idbok

Appearance

OpenID Foundation AuthZEN WG 活動レポート (2025年1月)

執筆日: 2026-05-18(2025 年 1 月の活動を遡及してまとめたレポートです)

1. 概要

AuthZEN Working Group(WG)は、アプリケーション内外における認可クエリ(PEP-PDP 通信)の標準 API 規格を策定する OpenID Foundation の WG である。Subject・Action・Resource・Context(SARC)の JSON ベース情報モデルを核に、Authorization API のドラフト策定と相互運用性テストを並行して進めている。2025 年 1 月時点の共同議長は Omri Gazitt(Aserto)、David Brossard(Axiomatics)、Gerry Gebel(Strata Identity)の 3 名で、定例コールは毎週火曜開催。

2025 年 1 月の AuthZEN WG は、「2025 年 H1 ロードマップを宣言し、3 月 24〜25 日の Gartner IAM Summit London 2025 における大規模 Interop デモへ向けて API Gateway Profile と Search API の議論を一気に立ち上げた月」 であった。1 月 7 日コールで提示された H1 ロードマップでは、Draft 02(Evaluations API の boxcarring)を 1 月中に、Draft 03(Search / Partial Evaluation)を 2 月に、Draft 04(Discovery エンドポイント)を 3 月に公開し、6 月に Final 1.0 へ到達するという当時の見通しが共有された(実際には Final 化は 2026 年 1 月までずれ込むことになる)。

openid-specs-authzen ML への 1 月分投稿数は 25 件(2025 年 1 月アーカイブ000253000277)。投稿の大半は 「Comments on the Authzen API GW Profile」スレッド(18 通、000256000259 および 000262000275 に集中しており、API Gateway 向け mapping を仕様の一部として書くか、interop のためのリファレンス文書として書くかという根本的論点が 1 か月通して議論された。

技術議論の主軸は次の 4 点であった:

  • Authorization API 1.0 Draft 02 の publish 準備と新セマンティクスの取り込み — 1 月 7 日マージの PR #193 で「default actions(can_read / can_write 等の定義済アクション)を仕様から削除」「options.evaluations_semantic を新設し、evaluations バッチ評価の停止条件を明示」する仕様変更が入った。1 月 23 日には PR #198 で OIDF 新著作権ポリシーに準拠した notice 改訂が行われ、同日 Authorization API 1.0 - draft 02openid.net/specs/ 配下に正式公開された
  • Search API の最初のドラフト(Subject Search / Resource Search) — 1 月 29 日に Gerry Gebel が approve、Omri Gazitt 自身がマージする形で PR #199 が api/draft-03-search-apis ブランチから取り込まれ、Subject Search(あるリソースに対して権限を持つすべての subject を列挙)と Resource Search(ある subject がアクセス可能なすべてのリソースを列挙)を Draft 03 候補として仕様本体に追加。Action Search はこの段階では未着手であり、2 月の継続議論に持ち越された
  • API Gateway Profile の方向性論争 — Omri Gazitt が HackMD で公開した API GW Profile ドラフトに対して、Michael Schwartz(Gluu)が 1 月 14 日に 8 項目の反論を投稿。uriHTTP_Request か、JWT 全体を subject に置くか fingerprint で済ますか、collision-resistant な型名(OpenID::Authzen::API-GW::0.1::User)が必要か、といった点で Michiel Trimpe(Strata)・Julio Auto De Medeiros(Bloomberg)・Nicola Gallo(Nitro Agility)・Antonio Radesca(Nitro Agility)・Alex Babeanu・Ahmet Soormally(Tyk)が参加する 18 通のスレッドへ発展。最終的に Omri が「これは standard ではなく、3 月 Gartner London interop のための starting point である」とスレッド終盤で position を明示することで一旦着地した
  • Partial Evaluation 提案の比較フェーズ開始 — 1 月 7 日コールで David Brossard が PlainID、Axiomatics、Open Policy Agent の 3 つの partial evaluation 実装パターンを並べて比較。「partial evaluation は resource search とは別物として扱う」という方針が再確認された

