OpenID Foundation AuthZEN WG 活動レポート (2025年5月)

執筆日: 2026-04-28（遡及執筆）

1. 概要

AuthZEN WG（Authorization Working Group）は、PEP（Policy Enforcement Point）と PDP（Policy Decision Point）の間のインタラクションを標準化する Authorization API 仕様を策定している Working Group である。2025 年 5 月時点の共同議長は Omri Gazitt（Aserto）、David Brossard（Axiomatics）、Gerry Gebel（Strata Identity）の 3 名で、定例コールは火曜 11am PT に開催されている。

2025 年 5 月の AuthZEN WG は、5 月 6〜9 日にベルリンで開催された European Identity and Cloud Conference (EIC) 2025 を通過点としつつ、6 月 3〜6 日の Identiverse 2025 に向けた Search API インターオペラビリティデモの最終整備に集中した月 であった。openid-specs-authzen ML への 5 月分投稿数は 21 件（2025 年 5 月アーカイブ の 000350〜000370）と、6 月（24 件）と同水準。定例コールは 5 月 6 日（EIC 出張中につき実質的に省略され、5 月 9 日金曜の Berlin breakout で代替）、5 月 13 日、5 月 20 日、5 月 27 日に開催され、月内 3 回の通常コールに加えて EIC 会場での breakout が 1 件加わった構成となった。

技術議論の主軸は次の 4 点であった:

• EIC 2025 ベルリン breakout と Joseph Heenan との Conformance Testing 計画 — 5 月 9 日（金）に EIC 会場 KuppingerCole 提供の C04 ルームで AuthZEN メンバーが集合し、OpenID Foundation の認証テスト統括 Joseph Heenan と直接議論。夏季中に conformance テストを定義、晩秋に仕様を仕上げ、3 ベンダーが dry-run、その後 WG 承認を経て差別化価格付き（メンバー / 非メンバー）で公開 という認証ロードマップの素案が固まった
• Resource Identifier の取り扱い議論（後の Issue #329 起点） — 5 月 8 日に David Brossard が「まだ存在しないリソース（loan 作成シナリオ）に対する resource id 必須要件」を ML へ投げかけ、Allan・Andrew Clymer・Andres Aguiar・David Hyland・Jeff Lombardo・Julio Auto De Medeiros・Mark Marciante から 9 通の応答を得る最大級の技術スレッドへ発展。null/-1/0 のプレースホルダ案、リソースを上位エンティティ（製品 ID、Region、組織）にする案、「create する API そのものをリソースに、invoke を action にする」モデリング案（Bloomberg / Julio Auto De Medeiros）、create と update を異なるパーミッションとして扱う立場（Mark Marciante）など、設計上の根本的な選択肢が出揃う形となった。スレッドは 5 月末に krotscheck が Issue #329 として GitHub に正式起票し、6 月 24 日コールでの方針決定（「resource id は optional、create 以外では recommend」）の起点となる
• Identiverse 2025 Search API インターオペラビリティ実装の追い込み — 5 月 13 日にコール直前で Search Demo 関連 PR 6 本（#316〜#320）が一斉マージ。同日に WSO2 の interop 結果が PR #323 で追加。5 月 20 日コール時点で Cerbos / Topaz / PlainID / Apache KIE の 4 実装が完了、Ping / IndyKite / WSO2 / Permit.io / EmpowerID / Axiomatics の 6 実装が作業中という進捗が共有された。5 月末には PingID・EmpowerID・Axiomatics の結果が PR #331・#332 でマージされ、Identiverse の 「9 つの interop 実装」体制 が出揃う直前の段階に到達
• Pagination 表現の柔軟化提案（Issue #325） — 5 月 20 日に Alex Babeanu が「pagination の token 構造を normative に固定するのは硬直的すぎる。offset/limit など別アプローチが取れない」として Issue #325 を起票。これが 6 月 24 日コールでの「page オブジェクトに type フィールド導入」決定、さらに 7 月の PR #341（context + pagination 統合改訂）の起点となる

