idbok

Appearance

OpenID Foundation AuthZEN WG 活動レポート (2025年4月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

AuthZEN WG(Authorization Working Group)は、PEP(Policy Enforcement Point)と PDP(Policy Decision Point)の間のインタラクションを標準化する Authorization API 仕様を策定している Working Group である。2025 年 4 月時点の共同議長は Omri Gazitt(Aserto)、David Brossard(Axiomatics)、Gerry Gebel(Strata Identity)の 3 名で、定例コールは火曜開催(4 月は毎週)。

2025 年 4 月の AuthZEN WG は、3 月 18〜20 日 Gartner IAM London 2025 で開催された API Gateway interop(7 ゲートウェイ参加・100 人超来場)の余熱を受けつつ、5 月 EIC 2025(ベルリン)と 6 月 Identiverse 2025(ラスベガス)を見据えて Authorization API の Final 化作業に本格着手した月 であった。openid-specs-authzen ML への 4 月分投稿数は 33 件2025 年 4 月アーカイブ000317000349)と、5 月(21 件)・6 月(24 件)を上回る活発さ。定例コールは 4 月 1 日、4 月 8 日、4 月 15 日、4 月 22 日、4 月 29 日の 5 回 が開催され、加えて 4 月 10 日には Partial Evaluation 専用ブレイクアウトが Jeff Lombardo(AWS)主催で実施された。

技術議論の主軸は次の 4 点であった:

  • Draft 04 への移行と Identiverse 2025 用 Search API 仕様の Final 化準備 — 4 月 15 日に PR #287(Omri Gazitt)が Draft 03 → Draft 04 への番号繰り上げと Issue #249 の修正例 を統合してマージ。同日、4 月 11 日にマージされたばかりの PDP Metadata Discovery(PR #276)が「WG レビュー未経過 + 旧版ベース」を理由に PR #288 で revert され、Draft 04 ベースで再起票(PR #290、4 月 24 日マージ)するプロセス整理が行われた。これは AuthZEN WG が「Draft 03 のまま Identiverse interop を実施し、未解決 issue は Draft 04 に集約する」というスケジュール戦略 を確立した転換点となる
  • PDP Metadata Discovery(.well-known)導入議論 — Jeff Lombardo(AWS)が RFC 8414(OAuth 2.0 Authorization Server Metadata)と draft-ietf-oauth-resource-metadata をモデルに PDP メタデータエンドポイント を提案。4 月 8 日コールの議論を経て PR #276 を起票、4 月 11 日に一旦マージされたが 4 月 15 日に revert、その後 PR #290 として Subject / Action / Resource ごとに別々の Search エンドポイントを advertize するメタデータパラメータ群policy_decision_pointsearch_subject_endpointsearch_action_endpointsearch_resource_endpoint)に拡張されて 4 月 24 日に再マージ。Issue #299 では issuer という属性名は OAuth 由来だが PDP メタデータに適切か」 という IANA 登録に関わる命名論争が 4 月 23 日に独立起票
  • Partial Evaluation の AuthZEN 1.1 への切り出し決定 — 4 月 8 日コールで「Partial Evaluation を 4 月 22 日までに IETF-ready にする」目標が立てられ、4 月 10 日の専用ブレイクアウト(David Brossard / Jeff Lombardo / Michiel Trimpe / Christopher Hendrix [Styra] 等参加)で ucast をシリアライズ形式候補として検討。しかし「ucast はオープンソースとして約 2 年コミットなく、シリアライズ仕様が形式化されていない」「stateful/stateless の差異が大きい」等の課題が露呈し、4 月 22 日コールで 「Partial Evaluation は 1.0 Final から外し、1.1 で並行開発」 との結論に到達。Authorization API 1.0 Final のスコープ確定における重要な決定
  • Search API のセマンティクス整流化(Issue #269 / #270 / #271 / #272 / #291 を PR #292 で一括解決、#277 は PR #289 で別途解決) — identitymonk(Jeff Lombardo)と krotscheck から Draft 03 の Search API に関する複数 issue が 4 月前半に一斉起票され、PR #292(4 月 18 日マージ)で (1) Subject Search における indirect policy 取り扱い、(2) Resource Search における同上、(3) policy 条件が request 条件のスーパーセットになる場合の表現、(4) Deny effect の扱い、(5) 3-tuple/4-tuple 用語の typo が一括解決。さらに PR #289(4 月 16 日マージ)で /access/v1/resource/search という不整合パスを /access/v1/search/resource に修正し Issue #277 を解決