なお、2025 年 1 月時点で Authorization API 1.0 は Implementer's Draft 投票よりはるか手前 の Working Group Draft 段階にあり、Final Specification 化(実際には 2026 年 1 月)は遠い将来であった。COAZ(後の MCP プロファイル)への着手はこの時点では一切なく、本月の議論はまだ純粋に「Evaluation / Evaluations / Search / Partial Evaluation / API GW Profile」という Authorization API コア機能の整備に集中していた。

2. 公開された仕様・ドラフト改訂

Authorization API 1.0 - draft 02 の publish(2025-01-23)

Authorization API 1.0 - draft 02 が 2025 年 1 月 23 日付で openid.net/specs/ に公開された。著者は O. Gazitt(Aserto)、D. Brossard(Axiomatics)、A. Tulshibagwale(SGNL)。Draft 02 の主要内容は以下:

  • Access Evaluations API(バッチ評価) の正式化 — 複数の SARC タプルを一度の HTTP リクエストで評価する POST /access/v1/evaluations エンドポイントを 1.0 ドラフトに取り込み
  • options.evaluations_semantic の導入 — evaluations バッチ呼び出しにおける停止条件(execute_all / deny_on_first_deny / permit_on_first_permit)を明示
  • default actions の削除can_readcan_write 等の仕様内事前定義 action を撤廃。コミュニティから「混乱を招き不要」というフィードバックを受けた措置

文書構成は 11 節(Introduction、Model、Features、API Version、Information Model、Access Evaluation API、Access Evaluations API、Transport、IANA Considerations、Security Considerations、Normative References)+ Appendix A〜D。

1 月内に仕様本体(api/authorization-api-1_0.md)へ反映された PR

  • PR #193 - removed default actions and added evaluations semantics(ogazitt、1 月 7 日マージ)— 上記 Draft 02 の主要変更を仕様本体に取り込み。options.evaluations_semantic を新設し、2024 年 12 月 17 日の WG コールで合意された停止条件セマンティクスを明文化。reviewer は davidjbrossard(approved)
  • PR #186 - feat: JSON schema for Access Evaluation Request/Response(Oltho、1 月 7 日マージ)— Authorization API 1.1 draft 01(当時の作業ブランチ呼称)に揃えた JSON Schema 2020-12 ベースのリクエスト/レスポンス schema を api/schemas/ 配下に追加。reviewer は ogazitt。$id の永続化(IANA 登録の可能性)、OpenAPI 3.1 連携、自動テスト整備などが今後課題として残された
  • PR #191 - Use proper ID for todo Item in can_update_todo and can_delete_todo(aaguiarz、1 月 7 日マージ)— interop の todo アプリで update / delete 判定時にリソース ID が正しく渡されていなかったバグを修正
  • PR #194 - fix build break in PR #191(ogazitt、1 月 8 日マージ)— PR #191 直後のビルドエラーを修正
  • PR #196 - clean up drafts and update automation(ogazitt、1 月 17 日マージ)— GitHub Pages 上のドラフト自動公開フローを整理
  • PR #197 - updated spec URLs and readme/docs(ogazitt、1 月 17 日マージ)— interop website の参照仕様 URL を stable URL に切り替え、AUTHZEN_PDP_API_KEY の format 説明を更新(Issue #192 をクローズ)
  • PR #198 - revise notices to be compliant with new OIDF copyright(ogazitt、1 月 23 日マージ)— Draft 02 publish に合わせ、OIDF の新著作権ポリシーに準拠した notice ブロックへ刷新
  • PR #199 - Draft 03 - adds subject search and resource search APIs(ogazitt、1 月 29 日マージ)— 1 月 28 日コールでの合意を受け、HackMD で議論された Subject Search / Resource Search プロポーザルを Draft 03 候補 として仕様本体に追加。api/draft-03-search-apis ブランチからの 1 コミット(9477a64)で merge。reviewer は ggebel(approved)

