEN Working Group Announces Authorization Interop Results」(OIDF プレスリリース、後の 5 月)が最終的に列挙する 9 ベンダー(3Edges, Aserto, Axiomatics, Cerbos, Permit.io, Rock Solid Knowledge, SGNL.ai, Strata Identity, Thales)のうち、3 月末時点で interop website に正式に結果登録されていたのは Cerbos のみであった。

3. ミーティングと議論

AuthZEN WG は隔週火曜(米国時間)にコールを開催している。2024 年 3 月の暦上の火曜は 3 月 5 日・12 日・19 日・26 日 の 4 枠。隔週開催を前提とすると 3-05 と 3-19 が定例コール候補となるが、HackMD @oidf-wg-authzen チームスペースの公開状況は外部から限定的にしか確認できず、3 月のコール議事録の本文は外部公開リンクで確認できない。それでも ML 投稿・GitHub 活動・3-05 コール議題告知の内容から、3-05 コールの存在と議題は明確に再構成できる。

3 月 5 日(火)定例コール — 議題告知あり

ML #99 "Agenda for March 5 call"(Gerry Gebel、Strata Identity、2024-03-04 16:23 UTC)で前日に議題が告知された 3 月唯一の議題告知付きコール。Gerry Gebel は ML 投稿内で HackMD の詳細議題リンク(具体的 URL は ML アーカイブ HTML には含まれず)も共有した。

3-05 コールの議題(ML #99 より)

  1. Payload Document の finalize

    • 前週(2-28 の ML #98)に Rifaat Shekh-Yusef が起こした 「Payloads for the Todo application interop scenario」レビュー の内容を踏まえ、未解決の修正点や議論点を整理し、payload 文書を確定させる
    • 議題の文言: 「finalize the payload document that Omri reviewed last week, accounting for any outstanding modifications or discussion points」

  2. API Document の構造分割

    • API ドキュメントを 「basic authorization profile(permit/deny 判定のみ)」 の章と、「より高度な capability(search や query 等)」 の章とに分割する方針の議論
    • 後者は 後続フェーズに deferred することで、Identiverse 2024 までに最低限の単一判定 API を確定させる戦略
    • この方針合意が、4 月 PR #85(単一評価/複数評価の章分離)と、より長期には 6 月 PR #113(multi 系列を 1.0 から除外)の直接の遠因となる

  3. Other Business: 任意の議題枠

3-05 コール後の動き(ML スレッドでの反映)

3-05 コール当日と翌日にかけて、Omri Gazitt と Rifaat Shekh-Yusef の間で payload 設計に関する具体的な質疑が 4 通で展開(ML #100ML #103)。詳細は §4 で扱う。コール内で Omri Gazitt が live demo を行った傍証として、ML #102(Rifaat Shekh-Yusef、2024-03-05 22:13 UTC)に 「Thanks for the demo during the call」 との明示的言及がある。

3 月 12 日(火)— コール開催の傍証なし

  • 公開議事録: 確認できない
  • ML 上の傍証: 3-12 前後の ML 投稿はゼロ。コール開催の有無は外部から確定できない
  • 当時の運用: WG は隔週開催(前後の月のパターンから推測)であり、3-05 がコール週だった場合、3-12 はオフ週である可能性が高い

3 月 19 日(火)— コール開催の傍証なし

  • 公開議事録: 確認できない
  • ML 上の傍証: 3-19 前後の ML 投稿はゼロ
  • 当時の GitHub 活動: 翌 3-20 に dependabot PR 群(PR #58〜#76)の集中マージと commit 62d577d.gitignore 修正と todo-app の public asset 復活)、commit 6c01321(PDP 選択の localStorage 永続化)が ogazitt から投入されている。3-19 コール開催の直接の証拠はないが、コール直後のメンテナンス作業と推測する余地はある