加えて、4 月 1 日には Curity が WG 非参加企業として AuthZEN を IdP Token Issuance フローに組み込んだことが発表され、4 月 15 日には AWS が Amazon Verified Permissions 用 AuthZEN Draft-02 互換インターフェースをオープンソース化(aws-samples/sample-authzen-interface-verified-permissions)するなど、外部実装の拡大も顕著であった。Michiel Trimpe(VNG Realisatie)は 4 月 1 日に 「AuthZEN は Veza / Axonius / SailPoint / Saviynt のような entitlement 分析製品(Search API のみで Evaluation を持たない)の compliance を扱うべきか」 という問題を提起し、後の AuthZEN compliance プロファイル定義の起点となった。

2. 公開された仕様・ドラフト改訂

2025 年 4 月中の AuthZEN 仕様の主要な動きは以下の通り:

  • Draft 03 の publish 状態: 4 月 22 日コール議事録によれば「Draft 03 は release されたが、WG ページに公開反映するための manual な作業がまだ必要」と Gerry Gebel が報告(議事録 2025-04-22 より)。これは Authorization API draft03 が Identiverse interop の実装ベースとして fix された状態であることを意味する
  • Draft 04 への番号繰り上げ: 4 月 15 日 PR #287(Omri Gazitt)で main ブランチが Draft 04 へ移行。Issue #249 で報告されていた example 6.2.4 の文脈整合性問題も同 PR で修正
  • Search API セマンティクス明確化: PR #292(4 月 18 日マージ)が Issue #269 / #270 / #271 / #272 / #291 を一括解決
  • Search API パス整合化: PR #289(4 月 16 日マージ)が Issue #277 を解決し、Subject / Action / Resource の全エンドポイントを /access/v1/search/<element> の形式に統一
  • PDP Metadata Discovery の段階的導入: PR #276(4 月 11 日マージ)→ PR #288(4 月 15 日 revert)→ PR #290(4 月 24 日再マージ)。最終的に Discovery feature は 「議論用」として Draft 04 上に統合
  • その他の小規模 PR: PR #294(authzen-interop.net ドメイン移行、4 月 18 日マージ)、PR #295(typo 修正、4 月 20 日マージ)、PR #296("robotic" → "machine" identity の用語統一、Issue #42 解決、4 月 21 日マージ)、PR #298(Alex Babeanu の連絡先更新、4 月 24 日マージ)、PR #302(xml2rfc 警告の markdown 修正、4 月 24 日マージ)、PR #303(Document History セクション更新、4 月 24 日マージ)

GitHub openid/authzen リポジトリの 4 月活動実績:

  • 新規 issue: 13 件(#269 / #270 / #271 / #272 / #277 / #278 / #286 / #291 / #299 / #300 / #301 / #304 / #305)
  • 新規 PR: 26 件(dependabot 自動 PR を含む。すべて 4 月末以降にクローズ/マージ済)
  • 4 月内マージの主要仕様 PR: #276 / #287 / #288 / #289 / #290 / #292 / #294 / #295 / #296 / #298 / #302 / #303(加えて dependabot 系の自動更新 PR)

仕様レイヤでは PR #287 と PR #292 が中核であり、Draft 04 の出発点として 「未解決 issue を Draft 04 で集約解決し、Identiverse 後に Implementer's Draft 投票へ進む」 という戦略を実装に落とし込んだ月となった。

3. ミーティングと議論

AuthZEN WG は 4 月の通常コールを以下の通り開催した。議事録は ML(pipermail)に投稿されており、一部は HackMD @oidf-wg-authzen にも同期される。

4 月 1 日(火)定例コール(Gartner London recap)

  • 議題告知: Agenda for April 1(Gerry Gebel、4 月 1 日)。4 議題: (1) Gartner IAM London の interop recap、(2) Identiverse での interop 機会、(3) Partial Evaluation 仕様アップデート、(4) GitHub 上のオープン issue 確認
  • 議事録: Notes from today's call(David Brossard、4 月 1 日)
  • Gartner IAM London 2025 interop の振り返り:
    • 7 つの API gateway が参加(WSO2、Layer 7、AWS API Gateway、Zuplo ほか)」「100 名超が AuthZEN Todo App デモを目撃」と成功を共有
    • David Brossard が同日 Fwd: FINAL ARTIFACTS for printing で当日の印刷資料一式(Stand QR コード入り、AuthZEN Datasheet v6、Gartner IAM London 2025 Poster)を ML に共有
  • Identiverse 2025 計画: 6 月 3〜6 日ラスベガスでの 火曜 13:30 のパネルセッション が決定。WG はこの締切に合わせて Search API 仕様を Final 化することを目標に据える
  • EIC 2025 計画: 5 月 6〜9 日ベルリンに複数メンバーが参加、ワークショップセッションと登壇枠を確保
  • 未解決 issue の取り扱い: Issue #272(Search API + Deny effect の扱い)について「Search 由来の identifier は通常の evaluation API に通せば肯定的判定が返る、ということを明確化する必要がある」と整理
  • 次回アクション: Partial Evaluation 専用のブレイクアウトと、open issue 集中処理用のオプショナルセッションをスケジュール