新規 Issue

  • Issue #195 - Is there an Open API Specification (OAS) spec available for AuthZen?(Hugo-ter-Doest、1 月 16 日起票)— OpenAPI 仕様の有無に関する単純な問い合わせ。後の 2 月 11 日コールで Michiel Trimpe が「リポジトリ既存の JSON Schema を基に OpenAPI 仕様ドラフトを起こす」と表明する契機の一つとなる

GitHub openid/authzen リポジトリの 1 月活動実績:

  • 新規 PR: 8 件(#186、#191、#193、#194、#196、#197、#198、#199)。全件マージ
  • 新規 Issue: 1 件(#195)

PR 起票数は前後の月(2 月 25 件、3 月 18 件)に比べると静かだが、仕様本体に対する根幹的な変更(default actions 削除、evaluations semantic 新設、Search API ドラフト導入、Draft 02 publish)が集中した月であったため、活動の質的な濃度は高い。

3. ミーティングと議論

AuthZEN WG は毎週火曜にコールを開催している。2025 年 1 月の定例コールは 1 月 7 日・14 日・21 日・28 日 の 4 回。議事録はすべて ML(pipermail)に投稿されており、HackMD @oidf-wg-authzen にも蓄積される。

2025 年 1 月 7 日(火)定例コール — 2025 年初回・H1 ロードマップ確定

  • アジェンダ: Proposed agenda for Jan 7(Omri Gazitt)。(1) 2025 H1 ロードマップ、(2) 12 月 17 日プロポーザルに基づく Access Evaluations セマンティクスの仕様反映、(3) Access Evaluation Request/Response の JSON Schema マージ、(4) Julio Auto De Medeiros が作成した spec build 用 Docker イメージ、(5) Vladi Berger の partial evaluation 提案
  • 議事録: Meeting notes for 2025-01-07(Omri Gazitt)
  • 参加者: Omri Gazitt、Mike Schwartz、Dinesh、Vladi Berger、Michiel Trimpe、Alex Babeanu、Julio Auto De Medeiros、David Brossard、Amos Alubala、E.A.Z.、David Hyland
  • 2025 H1 ロードマップ: Omri が HackMD ロードマップ文書 を提示。Shared Signals WG の interop 運営で得た教訓を踏まえ、Gartner London 向けに IdP・API Gateway・アプリケーションの 3 ユースケース をコミット。Draft 02(1 月)→ Draft 03 Search & Partial Evaluation(2 月)→ Draft 04 Discovery(3 月)→ Final 1.0(6 月)という当時の公開スケジュールを共有
  • Access Evaluations セマンティクス: 12 月 17 日コールで合意された停止条件セマンティクスを仕様に反映する PR #193 がこの場で確認された(同日マージ)
  • コード成果物リポジトリの分離決定: 「OpenID AuthZEN の仕様リポジトリとは別に、code artifacts 用のリポジトリが必要」との合意。専用 GitHub Organization authzen を立て、Docker Hub も David が用意することが宿題化
  • Partial Evaluation 比較: David Brossard が PlainID・Axiomatics・Open Policy Agent の 3 アプローチを並列で紹介。「partial evaluation は resource search とは別物として扱う」 という以前の決定を再確認
  • Kong 統合: Vladi Berger から Kong プラットフォーム統合の進捗報告