加えて、5 月 27 日コールには Michiel Trimpe（VNG Realisatie、オランダ） が Rajiv Rajani（iSHARE Foundation） を初めて連れてきて、ISO 標準化中のデータスペース向け認可仕様と AuthZEN の関係性、特に「AuthZEN 評価結果のトークン化（tokenization of AuthZEN evaluations）」の連携可能性 を議論した。これは後の AuthZEN 1.1 における partial evaluation 計画と関連付けられた最初の正式な ML 投稿である。OpenID Foundation の Membership Director Paul Briault からの 2025 年向け Directed Funding 緊急要請（5 月 21 日）も流入している。

2. 公開された仕様・ドラフト改訂

2025 年 5 月中に openid.net/specs 配下で AuthZEN の新規仕様ドラフトの公開・パブリックレビュー開始は確認できなかった。5 月の作業は GitHub openid/authzen リポジトリの Editor's Draft（main ブランチ、openid.github.io/authzen/ で公開プレビュー）の継続更新と、Identiverse 2025 Search API デモ用ハーネスの構築 が中心である。

GitHub openid/authzen リポジトリの 5 月の活動実績:

• 新規 issue: 2 件（#325 = Pagination methods leeway、#329 = Resource creation when ID is not yet known）。いずれも Identiverse 後の 6 月以降に再点火する論点の起点
• 新規 PR（5 月作成）: 22 本（dependabot 自動 PR を含む。うち 21 本が 5 月内にマージ、1 本がクローズ）
• 5 月内マージ総数: 25 本（5 月作成のうち #309 / #310 / #311 / #312 / #313 / #314 / #316 / #317 / #318 / #319 / #320 / #321 / #322 / #323 / #324 / #326 / #327 / #328 / #330 / #331 / #332 の 21 本に加え、4 月以前作成の #285 / #293 / #306 / #307 が 5 月にマージ）。仕様本文への変更は基本的にゼロで、Search Demo インターオペラビリティ実装が PR の大半 を占めた
• クローズ: PR #315（Search demo app、5 月 12 日に作成者 alexolivier 自身がクローズ。後継として PR #318 へ統合）
• Issue クローズ: #248（identitymonk による「PEP→PDP 間で JWT を tamper-evident container として保持」、5 月 5 日クローズ）

5 月の仕様レイヤでは PR ベースの新規コミットは生まれず、すべての作業は Search Demo App（/interop/authzen-todo-application/）と Search Test Runner（/interop/authzen-search-test-runner/）に集中した。これは「6 月 Identiverse での披露を最優先タスクとし、仕様改訂は Identiverse 後に集中させる」という共同議長の戦略的判断の表れと読める。

3. ミーティングと議論

AuthZEN WG は 5 月の通常コールを以下の通り開催した。議事録は ML（pipermail）に投稿されており、HackMD @oidf-wg-authzen にも同期される。

5 月 6 日（火）: EIC 出張のため通常コール実質省略

5 月 6〜9 日が EIC 2025（ベルリン）開催週であり、共同議長を含む主要メンバーがベルリン現地に集中していたため、5 月 6 日の定例コールは ML 上で正式キャンセル告知が行われていない。代わりに 5 月 9 日（金）の EIC 会場 breakout が実質的な月初ミーティングとなった。

5 月 9 日（金）: EIC 2025 breakout（ベルリン現地）+ Joseph Heenan との Conformance テスト議論

• 告知: Breakout room at EIC（David Brossard、5 月 7 日 06:27 UTC）。「KuppingerCole が金曜午前用に部屋（去年と同じ C04、メインステージ左奥の上階）を提供してくれた。Cerbos のキャンディバーを通り過ぎて（candy を奪取しつつ）C04 まで」と通告。Dave Hyland、Alex（2 名）、Allan、Adam Rusbridge を確認済み参加者として列挙し、PlainID 代表の参加可否を質問
• Alex Babeanu の応答（#000351、5 月 7 日）: "nice, so it's not a legend. Thanks!" と部屋確保の現実性を確認
• David Brossard の補足（#000352、5 月 7 日）: "The room isn't but... I am" と短く返答（5 月 6 日時点で部屋準備が遅れている可能性への含み）