3 月 26 日(火)— Cerbos URL 切替のタイミング

  • 公開議事録: 確認できない
  • 当日の GitHub 活動:
    • PR #79(alexolivier、Cerbos) が起票・即日 ogazitt approve・マージ(merge commit 77181db
    • 同日 ogazitt が commit 6abad9a で Cerbos の interop test 結果(59 行、全テスト PASS)を interop/authzen-interop-website/docs/results/cerbos.md として追加
  • 想定: alexolivier(Alex Olivier、Cerbos の Chief Product Officer、2024-01 就任)と ogazitt の連携が同日中に進んだ事実から、コール内またはコール周辺で対面調整があった可能性は高い。ただし、ML への議事録投稿や開催告知はない

3 月内の議論の特徴

3 月の議論は 「payload 仕様の細部の整合性確保」 に集中しており、4 月以降に主軸となる obligations / advice / capability negotiation / boxcarring といったテーマはまだ ML 上に出現していない。3-05 コールの議題告知(ML #99)に明示された「API ドキュメントの basic authorization profile への絞り込み」と、「より高度な capability の後送り」方針が、結果として 4 月以降の議論の構造(単一評価を中心に進め、複数評価/boxcarring は別議論として並行)を定めた点が、月の本質的な貢献と言える。

4. メーリングリストの主要スレッド

openid-specs-authzen ML(2024 年 3 月アーカイブ)の 3 月総投稿数は 5 件(000099000103)。技術スレッドは実質 1 本(Rifaat Shekh-Yusef の payload レビューに対する Omri Gazitt の応答)であり、これに 3-05 コール議題告知を含めても 「スレッド 2 本」 が 3 月の議論の全量である。

4.1 Review of "Payloads for the Todo application interop scenario" — 2024-03-05 開始(Omri Gazitt から Rifaat Shekh-Yusef への応答、4 通)

3 月の最も技術的に重要なスレッド。前月 2-28 の ML #98(Rifaat Shekh-Yusef による Todo payload 文書の詳細レビュー)への Omri Gazitt の応答として始まり、3-05 〜 3-06 にかけて Rifaat Shekh-Yusef との間で 4 通で展開。

  • #100(Omri Gazitt、Aserto、2024-03-05 07:14 UTC): Rifaat のレビューに項目別で詳細回答

    • アーキテクチャの背景: Todo アプリは「React frontend、Node.js backend API、AuthZEN implementation」の三層構成で、AuthZEN 実装が 5 つの distinct route の認可判定を担う
    • GET /users/{userID} の userID 重複問題: URI 内の userID は 取得対象のユーザー、ペイロード subject.identity呼び出し元(logged-in user)の identity。両者は異なる目的のフィールドであるため、見かけ上の重複には設計意図がある旨を釈明
    • アクション命名: HTTP メソッド/path 連結方式ではなく can_read_user のような descriptive action name を意図的に採用。「no reserved verbs」が AuthZEN 仕様にあることを示すデモ目的
    • policy 設計: Todo オーナーは自身の Todo を edit/delete 可、admin ロールは任意の Todo を delete 可、evil_genius ロールは任意の Todo を modify 可
    • API contract: フロントエンドは GET /todos で全 Todo を取得し、各 Todo の id フィールドを後続の PUT/DELETE 操作に使う

  • #101(Rifaat Shekh-Yusef、2024-03-05 17:42 UTC): 再度の追及。「Can you please elaborate on this? How are these users different?」 — Omri の回答(subject.identity = PID of caller、resource.userID = URI parameter)について、両者が異なるユーザーを表す具体的な状況の説明を要求

  • #102(Rifaat Shekh-Yusef、2024-03-05 22:13 UTC): コール(同日 3-05)でのデモへの謝辞と、追加要望

    • 「Thanks for the demo during the call」 — 3-05 コール内で Omri Gazitt が live demo を行った事実の傍証
    • 「It would be good to explicitly state that in the document to avoid any future confusion」 — Todo リストが 共有リスト(shared) であることをドキュメントに明示的に書くべき、との要望。Rifaat はコール内のデモで初めて「shared」設計を理解した経緯がうかがえる

  • #103(Omri Gazitt、Aserto、2024-03-06 01:08 UTC): 文書の front-matter(冒頭部)を更新して self-contained にした と報告。「Hopefully it is more self-contained and doesn't require as much context from previous meetings now...」