2025 年 1 月 14 日(火)定例コール — API GW Profile 議論の本格化

  • アジェンダ: Agenda for 2024-01-14 call(Omri Gazitt、件名の年は 2024 と誤記)。(1) Partial evaluation フィードバック議論、(2) Gartner IAM interop シナリオ、(3) JWT を AuthZEN subject にマッピングするプロファイル提案、(4) API Gateway リクエストを AuthZEN ペイロードにマッピングする提案(Michiel と Omri から)
  • 議事録: Notes for 2024-01-14 call(Omri Gazitt、件名の年は 2024 と誤記)
  • 参加者: Omri Gazitt、Gerry Gebel(Strata)、George Fletcher、Vladi Berger、Eve Maler(xmlgrrl)、Alex Babeanu、Amos Alubala、Julio Auto De Medeiros、Michiel Trimpe、Mike Schwartz
  • Partial Evaluation: Christopher Hendrix 不在のため議論はスキップ
  • Gartner IAM interop の 3 シナリオ: (1) IdP が認証時に AuthZEN コールを発行、(2) API Gateway が AuthZEN コールを発行、(3) Relying Party が PDP に AuthZEN コールを発行。グループは「API Gateway シナリオが ambitious だが価値が高い」と評価しつつ、「Relying Party シナリオは新規実装の負担が小さい」点を確認
  • API Gateway Profile の主要決定:
    • body serialization 位置の明示推奨(例: resource.properties.body
    • path-based resource の優先(lookup を避けて高速処理)
    • route-based 設定を優先、URI fallback は許容
  • Subject Type 議論: George Fletcher が 「JWT は Subject の type ではなく、subject.id フィールドの format である」 と問題提起。subject の分類と、その識別子のデータ表現を区別すべきという根本的指摘
  • 複雑性の制御: PDP 側の複雑性を下げ、optional ばかりにせず詳細な profile を書くことで相互運用性を確保すべきという方向性を確認

2025 年 1 月 21 日(火)定例コール — Search API ドラフト準備と Gateway 統合の進捗

  • 議事録: Notes from working group call on Jan 21, 2025(Gerry Gebel)
  • 参加者(14 名): Omri Gazitt、Michiel Trimpe、Alex Olivier、Nicola Gallo、Vladi Berger、Eve Maler、Alex Babeanu、Marc de Boer、Phillip Messerschmidt、David Hyland、Roland Baum、Mike Schwartz、Atul Tulshibagwale、Gerry Gebel
  • API Gateway 統合進捗:
    • Zuplo が interop 参加を確定
    • AWS API Gateway については Dinesh が AWS 側に働きかけ中
    • Search API の初版ドラフトが間もなく登場予定(PR #199 として 1 月 29 日にマージ)
  • Partial Evaluation フィードバックレビュー:
    • ODRL(Open Digital Rights Language)と UCAST(Universal Conditional AST)が関連標準として識別された
    • partial evaluation は action コンポーネントも含むべき」という方針を確認
    • PEP 側実装者が partial evaluation の意義を十分に把握できているかという懸念が共有された
  • Atul Tulshibagwale の指摘: 「IETF の Transaction Tokens ドラフトでは rctx(request context)を token mint 時のコンテキストとして定義しており、API Gateway 用途で AuthZEN PEP と統合する可能性がある
  • Michiel Trimpe の提案: HTTP Route は OpenAPI Specification の「Patterned Path Fields」と整合させるべき。多くの API Gateway は OpenAPI 仕様に基づいて自動でルートを定義するため、この対応関係が重要
  • タイムライン: 「API Gateway 文書を Gartner London(3 月 24〜25 日)のデモが可能な水準まで安定化させ、来週コール後に広く実装者フィードバックを募る」

2025 年 1 月 28 日(火)定例コール — Draft 02 publish 直後・Search API レビュー

  • アジェンダ: Agenda for Jan 28, 2025(Gerry Gebel)。(1) API 1.0 Draft 02 release の確認、(2) London Gartner IAM 向け interop profile(30 分)、(3) 最新 Search API プロポーザル(30 分)
  • 議事録: Notes from today's call(David Brossard、1 月 29 日 00:04 UTC 投稿)
  • 参加者: Alex Babeanu、Eve Maler、Roland Baum、Amos Alubala、David Hyland、Omri Gazitt、David Brossard、Gerry Gebel、Vladi Berger
  • Authorization API 1.0 Draft 02 の確認: 5 日前の 1 月 23 日に openid.net/specs/authorization-api-1_0-02.html として publish 済みであることを共有
  • Interop プロファイル: 「IdP が AuthZEN を Search API 経由で呼び出してアクセストークンを enrich する」 という第 4 のユースケース追加が提案された。API Gateway は中粒度(functional)認可、バックエンドアプリケーションは細粒度(transactional)認可、という役割分担を整理
  • Search API フレームワーク: 「Subject Search」と「Resource Search」の 2 種類 に統一する方針が確定。同時に action 中心の検索(「Alice は record 123 に対して何ができるか?」)も将来課題として認識された(後の Action Search、2 月 PR #221 として実現)
  • Interop コミットメント (Action Items):
    • Omri: AWS API Gateway と Zuplo の実装
    • Vladi: Kong の実装にコミット
    • David Brossard: Layer 7、Axway、42Crunch への接触
  • 参加者: Omri、David Brossard、Alex Olivier、Josh Twist(Zuplo)が確定。Vladi と Gerry は確認待ち