Conformance テスト議論については 5 月 9 日付 Notes from today's call with Joseph Heenan re. conformance tests and certification（David Brossard、5 月 9 日 12:29 UTC）が ML に投稿された。要点:

• 目標: 「AuthZEN にも正式な認証（certification）を確立する」
• テストの粒度: 「新興標準のため、ほとんどの認証テストスイートよりシンプル」となる方針
• 担当: Joseph Heenan のチームが代表してテストを書く。コミュニティからの貢献も歓迎
• 言語: Java（OpenID 既存の conformance suite と同居）
• 成果物所在: hackmd.io/@oidf-wg-authzen/certification-testing にタイムラインとアクションアイテムを記録

HackMD ドキュメントによれば、テスト対象 API は evaluation / evaluations の両方、Subject / Resource / Action Search、および Discovery エンドポイントの 6 領域。HTTP 200（valid request）/ HTTP 400（invalid request）応答の整合性、Search API レスポンスが unordered であること、Discovery エンドポイントスキーマの妥当性を主要検査項目とする。スケジュールは「夏季に conformance テスト定義と認証計画策定 → 晩秋に仕様仕上げ → 3 ベンダーで dry-run → WG 承認 → メンバー / 非メンバー差別化価格で公開」という段階を経る計画。

• Omri Gazitt の同調（#000363、5 月 10 日 03:41 UTC）: 当 conformance/certification 計画への賛意を ML 上で公式に表明

5 月 13 日（火）定例コール

• 議題告知: agenda for May 13, 2025（Gerry Gebel、5 月 13 日 15:50 UTC）。3 議題: (1) EIC recap、(2) Identiverse interop status、(3) Conformance test plans
• 議事録: ML への正式投稿は確認できないが、5 月 13 日に Search Demo 関連 PR 6 本（#316・#317・#318・#319・#320・#323 系列）が GitHub 上で一斉マージされたタイミングは、このコール直後の集中作業を強く示唆する
• 位置付け: EIC の振り返りと Identiverse Search API interop の進捗確認、conformance テスト方針の WG 内共有が中心

5 月 20 日（火）定例コール

• 議事録: Meeting notes for May 20, 2025（Gerry Gebel、5 月 20 日 23:25 UTC）
• 参加者: Gerry Gebel、Julio Auto de Medeiros、Omri Gazitt、Elie Azerad、David Hyland、Victor Lu の 6 名
• 議題: Identiverse interop status の精査
• 進捗共有: AuthZEN Search interop デモアプリ https://search.authzen-interop.net/ の現状をレビュー
  • 完了: Cerbos、Topaz、PlainID、Apache KIE の 4 ベンダー
  • 作業中: Ping（週末完了予定）、IndyKite、WSO2（機能完了済みだがデモアプリ更新待ち）、Permit.io、EmpowerID、Axiomatics
• Omri Gazitt の補足（#000366、5 月 20 日 23:56 UTC）: 「Gerry がこの interop の "project manager" 役を担う。デッドラインとプロジェクトスケジュールに関する周知を担当」と Gerry の役割を公式化

AuthZen Search interop デモアプリの状況を確認。Cerbos、Topaz、PlainID、Apache KIE の 4 実装が完了。Ping、IndyKite、WSO2、Permit.io、EmpowerID、Axiomatics は作業中。(議事録 2025-05-20 より)

5 月 27 日（火）定例コール

• 議題告知: Proposed agenda for 2025-05-27（Omri Gazitt、5 月 27 日 16:02 UTC）。3 議題: (1) Search Interop status、(2) 2H goals for AuthZEN WG、(3) iShare Foundation objectives with respect to AuthZEN
• 議事録: Notes from today's call（David Brossard、5 月 27 日 21:19 UTC）

主要議題と決定事項:

• Search Interop for Identiverse 2025: Ping、EmpowerID、Axiomatics の 3 ベンダーが残作業を完了させて Identiverse でのデモに参加予定。AWS 側がエンドポイントでアプリを更新中、Cerbos は「呼び出されているサービスのエンドポイントを表示するフィールド」を追加。全エンドポイントを secure する ことが推奨された
• 2H ロードマップ:
  • Identiverse 後にフィードバックを集約
  • Implementer's Draft へ向けた Draft 04 の生成 を検討
  • 採用拡大の 4 つの波を追求: PDPs（完了）、API gateways（2025 年 3 月時点で完了）、IdPs、非 IAM プロダクト
• プロファイル開発計画:
  • 業界別プロファイル（healthcare、government）
  • JWT ベースの ID フロー
  • API Gateway Profile
  • AI 関連プロファイル
  • Shared Signals を使った event delivery
• SDK 開発: 採用促進のため AuthZEN クライアントライブラリを各プログラミング言語のリポジトリへ展開
• iShare Foundation プレゼン: Rajiv Rajani が組織横断のデータ交換における iShare の trust framework を解説。署名トークンまたは API コール経由の just-in-time 認可 を強調

2H ロードマップ: フィードバック集約、Implementer's Draft に向けた Draft 04 検討、業界別 / JWT ID flow / API Gateway / AI / Shared Signals event delivery のプロファイル開発、SDK 拡充。(議事録 2025-05-27 より)

5 月 27 日コールは 2025 年下半期の方向性を最初に明文化した重要回であり、6 月 10 日コールで合意される「Discovery Final 化 + Draft 04 + 12 月 Gartner IAM 活用」ロードマップの素案 がここで形を取った。

4. メーリングリストの主要スレッド

openid-specs-authzen ML（2025 年 5 月アーカイブ）の 5 月の総投稿数は 21 件。EIC 出張・Identiverse 準備のため事務連絡が多い中、Resource ID 議論スレッド（9 通）が技術討議の中心となり、その他のスレッドも下半期方針を形成する伏線として機能した。

4.1 A question on resource identifiers for resources that do not exist yet — 5 月 8 日（9 通）

• 発端（5 月 8 日 10:34 UTC）: David Brossard が EIC で出会った実用ケースを共有。「マネージャ Alice が金額 1,234 のローンを作成しようとしている。担当地域と金額上限の制約をポリシーで評価したい。だがローンはまだ作成されていないため id がない。AuthZEN は evaluation API でリソース id を必須にしている」 と問題を提示
• Allan の応答（#000354）: 「customer をリソースの一部として扱う。作成時のリソース id には 0、-1、null などのプレースホルダ値」を提案
• Andrew Clymer (Rock Solid Knowledge) の応答（#000355）: 「resource id を mandatory にすべきではない、もしくは loan のコレクションを id とする」。0 は技術的には機能するが workaround 的だと指摘
• Andres Aguiar (Okta) の応答（#000356）: 「より上位のエンティティをリソースにできないか — Region、customer、bank branch、B2B なら organization など」。プレースホルダではなくセマンティックに親エンティティへ移すアプローチ
• Allan の追加（#000357）: 「create には resource ID がない」と論点を再強調
• David Hyland の応答（#000358）: 「実は resource ID はある — product id」と主張。金額などの条件は product type 自体から導出される。実務的にはローン決定はもっと多くの基準（顧客プロファイル、loan term など）を含むと補足
• Jeff Lombardo (Amazon) の応答（#000359）: 「API Gateway のテストシナリオでは、/loan エンドポイントへの POST リクエストペイロードを、バックエンド処理前に検証する」というケースを提示。loan 作成の認可は金額単独ではなく多数の基準を含むべきと補足
• Julio Auto De Medeiros (Bloomberg) の応答（#000360）: 最も技術的に踏み込んだ提案。「create という action を非存在リソースに適用するのが正しいモデリングか疑問。代わりに「ローンを作成する API」自体をリソースに、action を invoke などにモデル変更すれば、既存システムコンポーネントに対する well-defined な action 評価になる」
• Mark Marciante (Leavitt Partners) の応答（#000361）: 「ここには 2 つの異なるパーミッションセットと 2 つの異なるリソースタイプ がある。リソースクラスに対する create と、特定リソースインスタンスに対する update は別の認可シナリオとして扱うべき」と整理
• 意義: AuthZEN の resource_id 必須要件に対する WG 内外の 設計上の選択肢が一斉に出揃った最初の包括的議論。後の Issue #329（krotscheck、5 月 28 日起票）として GitHub 化され、6 月 24 日コールで「optional に格下げ、create 以外では recommend」と決着、さらに 7 月 15 日コールで Alex Babeanu の ReBAC プレゼンを経て「仕様は構文に集中、セマンティクスは practices/patterns 文書で扱う」という最終整理に向かう。「AuthZEN を create 操作にどう適用するか」という Authorization API 1.0 の主要論点の一つの起点