4 月 8 日(火)定例コール

  • 議題告知: Agenda for April 8, 2025(Gerry Gebel、4 月 8 日)。2 議題: (1) Identiverse interop シナリオレビュー、(2) Partial Evaluation のウォークスルー(HackMD ドキュメント)
  • 議事録: Notes from today's call(Gerry Gebel、4 月 8 日)。続いて Julio Auto De Medeiros が #000326 で ucast 言及部の補足を質問、David Brossard が #000327 で応答
  • 参加者: Gerry Gebel、Eve Maler、Jeff Lombardo、Omri Gazitt 等
  • Identiverse 2025 interop 計画: PDP ベンダーの参加最大化を意図したコーディネーションシナリオを review、ルール最終化方針を策定
  • Draft 03 vs Draft 04 のスケジュール: Omri Gazitt が 「未解決の issue は Draft 04 で対応する。interop は publish 済の Working Group Draft である Draft 03 ベースで進める」 と方針を確定(議事録 2025-04-08 より)。これは 4 月 22 日コールでの Partial Evaluation 切り出し決定や、4 月 15 日 PR #288 revert(Draft 04 ベースで再起票せよ)の根拠となる方針
  • Partial Evaluation サブグループ: 「action を Partial Evaluation 仕様から取り除く」「ucast を partial evaluation response の serialization 候補として参照」と論じ、4 月 22 日までに IETF-ready 版を提示 する目標に合意

Open issue は Draft 04 で対応する。interop は publish 済の Working Group Draft である Draft 03 ベースで進める。Partial Evaluation サブグループは 4 月 22 日までに IETF-ready 版を提示する。(議事録 2025-04-08 より)

4 月 10 日(木)Partial Evaluation 専用ブレイクアウト

  • 告知: Partial Evaluation meeting running as we speak(Jeff Lombardo、4 月 10 日)。AWS Chime 上で開催、録画予定
  • 議事録: David Brossard による Notes from Partial Evaluation meeting、補足コメントとして Michiel Trimpe(#000333)と Christopher Hendrix(Styra、#000334
  • 論点 1: Partial Evaluation の現状認識: 「partial evaluation は依然 experimental。顧客が試すが too raw だと感じて諦めるケースが多く、採用が限定的」(David Brossard)
  • 論点 2: ユースケース整理:
    • Search 最適化(database query へのマッピング)
    • 早期 deny チェック(不要な属性取得を回避する hopelessness check)
    • Policy 変更のインパクト分析
    • Access review(特定ユーザーが何を実行できるかを示す)
  • 論点 3: シリアライズ形式:
    • ucast が候補として浮上したが、(1) 標準化されていない、(2) オープンソースプロジェクト側に serialization format の正式定義がない、(3) 最終コミットが約 2 年前で開発が停滞、という課題が指摘される
    • Michiel Trimpe: 「ucast プロジェクトには serialization format がない。Styra が JSON 実装を documented しているがそれは Styra 側の規約」(#000333
    • Christopher Hendrix(Styra): 「ucast は formal な定義を欠いていたため、Styra が implicit な syntax を documented した。共通統合のためにオープンソース response format に標準化することを選んだ」(#000334
    • Cedar 側は既に partial evaluation response の JSON 表現を produce しているため、ドラフト仕様との比較対象として議論
  • 論点 4: ターゲット市場: SQL ベンダー、Trino、Immuta、Snowflake、DBaaS 等のデータプラットフォームを partial evaluation の主たる採用先 として識別。「データフィルタリング focus」が戦略となる
  • stateful/stateless の差異: 実装が stateful か stateless かによって partial evaluation の有用性が大きく変わる、という構造的観察が共有された

Partial Evaluation は experimental。ucast は serialization format がオープンソースプロジェクトに定義されておらず、最終コミットも約 2 年前で停滞。データプラットフォーム(SQL、Trino、Snowflake 等)が主要採用先。stateful/stateless で実装上の有用性が変わる。(Partial Evaluation ブレイクアウト 2025-04-10 より)