4. メーリングリストの主要スレッド

openid-specs-authzen ML(2025 年 1 月アーカイブ)の 1 月総投稿数は 25 件。うち 18 件が「Comments on the Authzen API GW Profile」スレッド に集中しており、API Gateway 向け mapping を仕様の一部として扱うか interop 用リファレンスとして扱うかという根本的論点が月を跨いで議論された。

4.1 Comments on the Authzen API GW Profile — 2025-01-14 開始(Michael Schwartz、18 通の最長スレッド)

  • 発端(#256、Michael Schwartz、1 月 14 日): Gluu の Michael Schwartz が、Omri Gazitt の API GW Profile ドラフトに対して 8 項目の詳細な技術的反論を投稿:

    1. リソース type 名: path ではなく HTTP_Request とすべき(API プロキシ決定は path だけでは不十分)
    2. スキーマ拡張性: 最小必須スキーマを定義し、拡張を許す形にしてプロファイルのスコープを縮小すべき
    3. URL コンポーネントの扱い: URL は schema・host・port・path・query・fragment を含む。ドメインベース policy のクロスドメインサポートは?
    4. Context と Request Data の区別: HTTP リクエストコンポーネント(URL・ヘッダ・ボディ)と、外部 context(時刻等)は本質的に異なる
    5. path 仕様の明確化: サンプルが /pets/{id} 形式になっているが、実際のリクエストは exact path 値で、置換や regex 構文は持たない
    6. リソース ID 生成: properties の SHA-256 ハッシュ で一意な resource identifier を生成する案
    7. Subject Token: JWT 全体を送るのではなく、「token の fingerprint」または client claims(client_id、scopes) を送るべき
    8. 詳細なリソース構造: HTTP_REQUEST type に headers / URL components / body を構造化して持たせる JSON 例を提示

  • Michiel Trimpe の応答(#257: 各点に逐一返答。uri をリソース識別子の最適解と擁護しつつ、JWT については「sub claim を default subject id、追加 JWT パラメータは subject.properties に置く」案を提示。「Subject・Action・Resource は authorization request の情報モデルそのものであり、ドメインモデル同等の厳密さで syntax・semantics・constraint を定義すべき

  • Julio Auto De Medeiros の応答(#258: Bloomberg の Julio が「Gateway は medium-grained(path replacement なし)、fine-grained は downstream の API provider 側で行う」と原則整理。さらに「JWT は subject ではなく context に置くべき。subject identifier は email など実値であるべき」という分類論を提示し、{"subject": {"type": "user", "id": {"format": "JWT", "jwt": "eyJ..."}}} のような type/format 分離案を例示

  • Omri Gazitt の応答(#259: Michael・Michiel・Julio のフィードバックを受け、「medium-grained(subject が HTTP route を起動できるか)」と「fine-grained(HTTP リクエスト内フィールド単位の評価)」の 2 シナリオは単一プロファイルに統合可能 とまとめる。default mapping として「subject.type=user、subject.id=JWT の sub claim、action.name=HTTP method、resource.type=route(無ければ uri)」を提案

  • Schwartz の続き(#262: collision-resistant な型名OpenID::Authzen::API-GW::0.1::Userhttps://openid.net/authzen/types/User)を提案。「リクエスト本体は resource、API GW が追加する time of day や network 情報は context」 という分割を提案

  • Nicola Gallo(Nitro Agility)の応答(#263: 「Handler コンセプト」を導入し、PDP が schema-based / API Gateway 等の handler を持つ案を 2 つの構造案として提示