  • 意義:

    • AuthZEN payload 仕様の設計判断が ML 上で明文化された貴重な記録。特に「URI parameter と payload identity の役割分離」「can_* descriptive action 命名」「Todo リストは共有である」の 3 点は、後の interop シナリオの根本設計として継続される
    • Rifaat Shekh-Yusef は OIDF コミュニティ内で OAuth/AuthZEN レビューを担う立場にあり、外部レビュアーからの 第三者視点での冗長性指摘 を Omri Gazitt が逐一受け止め、文書を self-contained に書き直す姿勢は、後の interop イベントでベンダーが文書を読み込む際の障壁を下げる準備となった
    • 一方、この時点ではまだ userIDownerID の使い分けの不統一(後の 4-30 ML #133 で David Brossard が問題提起、Omri が「expediency 優先で意図的に不統一」と回答する論点)は ML 上に出現していない。3 月の Rifaat のレビューでも ownerID への言及はあるが、userID との対立関係はまだ意識されていない

4.2 Agenda for March 5 call — 2024-03-04 開始(Gerry Gebel 起点、1 通)

3-05 コールの議題告知。技術スレッドではないが、§3 で扱った通り 「API ドキュメントを basic authorization profile(permit/deny)と高度 capability(search/query)に分割し、後者を後送りする方針」 がここで初めて公式の議題に登場した記録として重要。

  • #99(Gerry Gebel、Strata Identity、2024-03-04 16:23 UTC): 議題 3 項目(payload finalize、API document の章分割、other business)と HackMD 詳細リンク
  • 意義: Gerry Gebel は当時 Strata Identity の head of standards(後の 2024-04 に VP of Product and Standards へ昇格)であり、WG 内では Hexa オープンソースプロジェクトを通じて AuthZEN との接続を進めている。彼が議題告知役を担っていたことは、WG が当時 Aserto と Strata Identity を中心に運営されていた事実を反映する

3 月の ML 活動量の評価

5 通という総投稿数は、AuthZEN WG にとっても きわめて静かな月 に位置する。比較対象として:

  • 2024-02: 21 通(2 月アーカイブ、OpenFGA 発表議論、payload 文書レビュー、2-20 コール中止通知などを含む)
  • 2024-04: 35 通(4 月アーカイブ、Identiverse Happy Hour 議論、layered-semantics interop 議論、interop payload 不整合議論などを含む)

3 月の少なさは、(a) WG が 3-05 コールで payload 設計を一旦確定させた後、各自が GitHub での実装作業 に専念する期間に入ったこと、(b) Identiverse interop 期日(5-28)まで 12 週ある段階で、まだ外部社交イベント(Happy Hour 等)の告知も不要だったこと、(c) 4 月以降に主軸となる obligations / advice / boxcarring の議論がまだ ML に持ち込まれていなかったことの 3 点で説明できる。

5. GitHub 上の議論

openid/authzen リポジトリの 2024 年 3 月活動: 3 月内マージは 20 件(dependabot 19 件 + 人間起票の PR #79 1 件)。新規 Issue 0 件。main ブランチへの 3 月内 commit は、ogazitt による手作業 commit 4 件(62d577d, 6c01321, 6abad9a、および PR #79 の merge commit 77181db)、alexolivier による PR #79 内 commit 2 件(34e9f43, 846365c)、加えて dependabot 起点の merge commit 群で構成される。

3 月の特徴は 「人間による設計 PR がほぼゼロ」「dependabot 主導のセキュリティ更新の集中マージ」 の 2 点である。Identiverse interop(5-28)まで残り 12 週、まずはコードベースの脆弱性を一括解消する月だった。