4 月 15 日(火)定例コール

  • 議題告知: Agenda for April 15(Gerry Gebel、4 月 15 日)。Partial Evaluation の継続討議(David B、Alex O、Vladi、Jeff、Darrin の事前 call を踏まえて)と Identiverse interop シナリオの最新状況
  • 追加議題(#000339: Jeff Lombardo が「Metadata エンドポイント提案、Search 関連 Issue #286 と #277、issue 蓄積への対応方針」を追加議題として提示
  • 議事録: 4 月 15 日コール用の独立した議事録投稿は ML 上で確認できないが、当日中に PR #287(Draft 04 初期コミット)と PR #288(PR #276 の revert)が立て続けに作成・マージされており、コール内で 「Draft 04 を切り、Discovery feature は 04 ベースで再提出」 という決定が行われたことが PR description から逆算できる
  • PR #288 revert の理由: Omri Gazitt は revert PR description で 「PR #276 は (1) version 04 として作成すべきだった、(2) merge 前に WG レビューを経るべきだった」 と明記。Identiverse interop 用の Draft 03 を保護しつつ、未来の議論は Draft 04 へ集約する原則を確立

4 月 22 日(火)定例コール

  • 議題告知: Agenda for April 22(Omri Gazitt、4 月 22 日)。4 議題: (1) Identiverse interop アップデート(David、20 分)、(2) Pre-Final 未解決 issue 5 件、(3) Partial Evaluation の取り扱い判断(10 分)、(4) Metadata Discovery 提案(Jeff、15 分)
  • 議事録: Notes from meeting on April 22(Gerry Gebel、4 月 22 日)
  • 参加者: Omri Gazitt、Michiel Trimpe、Alex Babeanu、Jeff Lombardo、Victor Lu、David Brossard、Gerry Gebel、Vladi Berger、George Fletcher、Elie Azerad、Dave Hyland の 11 名
  • Draft 03 publish 状況: 「Authorization API Draft 03 がリリースされたが、WG ページへの publish には manual な作業がまだ必要」と報告
  • Identiverse interop 開発進捗: 「異なる search オプションを選択して conformant request を選択 PDP に送れる demo アプリを構築中」「ホスト URL で動作版が available。Final 版は AWS ホスティングを予定」
  • Pre-Final 未解決 issue 5 件:
    1. Response の context reasoning(David オーナー)
    2. Subject identifier の JWT プロファイル approach
    3. Search response の追加項目(GitHub 2 issue またがり)
    4. Evaluation セマンティクスの clarification
    5. Policy routing メカニズム
  • Partial Evaluation の処遇決定: 「Partial Evaluation を 1.0 Final ではなく 1.1 へ繰り延べる」 と推奨。1.0 の遅延を避けつつ並行開発を可能にする戦略
  • Metadata Discovery: Jeff が .well-known エンドポイント での実装提案を発表、後続の議論は ML で継続

Partial Evaluation は 1.0 Final から外し、1.1 で並行開発する。これにより Authorization API 1.0 の遅延を避ける。(議事録 2025-04-22 より)

4 月 29 日(火)定例コール(Identiverse interop 集中レビュー)

  • 議題告知: Agenda for April 29(Gerry Gebel、4 月 29 日)。Interop ドキュメントの最新変更点と open comments のレビューに集中
  • 議事録: Notes from call on April 29, 2025(Gerry Gebel、4 月 29 日)
  • 参加者: Omri Gazitt、Alex Olivier、Vladi Berger、Gerry Gebel、Roland Baum、Victor Lu、Jeff Lombardo、David Brossard、Anja、Phillip Messerschmidt の 10 名
  • Search API ルール解説: David が action / user / resource にまたがる search ルールを説明
  • 新デモアプリのアーキテクチャ: 「従来の ToDo アプリのフレームワークから移行し、本 interop セッション用に新規 demo app を構築」と方針を共有。情報モデル、データ構造、request/response payload を検討
  • データ管理: ユーザーデータは GitHub リポジトリ上で JSON 形式の record として管理。Action 用 response payload 構造はミーティング後に finalize 予定
  • アクションアイテム:
    • David: 過去実装に類似した runner ツールを開発
    • David + Alex: デモアプリ refinement の継続
    • Jeff: ホスティング環境のデプロイ準備完了
    • Action 用 response payload 仕様: ミーティング後に確定

従来の ToDo アプリから離れ、Identiverse interop 用の新規デモアプリを構築。ユーザーデータは GitHub の JSON record として管理。(議事録 2025-04-29 より)

4 月 29 日コールは Identiverse 2025 interop の 「ToDo アプリからの離脱と新 demo app への移行」 が公式化された重要回であり、後の 5 月 9 日 PR #285(Search Demo App 基盤)マージ、5 月 13 日 PR #318(Search Demo Interop App 本体)マージにつながる起点となった。

4. メーリングリストの主要スレッド

openid-specs-authzen ML(2025 年 4 月アーカイブ)の 4 月総投稿数は 33 件。Identiverse interop 準備、Partial Evaluation 切り出し、PDP Metadata Discovery 議論、外部実装拡大の 4 軸で活発に議論された。