  • Michiel Trimpe の再応答(#266: OAuth RAR を引用しつつ、top-level namespace http{"type": "http:route"}{"action": "http:get"})を提案。headers は subject 抽出・action メタデータ・context 等で多目的なため context に置く案

  • Antonio Radesca(Nitro Agility)の応答(#269: 「現プロファイルは SSE、WebSocket、HTTP/3、gRPC、GraphQL を無視している」 と protocol coverage の狭さを批判。POST body 全体のログ化に伴う security risk も指摘

  • Omri Gazitt の position 表明(#272、1 月 24 日): 「この提案は API Gateway / PDP ベンダーが 3 月 interop イベントを実装するための starting point であって、mandatory standard ではない」 と明確化。「HTTP REST 専用にスコープしており、gRPC や GraphQL は別プロファイルで扱える」「すべての default mapping は overridable」「型名は simple string で十分。URI/URN 化は読みにくくする」

  • Alex Babeanu の論点(#274: Omri の position を受けて「spec ではなく interop イベント向けの opinion piece として書くべき。Gateway ベンダーには AuthZEN protocol 自体で十分で、design spec を書いてやる必要はない」と article 化を主張

  • Ahmet Soormally(Tyk)の応答(#275: API Gateway ベンダー側からのフィードバックとして「API Gateway Profile という名前は汎用に聞こえるが現案は REST 限定」「hot path 上で PDP を呼ぶことの latency / security / reliability 懸念。embedded PDP の検討を」「OpenAPI v3 の operationId を識別子に使うべき」「Michael の response filtering 案は fantastic

  • 意義: 後の COAZ / MCP プロファイル議論や Gateway Profile の正式仕様化に至る議論の 思想的原点。「AuthZEN コアスペックは中立な情報モデル、Gateway / GraphQL / gRPC 等は別プロファイル」という分割統治戦略の合意が、この月の長いやり取りを通じて初めて WG 全体に共有された

4.2 Proposed agenda for Jan 7 + Meeting notes for 2025-01-07 — 2025-01-07(Omri Gazitt)

新年最初の WG コール。2025 H1 ロードマップ(Draft 02 → 03 → 04 → Final 1.0、6 月 Final を目指す)、Gartner London 向け 3 ユースケース commitment、code artifacts 専用 GitHub Organization authzen の分離決定、PlainID / Axiomatics / OPA の 3 partial evaluation 実装パターン比較、Kong 統合進捗、と 1 年の方向性を一気に確定した会。

4.3 Notes from working group call on Jan 21, 2025 — 2025-01-21(Gerry Gebel)

参加者 14 名と本月最大。Zuplo の interop 参加確定、Search API 初版ドラフトの予告、partial evaluation における ODRL / UCAST の関連標準としての識別、Atul Tulshibagwale による IETF Transaction Tokens rctx の AuthZEN PEP 統合可能性の指摘、Michiel Trimpe の HTTP Route と OpenAPI Patterned Path Fields の整合提案、と技術論点の濃度が高い議事録。

4.4 Notes from today's call (Jan 28) — 2025-01-29(David Brossard)

Draft 02 publish 直後のコール議事録。Subject Search と Resource Search の 2 種類体系で Search API を再構成する方針、IdP が Search API で access token を enrich する第 4 ユースケース追加提案、Omri(AWS API Gateway + Zuplo)・Vladi(Kong)・David Brossard(L7 / Axway / 42Crunch 接触)の interop コミットメント分担が確定した記録。

5. GitHub 上の議論

openid/authzen リポジトリの 2025 年 1 月活動: 新規 issue 1 件(#195)、新規 PR 8 件(すべて 1 月内マージ)。Issue 起票が極端に少ないのは、議論の主舞台が ML と HackMD(ロードマップ、Search API 提案、API GW Profile 提案)にあったため。

5.1 openid/authzen#193 — removed default actions and added evaluations semantics(ogazitt、1 月 7 日マージ)