5.1 PR #79 "Update Cerbos URL"(alexolivier、2024-03-26 起票・即日マージ)

3 月唯一の人間による interop 設計 PR。

  • 背景: Cerbos の AuthZEN proxy が Google Cloud Run の自動生成ドメイン(cerbos-authzen-pdp-piy6w63peq-ey.a.run.app)でホストされていたが、Cerbos 側で独自ドメイン(authzen-proxy-demo.cerbos.dev)を準備したため、interop website の参照を切り替える必要が生じた
  • 変更ファイル:
    • interop/authzen-interop-website/docs/results/cerbos.md(Cerbos の documentation、hosted location とテストコマンドの参照を更新)
    • interop/authzen-interop-website/pdps.json(PDP リストの JSON 設定で Cerbos service URL を更新)
  • 2 commits: 34e9f43 "update url"、846365c "update url"
  • レビュー・マージ: ogazitt が approve、merge commit 77181db(3-26)
  • 同日関連 commit 6abad9a: ogazitt が cerbos.md(59 行)を interop/authzen-interop-website/docs/results/ に新規追加。Cerbos PDP が全 interop test ケース(user read / todo create / update / delete、複数 subject identity と resource ownership variations)を PASS した結果を公式に記録
  • 意義:
    • Cerbos が AuthZEN interop の最初の公式 conformant 実装として interop website に登録された記録。後の 4-15 OIDF Workshop で David Brossard / Omri Gazitt が「4 conformant 実装」(Aserto Topaz, Cerbos, Kogito, SGNL)として発表する基礎が、この 3-26 の段階で Cerbos に関しては既に成立していた
    • Alex Olivier(Cerbos)がこの後、AuthZEN WG の co-chair として 2025 年以降に正式参画する関係性の出発点となる contributor 関与の早期記録でもある

5.2 dependabot PR 群(3-20 集中マージ)

PR #58〜#76(19 PR、3-20 マージ)と PR #77, PR #78, PR #80, PR #81, PR #82(5 PR、3 月起票・4 月マージ)の dependabot PR 群。

  • 対象ワークスペース:
    • interop/authzen-todo-application(フロントエンド React アプリ、最大の更新対象)
    • interop/authzen-todo-backend(Node.js バックエンド API)
    • interop/authzen-interop-website(interop website 本体)
  • 主要更新:
    • webpack 5.70.0 → 5.90.3PR #68
    • @babel/traverse 7.17.3 → 7.24.0PR #60、CVE-2023-45133 関連の急ぎ対応)
    • crypto-js 4.1.1 → 4.2.0PR #62、CVE-2023-46233 関連)
    • follow-redirects 1.15.5 → 1.15.6PR #64, PR #75、複数ワークスペース、CVE-2024-28849 関連)
    • jose 4.14.4 → 4.15.5PR #58
    • ip 1.1.5 → 1.1.9, 2.0.0 → 2.0.1PR #59, PR #61、CVE-2023-42282 関連)
    • webpack-dev-middleware 5.3.1 → 5.3.4 / 5.3.3 → 5.3.4PR #77, PR #78、CVE-2024-29180 関連)
    • express 4.17.3/4.18.2/4.18.3 → 4.19.2PR #80, PR #81, PR #82、3-29 commit ce13a2d, dd5c50a, 3a3102a で main へマージ、CVE-2024-29041 関連)
  • 意義: Identiverse interop へ参加する 9 ベンダーが clone して動かす interop scenario アプリ のセキュリティ基盤が、この 3-20 集中作業で 2024 年早期の主要 CVE を一掃した。dependabot の自動 PR を WG 主導者が 一括承認するスタイル が当月確立された

5.3 ogazitt による interop アプリ整備(3-20 commit 群)