4.2 Notes from today's call with Joseph Heenan re. conformance tests and certification — 5 月 9〜10 日（2 通）

• 発端: David Brossard が EIC 会場での Joseph Heenan ミーティング結果を ML に共有
• 要点: AuthZEN にも正式 certification を確立する方針が固まった。テスト粒度はシンプル、Joseph チームが Java で実装、HackMD @oidf-wg-authzen/certification-testing にロードマップ
• Omri Gazitt の応答（#000363）: 計画への賛意表明
• 意義: AuthZEN 1.0 Final 化と並行して OIDF 公式 certification プログラムを走らせる 戦略が公式化された記録。後続の議論はこの方針を所与として進む

4.3 Meeting notes for May 20, 2025 — 5 月 20 日（2 通）

• 発端: Gerry Gebel が Identiverse Search interop の進捗を ML に投稿
• Omri Gazitt の補足（#000366）: 「Gerry が project manager 役」を公式化
• 意義: Identiverse interop の進捗管理体制が WG 内で明文化された記録。Gerry の調整役は 6 月以降のコール議事録投稿の主体となる役割と直結

4.4 Introduction & planning for tokenization of AuthZEN evaluations — 5 月 26 日（単発）

• 発端: Michiel Trimpe (VNG Realisatie、オランダ Den Haag) が「Rajiv をミーティングに連れてくる。彼は iSHARE 経由でデータスペース内の認可に関する ISO 標準化に関わっている」と告知。「AuthZEN ロードマップとの整合性、特に AuthZEN 評価結果のトークン化、副次的に partial evaluation（AuthZEN 1.1 で計画済み）を議論したい」と要請
• 意義: AuthZEN 1.1 機能（partial evaluation）への外部 ISO 標準化からの参照リクエストが ML に正式登場した最初の記録。5 月 27 日コールで Rajiv Rajani の iShare プレゼンが実現する直接の起点

4.5 Urgent Directed Funding ask for 2025 — 5 月 21 日（単発）

• 発端: OpenID Foundation の Membership Director Paul Briault が「Directed Funding が極めて高優先度。これがなければ 2025 年に必要なことができない」と AuthZEN ML へ緊急要請。プレゼン資料と Directed Funding Policy ドキュメントへのリンクを共有
• 意義: AuthZEN WG 自身の議論ではないが、OIDF 全体の財務面が AuthZEN の Final 化スケジュール（authoring の遅れ、conformance テスト構築費用など）に影響しうる構造的事情 が記録されたスレッド。後続月にも複数回の reminder 投稿は確認できないが、6 月以降の Forrester / KuppingerCole ブリーフィング体制構築の前提情報として読める

4.6 Breakout room at EIC — 5 月 7 日（3 通）

• 発端: David Brossard が EIC 会場 KuppingerCole 提供 C04 の確保を告知
• 意義: EIC でのフィジカル WG 集合と Joseph Heenan との対面会議の前提を作った事務スレッド