4.1 Search API interop with entitlement/access management solutions — 4 月 1 日(3 通)

  • 発端(4 月 1 日 19:20 UTC): Michiel Trimpe(VNG Realisatie)が Gartner IAM 視察で得た問題意識を共有。「Axonius や Veza のような entitlement / access right 分析ツールは、本質的に Subject-Action-Resource entitlement / access graph 上の Search API フロントエンドとして機能している。AuthZEN は Evaluation を必ずしもサポートしないが Search API を消費・提供する製品 の compliance を扱うべきではないか」と提案
  • David Brossard の応答(#000321: 賛意を表明。「Veza、Axonius、SailPoint、Saviynt のような企業に reach out しよう」「これらは AuthZEN の API を inform でき、適用範囲を broaden できる」「SailPoint の Mike Kiser は OpenID SSF 経由で既に接点がある」と返答。Trimpe にこのカテゴリ向けの outreach メッセージング策定を依頼
  • Alex Babeanu の応答(#000322: 重要な論点を提起。「Search のみサポートし eval を持たない実装が AuthZEN compliance を主張できるか?」と compliance 定義のギャップを指摘。さらに「ユーザー自身の entitlement を search するのと、ユーザーがリソースを search するのは別シナリオ」と use case の構造的差異も明確化
  • 意義: AuthZEN compliance プロファイルにおける 「Search-only 実装の扱い」 という 1.0 Final 化に向けた compliance 設計上の論点が、外部参加者(Trimpe)からの問題提起によって正式に WG 議論に乗った最初の記録。後の Search API spec 強化(PR #292)と compliance 議論の前段に位置する

4.2 Submission of a PR for PDP Metadata Discovery feature — 4 月 9〜15 日(5 通)

  • 発端(4 月 9 日): Jeff Lombardo(AWS、identitymonk)が PR #276 を起票。「Draft-03、RFC 8414、draft-ietf-oauth-resource-metadata に基づく PDP Metadata Discovery 機能の最初の提案」。4 月 8 日コールでの議論を踏まえた実装
  • Jeff Lombardo フォローアップ(#000335、4 月 11 日): 「IANA reference エラーは解決した。merge を急ぐつもりはない、コミュニティ review と feedback を求めたい」と慎重姿勢
  • David Brossard の応答(#000336、4 月 11 日): 短く「Approved and merged」と PR #276 の merge を報告
  • Michael Schwartz(Gluu)の応答(#000337: 「Great work Jeff! Looks good to me!」と賛同し、想定 JSON 構造例(issuer URL、access evaluation endpoint、search endpoint、サポート entity types として subjectresource)を共有
  • Omri Gazitt の応答(#000341、4 月 15 日): 「4 月 15 日 WG ミーティングを受けて revert PR #288 を作成した。original の PDP Metadata Discovery feature submission は (1) WG レビュー不足、(2) 旧 draft 版ベースという 2 つの問題があった。Jeff が来週再度プレゼン後、Draft 04 ベースで新 PR を提出する」と説明
  • 意義: AuthZEN WG における 「メイン仕様への変更は WG レビューを経て Draft 04 ベースで提出する」 というガバナンスプロセスが明文化された記録。技術的内容は 4 月 24 日 PR #290(Discovery feature の議論用版)として再統合され、後の .well-known/authzen-configuration エンドポイント定義へとつながる

4.3 Partial Evaluation meeting running as we speak — 4 月 10 日(4 通)

  • 発端: Jeff Lombardo(AWS)が AWS Chime 上の Partial Evaluation discussion を ML 経由で告知、即時参加を促す
  • 議事録投稿(#000332: David Brossard が Cedar における partial evaluation の議事録を ML に共有
  • Michiel Trimpe(#000333)と Christopher Hendrix(Styra、#000334)の補足: ucast の標準化欠落と Styra による implicit 定義の経緯を明確化
  • 意義: Partial Evaluation を 1.0 Final からスコープアウトする 4 月 22 日決定の 技術的根拠を提供したブレイクアウト。ucast 検討、データプラットフォーム適用先識別、stateful/stateless 構造分析が結論導出のエビデンスとなった

4.4 Curity adds support for AuthZEN in IdP Token Issuance flow — 4 月 8 日(2 通)

  • 発端: David Brossard が Curity 公式ページ「authzen-token-procedure」を ML に共有。「WG に参加していない企業がこれほど早く AuthZEN を採用するのは great news」と述べる
  • Omri Gazitt の応答(#000330: 賛意のみの短い返信
  • 意義: 2025 年初頭時点で AuthZEN は WG 加入企業の自社実装が中心だったが、本件は WG 外部の Identity ベンダー(Curity)が IdP Token Issuance フロー内に AuthZEN 呼び出しを統合した最初期の事例 として記録。Search API ベンチマーク選定(5 月以降の interop 拡張対象)の参考にもなる