main ブランチへの直接 push として、3-20 に 2 件の人間 commit が記録されている。

  • commit 62d577d "updated gitignore and fixed todo-app"(ogazitt、3-20、3 ファイル変更、+23/-3 行)
    • .gitignore から過大な ignore パターン(*.xml, *.html, *.txt)を削除(これらは React アプリの public asset を意図せず ignore していた)
    • interop/authzen-todo-application/public/index.html を 20 行新規追加(DOCTYPE、metadata、React mounting 用 root div)
    • interop/authzen-todo-application/public/robots.txt を 3 行新規追加(全 user-agent に crawl 許可)
  • commit 6c01321 "use local storage for pdp"(ogazitt、3-20、3 ファイル変更、+58/-23 行)
    • App.tsx: PDP 選択を localStorage.getItem("pdp") で取得・storePdp callback で保存。デフォルト PDP 選択を localStorage 値に同期。UI に .pdp-info CSS クラスを追加。typo seperatorseparator を修正
    • LoginWrapper.tsx: PDP state を localStorage から初期化
    • index.css: .separator.pdp-info.pdp-select(min-width 250px)の各 CSS クラスを追加
  • 意義: interop website で 「ユーザーが選択した PDP をブラウザセッションをまたいで保持する」UX 改善。Identiverse 2024 で来場者が会場の interop ブースを巡回しながら複数 PDP を試す導線を見越した改修

5.4 Issue 活動: 該当月ゼロ

GitHub Issues の検索結果は「No results」。新規 Issue は 1 件も登録されていない。既存 Issue への活発な議論再燃も確認できない。

6. 関連イベント

3 月開催・対象月内のイベント

  • 3 月内に AuthZEN WG として参加または主催した外部イベントは確認できない
  • 当時の WG メンバーが個別に参加した可能性のあるイベント(KuppingerCole の各種ウェビナー、社内・社外勉強会等)の記録は ML / GitHub / 公式アナウンスのいずれにも残っていない

3 月時点では未開催だが計画されていたイベント

  • OpenID Foundation Workshop at Google(Sunnyvale、4-15): 翌月開催の OIDF 四半期 Workshop。AuthZEN セッション(David Brossard / Omri Gazitt 共同登壇)の準備が裏で進んでいた段階
  • Internet Identity Workshop XXXVIII(IIW 38、Mountain View、4-16〜18): Omri Gazitt が AuthZEN interop セッションを単独で実施する予定の場
  • Identiverse 2024(5-28〜31、Las Vegas / ARIA): AuthZEN の初の公開 interop イベント。3 月時点で WG メンバー全体が照準を合わせていた最大の目標。後の 4-29 ML #131 で AuthZEN Interop の正式招待状(Copperleaf 8 ルーム、8am〜3:30pm PDT)が配信される
  • EIC 2024(6-04〜07、Berlin): AuthZEN パネル + interop の計画段階

3 月は 「外部イベントへの登壇/参加実績ゼロ」 という意味で、WG の対外露出はきわめて低い月であり、内部での payload 仕様確定と interop 実装基盤整備に専念する期間だった。

7. 今後の予定(2024 年 3 月末時点の視点)

3 月末時点で WG が想定していた次月以降の動き:

  • payload 文書の self-contained 化の完了(3-06 ML #103 で着手済の front-matter 更新の継続)
  • API ドキュメントの章分割: 3-05 コール議題で合意した「basic authorization profile(permit/deny)」と「高度 capability(search/query 等)」の分離方針を、4 月中に仕様文書本体へ反映する(実際には 4 月 PR #85/access/v1/evaluation 単数形と /access/v1/evaluations 複数形の章分離として実装される)
  • 4-15 OIDF Workshop at Google での AuthZEN セッション準備: David Brossard / Omri Gazitt 共同登壇に向けた Prior Art Document(XACML / ALFA / Cedar / Topaz / OAuth 比較)と interop シナリオ紹介スライドの整備
  • 4-16〜18 IIW 38 での AuthZEN interop セッション準備: Omri Gazitt の単独セッション、interop live demo の構成
  • Identiverse 2024 Interop(5-28)への参加実装拡充: 3 月末時点で interop website に test 結果が公式登録された conformant 実装は Cerbos のみ。残り 9 週間で Kogito(後の PR #84、4-04)、SGNL(後の PR #95、4-13)、Axiomatics(後の PR #98 / PR #99、4-30)等の追加が必要
  • 隔週コール運用の継続: 3 月のコール開催実績(3-05 のみ確認、3-19 は推測)を踏まえ、4 月にコール時間帯の見直し議論が始まる土壌が形成される(実際には 4-16 コール ML #126 で「11am PT on even weeks and 3pm PT on odd weeks」の alternating call へ運用変更)

8. 参考情報源