  • 作成者: Omri Gazitt
  • マージ: 2025 年 1 月 7 日(davidjbrossard が approve・merge)
  • 内容: 2 つの根幹的仕様変更を同 PR に同梱:
    • default actions の削除can_readcan_write 等の仕様内事前定義 action を仕様から撤廃
    • options.evaluations_semantic の新設 — 2024 年 12 月 17 日 WG コールで合意された停止条件セマンティクス(execute_all / deny_on_first_deny / permit_on_first_permit)を evaluations バッチ評価に明示
  • 意義: Draft 02 publish(1 月 23 日)の中核となった仕様変更。後の 2 月 26 日 Issue #231(mtrimpe による「evaluations のマージ意味論曖昧性」指摘)に至る、evaluations API セマンティクス整備の最初の大きな一歩

5.2 openid/authzen#186 — feat: JSON schema for Access Evaluation Request/Response(Oltho、1 月 7 日マージ)

  • 作成者: Oltho(コミュニティコントリビューター)
  • マージ: 2025 年 1 月 7 日
  • 内容: JSON Schema 2020-12 形式で Access Evaluation Request / Response の schema を api/schemas/ 配下に追加。当時の作業ブランチ呼称「Authzen - Authorization API 1.1 - draft 01」に揃えた構造
  • 議論ポイント:
    • $id の永続化(IANA 登録の可能性)
    • 手動検証から自動テストへの移行が課題
    • OpenAPI 3.1 仕様生成への再利用
    • 言語別モデル生成へのガイダンスが必要
  • 意義: 2024 年 12 月 17 日に ogazitt から approve された IPR 確認後の merge。後の Issue #195(OpenAPI 仕様の有無問い合わせ)や 2 月 11 日コールでの「Michiel が OpenAPI 仕様を起草する」表明への直接的な布石

5.3 openid/authzen#199 — Draft 03 - adds subject search and resource search APIs(ogazitt、1 月 29 日マージ)

  • 作成者: Omri Gazitt
  • マージ: 2025 年 1 月 29 日(ggebel が approve、ogazitt 自身が merge)
  • ブランチ: api/draft-03-search-apis から main へ 1 コミット(9477a64)
  • 内容: 1 月 28 日コールで合意された Search API プロポーザル(HackMD ドラフト)を仕様本体に取り込み。Subject Search(あるリソースに権限を持つ subject の列挙)と Resource Search(ある subject がアクセス可能なリソースの列挙)の 2 エンドポイントを Draft 03 候補として追加
  • 意義: 後の 2 月 25 日 PR #221(Action Search 追加)、3 月 11 日 PR #253(パス階層化)に直接連なる、Search API ファミリーの起点 PR。この時点でのエンドポイント命名は /access/v1/subjectsearch/access/v1/resourcesearch の連結形であり、後の /access/v1/search/{subject,resource,action} 階層形への統一は 2 月の議論を経て 3 月の PR #253 で実現される

5.4 openid/authzen#198 — revise notices to be compliant with new OIDF copyright(ogazitt、1 月 23 日マージ)

  • 作成者: Omri Gazitt
  • マージ: 2025 年 1 月 23 日(Draft 02 publish と同日)
  • ブランチ: api/1.0.2-publication
  • 内容: OpenID Foundation の新著作権ポリシーに準拠する形で notice ブロックを刷新
  • 意義: Draft 02 の正式 publish に向けた IPR 整備。1 コミット(bab6a8d)の純粋なポリシー対応 PR

5.5 openid/authzen#191 + openid/authzen#194 — todo アプリのリソース ID 修正とビルド修正

  • PR #191(aaguiarz、1 月 7 日マージ): interop の todo アプリで can_update_todo / can_delete_todo 判定時にリソース ID が正しく渡されていなかったバグを修正
  • PR #194(ogazitt、1 月 8 日マージ): PR #191 直後のビルドエラー(https://github.com/openid/authzen/pull/191 由来)を緊急修正
  • 意義: 後の Gartner London demo で前面に出る todo アプリの認可セマンティクスを早期に正常化した「縁の下の力持ち」PR ペア

5.6 openid/authzen#196 + openid/authzen#197 — ドラフト自動公開と spec URL 整理

  • PR #196(ogazitt、1 月 17 日マージ): GitHub Pages 上のドラフト自動公開フローを整理
  • PR #197(ogazitt、1 月 17 日マージ): interop website の参照仕様 URL を stable URL に切り替え、AUTHZEN_PDP_API_KEY の format 説明を訂正(Issue #192 をクローズ)
  • 意義: Draft 02 publish に先立つ仕様公開インフラの整備

5.7 openid/authzen#195 — Is there an Open API Specification (OAS) spec available for AuthZen?