4.5 AWS opensourced its AuthZEN Draft-02 interface to Amazon Verified Permissions — 4 月 15 日(2 通)

  • 発端: Jeff Lombardo(AWS)が「AWS が AuthZEN Draft-02 interface for Amazon Verified Permissions をオープンソース化した」と発表。リソース提供:
    • Blog post: 「how to support openid authzen requests with amazon verified permissions」
    • GitHub: aws-samples/sample-authzen-interface-verified-permissions
  • Omri Gazitt の応答(#000342: 「Woohoo!!! Well done!」と歓迎
  • 意義: AWS という大規模 IaaS / PaaS ベンダーが Amazon Verified Permissions(Cedar ベースの managed authorization)に AuthZEN 互換 interface を公開した ことは、(1) AuthZEN の Cedar / AVP 連携を実証、(2) Draft-02 ベースという「枯れた版」での実装サンプルを業界に提供、という二重の意味を持つ。後の Identiverse 2025 interop で Cedar / AVP 系実装が参加する伏線

4.6 [Discovery feature] Discussion about the right attribute to represent the pdp related to the metadata document — 4 月 23 日(#000347、単発)

  • 発端: Jeff Lombardo が Issue #299 を起票したことを ML に告知。「4 月 22 日 WG コールでの議論の継続として、PDP メタデータドキュメントを表現する正しい属性は何か」を ML に投げる
  • 意義: PDP Metadata の中核属性として OAuth 由来の issuer を採用すべきか否かの 命名 + IANA 登録への影響を含む議論の独立 issue 化。後の Discovery 仕様策定における重要論点

5. GitHub 上の議論

openid/authzen リポジトリの 2025 年 4 月活動: 新規 issue 13 件(#269 / #270 / #271 / #272 / #277 / #278 / #286 / #291 / #299 / #300 / #301 / #304 / #305)、新規 PR 26 件(dependabot 自動 PR を含む)。issue は Search API のセマンティクス整流化に集中、PR は Draft 04 移行・Discovery feature・interop ドメイン整備が中心。Final 化の起点となった主要 issue / PR を以下に整理する。

5.1 openid/authzen#272 — Search API: Effect of Deny on result set(identitymonk、4 月 1 日起票・PR #292 で 4 月 18 日クローズ)

  • 発端: Jeff Lombardo(identitymonk)が Draft 03 の Subject Search のあいまいさを指摘。「Alice が account 123 read の Allow(時間窓条件付き)、Bob が同じ Allow + 全 action / 全 resource を Deny する blanket policy を持つとき、Search API は何を返すべきか?」と問題提起
  • 論点: (1) access を grant する policy のみ返す(deny を filter out)か、(2) effect に関わらず matching policy 全てを返すか
  • 解決: PR #292 で「Search API は request の subject + action + resource に Allow を返す identifier の集合 を返却する。Deny policy が overlap する場合は集合差として表現する」とセマンティクスが明確化
  • 意義: AuthZEN の Search API が 「policy 探索」ではなく「許可される identifier の集合探索」 であることを規範化した重要 issue

5.2 openid/authzen#270 / #271 — Search API における indirect policy / mix of conditions の取り扱い(identitymonk、4 月 1 日起票・PR #292 で 4 月 18 日クローズ)

  • #270 発端: 「resource type(例: account)に直接 policy がないが、その type だけが持ちうる属性 / または上位エンティティ(organization)に policy がある場合、Resource Search API は何を返すべきか?
  • #271 発端: 「policy 条件が request 条件のスーパーセットになる場合(policy が時間窓 0-27 時 + IP=1.2.3.4、request は timestamp のみ)、matching として返すべきか? また、policy の追加条件をどう response で signal するか?
  • 解決(PR #292): 両 issue とも Draft 04 のセマンティクス改訂で明確化
  • 意義: Draft 03 が Subject Search の単純例しか持たなかった状態から、ABAC / ReBAC 系の複雑シナリオでの規範挙動を Draft 04 で整備 した記録。Identiverse interop 参加 PDP(Cedar、Topaz、PlainID、Apache KIE 等)の実装齟齬を防ぐための spec 強化

5.3 openid/authzen#277 / #286 — Search API パスの不整合(krotscheck(4 月 12 日起票)/ identitymonk(4 月 15 日起票)。#277 は PR #289 で 4 月 16 日クローズ、#286 は PR #290 で 4 月 24 日クローズ)

  • 発端: 12.1.7 の例で Subject / Action は /access/v1/search/<element>、Resource のみ /access/v1/resource/search という不整合が指摘される。#286 では識別連携に「Search API は element ごとに異なる endpoint を持つべきか?」という追加論点も提起
  • 解決: PR #289(Omri Gazitt、4 月 16 日マージ)で全 endpoint を /access/v1/search/<element> 形式に統一し #277 を解決。#286 は PR #290(Discovery feature 再起票)でメタデータ側に Subject / Action / Resource ごとの個別 endpoint advertize を採用したことで解決
  • 意義: Authorization API HTTP binding の URL 構造規範化。後続の policy_decision_point メタデータパラメータ + search_<element>_endpoint メタデータパラメータ群 設計の前提を整備した

5.4 openid/authzen#PR #287 — Draft 04 initial commit(ogazitt、4 月 15 日起票・即日マージ)

  • 発端: Omri Gazitt が Draft 03 → Draft 04 への番号繰り上げ を実施。同時に Issue #249(example 6.2.4 と response context の整合性問題)を修正
  • 意義: AuthZEN Authorization API が Working Group Draft 03(Identiverse interop の実装ベース) を凍結しつつ、議論用ブランチとして Draft 04 を確立した瞬間。以降の全ての仕様変更は Draft 04 に対して行われる規律を確立

5.5 openid/authzen#PR #288 — Revert "PDP Metadata Discovery feature"(ogazitt、4 月 15 日起票・即日マージ)

  • 発端: Omri Gazitt が PR #276(4 月 11 日マージ済)を revert。理由を 「(1) Draft 04 として作成すべきだった、(2) WG レビューを経るべきだった」 と明記
  • 意義: AuthZEN WG の ガバナンス境界線が初めて公式 PR で示された記録。「機能の良し悪し」ではなく「プロセス整合性」を理由に revert を行うことで、Authorization API 1.0 Final 化に向けた Draft 03 凍結 + Draft 04 集約 の規律を確立

5.6 openid/authzen#PR #292 — Clarified search semantics(ogazitt、4 月 18 日マージ)

  • 発端: Issue #269 / #270 / #271 / #272 / #291(3-tuple / 4-tuple typo)を 一括解決する横断 PR(#277 はパスの不整合のため別途 PR #289 で解決)
  • 意義: Search API の Final 化に必要なセマンティクス記述を 1 PR で集中整備。Draft 04 で「Search API spec」を Final 候補として完成させる戦略の中核

5.7 openid/authzen#PR #290 — Discovery feature PR for discussions(identitymonk、4 月 24 日マージ)

  • 発端: PR #276 / #288 のサイクル後、Jeff Lombardo が Draft 04 ベースで Discovery 機能を再提出。@ogazitt@mtrimpe との review サイクルで以下を整備:
    • 命名規約(issuerpolicy_decision_point
    • エンドポイントパラメータの formatting と整合性
    • ドキュメント明確化と typo 修正
    • 初期 Metadata 実装からの Partial Evaluation サポート除去(4 月 22 日決定との整合)
  • 意義: AuthZEN の PDP Metadata Discovery エンドポイント が初めて Draft 04 上で「議論用」として正式に組み込まれた。命名・パラメータ群(policy_decision_pointsearch_subject_endpointsearch_action_endpointsearch_resource_endpoint)の合意形成は、後続の .well-known/authzen-configuration エンドポイント定義に直結

5.8 openid/authzen#299 — Is issuer the right attribute in the Metadata document?(identitymonk、4 月 24 日起票)

  • 発端: 4 月 22 日コールの議論を反映し、issuer 属性名が PDP メタデータに適切かを問う独立 issue として起票。OAuth 2.0 Authorization Server Metadata(RFC 8414)と OAuth 2.0 Protected Resource Metadata の用語踏襲が IANA 登録要件と整合するか、PDP に固有の語彙を導入すべきか、という命名論争
  • 意義: 後の policy_decision_point 属性採用の起点。AuthZEN が OAuth 系 metadata 仕様の用語を再利用しつつも、PDP 固有のセマンティクスに合わせて attribute 名を再設計した経緯の出発点

5.9 openid/authzen#304 — Inconsistency in HTTP subject/resource/action request payloads(davidjbrossard、4 月 25 日起票)

  • 発端: Subject /access/v1/search/subject、Action /access/v1/search/action、Resource /access/v1/resource/search の 3 endpoint paths の不整合(11.1.5 / 11.1.7 / 11.1.9 セクションで記述)。PR #289 がパスの典型例を修正した後の 継続クリーンアップ として起票
  • 意義: Final 化前の HTTP binding ドキュメント整合性チェックリストの一部として機能

5.10 openid/authzen#305 — Could we (should we) simplify the Action Search API response?(davidjbrossard、4 月 29 日起票)

  • 発端: David Brossard が Action Search API レスポンスのフラット化を提案。
    • 現行: "results": [ {"name": "can_read"}, {"name": "can_write"} ]
    • 提案: "results": ["can_read", "can_write"]
  • 意義: Action 型に固有の単純化議論。Authorization API 1.0 Final 化での "action は単純な name 文字列 / "subject" や "resource" は type+id 構造を持つ" という非対称性 を許容するかを問う規範論点。後の Draft 04 改訂議論に持ち越し