  • 作成者: Hugo-ter-Doest
  • 起票: 2025 年 1 月 16 日
  • 状態: 後にクローズ
  • 内容: OpenAPI 仕様の有無に関する単純な問い合わせ。本文は空でタイトルのみ
  • 意義: PR #186 で JSON Schema が入った直後のタイミングで提起されたこの問い合わせは、後の 2 月 11 日 WG コールにおける Michiel Trimpe による「リポジトリ既存の JSON Schema を基に OpenAPI 仕様ドラフトを起こす」表明 の動機の一つとなる

6. 関連イベント

Authorization API 1.0 Draft 02 の publish(2025-01-23)

1 月最大の対外的イベントは Authorization API 1.0 - draft 02openid.net/specs/ 公開(2025-01-23)。著者は O. Gazitt(Aserto)、D. Brossard(Axiomatics)、A. Tulshibagwale(SGNL)。Implementer's Draft 投票や Final Specification 化を伴うものではなく、Working Group Draft 段階での参照可能版の更新である。

Gartner IAM Summit London 2025 への準備(3 月 24〜25 日開催予定)

1 月時点で WG が確定させたコミットメント:

  • 3 つの interop シナリオ: IdP / API Gateway / Relying Party
  • 参加表明済み: Omri Gazitt(Aserto、AWS API Gateway、Zuplo 実装)、David Brossard(Axiomatics、L7 / Axway / 42Crunch への接触)、Alex Olivier(Cerbos)、Josh Twist(Zuplo)、Vladi Berger(Kong 実装、要確認)
  • 議論中: AWS API Gateway 参加(Dinesh が AWS 側に折衝中)
  • 未確定: Layer 7、Axway、42Crunch

関連 IETF / 業界標準への接続

  • IETF Transaction Tokens: Atul Tulshibagwale が 1 月 21 日コールで rctx を AuthZEN PEP の API Gateway 用途と統合可能と指摘
  • ODRL(Open Digital Rights Language)と UCAST: 1 月 21 日コールで partial evaluation の関連標準として識別
  • OpenAPI v3 / OpenAPI 3.1: 1 月 21 日コール(Michiel Trimpe)と PR #186(Oltho)の両方で AuthZEN 仕様との統合可能性が言及

7. 今後の予定(2025 年 1 月末時点の視点)

1 月末時点で WG が想定していた次月以降の動き:

  • Search API の継続改良: 1 月 28 日合意の Subject Search / Resource Search を 2 月のコールで仕様レビュー、Action Search(「Alice は record 123 に対して何ができるか?」)の追加検討
  • API Gateway Profile の position 整理: Omri が表明した「standard ではなく interop 用 starting point」という方向で文書を再フレーミング
  • Partial Evaluation の仕様化開始: 3 つの実装パターン(PlainID、Axiomatics、OPA)の比較から 共通仕様 への抽出作業
  • Draft 03(Search & Partial Evaluation)公開準備: 2 月中の公開を目指す(H1 ロードマップ通り)
  • Draft 04(Discovery エンドポイント)の設計開始: 3 月公開を目指す
  • Final 1.0 への移行準備: 6 月公開目標(H1 ロードマップ通り)
  • Gartner IAM London 2025 interop の参加ベンダー拡大: 1 月末時点で確定 5 社程度から、2 月末までに 15 社規模を目指す
  • JSON Schema の永続 ID 確定: PR #186 で merge された schema の $id を IANA 登録等の永続的方式に切り替え
  • Code artifacts 用 GitHub Organization authzen の運用開始: Docker イメージ等のホスティング

8. 参考情報源