6. 関連イベント

Gartner IAM London 2025(3 月 18〜20 日、振り返りは 4 月 1 日コール)

3 月後半に開催された Gartner IAM London 2025 における AuthZEN API Gateway interop の振り返りが 4 月 1 日コールで共有された:

  • 参加 API gateway 7 製品: WSO2、Layer 7、AWS API Gateway、Zuplo を含む 7 つの API gateway が AuthZEN 呼び出しのインターオペラビリティを実証
  • 来場者規模: 100 人超が AuthZEN Todo App デモを目撃
  • 印刷成果物: Stand QR コード入りバナー、AuthZEN Datasheet v6、Gartner IAM London 2025 Poster の 3 種が ML 上で公開(#000318

EIC 2025 準備(5 月 6〜9 日、ベルリン)

4 月時点で複数メンバーが EIC 2025 への参加を確定し、ワークショップセッションと登壇枠を確保。AuthZEN は KuppingerCole 主催 EIC で「API Gateway 経由の AuthZEN interop の Gartner London 結果を欧州オーディエンスへ拡散」する計画を立てる。

Identiverse 2025 準備(6 月 3〜6 日、ラスベガス)

  • 火曜 13:30 のパネルセッション が Identiverse 側で確保された
  • WG は Identiverse の締切に合わせて Search API 仕様を Final 化 することを 4 月 1 日コールで方針化
  • 4 月 29 日コールでは 「ToDo アプリから新デモアプリへの移行」 が決定。後の 5 月 9 日 PR #285(Search Demo App 基盤)と 5 月 13 日 PR #318(本体)の起点

Curity の AuthZEN 採用発表(4 月 8 日)

Identity ベンダーである Curity が IdP Token Issuance フロー内で AuthZEN を活用した認可呼び出しを実装し、authzen-token-procedure というリソースページとして公開。WG 外の Identity ベンダーによる早期実装事例として注目された。

AWS の Amazon Verified Permissions 用 AuthZEN Draft-02 interface オープンソース化(4 月 15 日)

  • Blog post: AWS 公式ブログ「how to support openid authzen requests with amazon verified permissions」
  • GitHub サンプル: aws-samples/sample-authzen-interface-verified-permissions
  • 意義: AWS が Amazon Verified Permissions(Cedar ベースのマネージド認可)に AuthZEN Draft-02 互換 interface のサンプル実装を公開 した。AVP 利用者は self-implement することなく AuthZEN 互換 interface を導入できるようになる

Partial Evaluation 専用ブレイクアウト(4 月 10 日)

AWS Chime ベースの Partial Evaluation discussion が David Brossard / Jeff Lombardo / Michiel Trimpe / Christopher Hendrix(Styra)等の参加で実施され、ucast の標準化欠落、データプラットフォーム適用戦略、stateful/stateless 課題が共有された。これが 4 月 22 日コールでの 1.0 Final 化スコープからの切り出し決定を技術的に裏付けた。

7. 今後の予定(2025 年 4 月末時点の視点)

4 月末時点の議事録および ML 上で言及されていた次月以降の予定:

  • EIC 2025(5 月 6〜9 日、ベルリン): ワークショップ + 登壇セッション。複数メンバーが現地参加
  • Identiverse 2025(6 月 3〜6 日、ラスベガス): 火曜 13:30 パネル。Search API 仕様の Final 化と新 demo app での interop 披露 を目標
  • Search Demo アプリの新規構築: 従来の ToDo アプリから移行、GitHub リポジトリ上の JSON record としてユーザーデータを管理(4 月 29 日コール決定)。David / Alex Olivier が refinement、Jeff がホスティング担当
  • Pre-Final 5 大未解決 issue の集中処理:
    1. Response context reasoning(David オーナー)
    2. Subject identifier の JWT プロファイル approach
    3. Search response の追加項目(GitHub 2 issue またがり)
    4. Evaluation セマンティクスの clarification
    5. Policy routing メカニズム
  • Partial Evaluation の AuthZEN 1.1 化: 1.0 Final から外し、1.1 で並行開発(4 月 22 日決定)
  • PDP Metadata Discovery の Draft 04 統合: Issue #299 の issuer 属性論争を経て、.well-known エンドポイント定義へ進む
  • Issue #305(Action Search response 簡素化): 5 月以降コールで継続討議
  • エンタイトルメント / アクセス管理ベンダーへの outreach: Veza / Axonius / SailPoint / Saviynt 等への接触を Michiel Trimpe が主導

8. 参考情報源