5. GitHub 上の議論

openid/authzen リポジトリの 2025 年 5 月の活動: 新規 issue 2 件（#325・#329）、5 月作成 PR 22 本（dependabot 含む。うち 21 本が 5 月内マージ、1 本がクローズ）、5 月内マージ総数 25 本（4 月以前作成で 5 月マージの #285 / #293 / #306 / #307 を含む）。5 月の PR は仕様本文ではなく Search Interop ハーネス整備が中心 で、コメントの付くスレッドは限定的だった。Final 化議論と直結する起点となった issue / PR を以下に整理する。

5.1 openid/authzen#329 — Resource creation when ID is not yet known（krotscheck、5 月 28 日起票）

• 発端: krotscheck が「Section 5.2 でリソースオブジェクトの id フィールドが required と指定されているが、ID 未割当の新規リソース作成時にどう policy リクエストを構築するか」を質問。サンプルとして:

  {
    "subject": { "type": "account", "id": "12345678-..." },
    "action": { "name": "create" },
    "resource": { "type": "home_listing", "id": null | "pre-generated" }
  }

  と提示し、「id を optional にすべきか、それとも policy リクエスト前に事前生成すべきか」 と問いかけ

• 5 月時点の状態: baboulebou が assignee に。5 月内に追加コメントは付かず

• その後: 6 月 24 日コールで「resource id は optional とする。create 以外では常に id を含めることを recommend する」と決着し、6 月 25 日に krotscheck 自身がクローズ

• 意義: 5 月 8 日 ML スレッドの GitHub 化された正式 issue。Authorization API 1.0 における create セマンティクス問題 の追跡 ID として 6 月以降の議論で頻繁に参照される

5.2 openid/authzen#325 — Leave more leeway for pagination methods（baboulebou、5 月 20 日起票）

• 発端: Alex Babeanu が「現在の仕様は search 結果の pagination について次の構造を mandate している:

  "page": { "next_token": "alsehrq3495u8" }

  だが offset/limit など別アプローチを使う実装には不適合。(1) pagination token 要件を normative から non-normative に格下げ、(2) pagination の機構自体は実装依存である旨を明示 すべき」と提案

• 5 月時点の状態: コメントなし

• その後: 6 月 24 日コールで「page オブジェクトに type フィールドを導入し、token 方式と offset 方式の 2 つの pagination アプローチを表現する」方向で合意。7 月の PR #341（Alex Babeanu、context + pagination 統合改訂）が起票されるが、Omri Gazitt と Gert Drapers の反対（「2 PR 分割すべき」「pagination は実装固有で API 露出は不要」）を受け 7 月 23 日にクローズ。最終的に 2025 年 10 月 1 日に 「not planned」としてクローズ され、pagination は仕様本文では非規範的扱いに留まる

• 意義: 「pagination を仕様で何処まで規範化すべきか」という Authorization API 1.0 の論争点の 最初の正式な GitHub 起票。Final 化議論の主要論点の一つを 5 月時点で提起した記録

5.3 openid/authzen#248 — Allowing JWT as tamper evident containers from PEP to PDP（identitymonk、3 月起票・5 月 5 日クローズ）

• 発端（3 月 10 日）: Jeff Lombardo (identitymonk) が「OAuth2 JWT から抽出した subject データは payload のみではなく 完全な JWT 構造 を保持すべき。payload のみだと digital signature と chain of custody が失われ、Transaction Tokens（IETF draft）との将来統合が阻害される」と提案
• 5 月 5 日クローズ: クロージングコメントは公開ページから明示的には確認できないが、Search Interop / Identiverse 準備の集中期間に「Final 化スコープ外」として整理された 可能性が高い。後続として 6 月 10 日コール議事録に「Issue #55（access decision への署名）を別プロファイルとして扱う」方針が現れることから、JWT tamper-evident コンテナ機能も同様の post-1.0 フレームに整理されたと読める
• 意義: 5 月内に Final 化スコープの絞り込み が始動した最初期の記録の一つ

5.4 openid/authzen#285 — Setup search demo app（alexolivier、4 月 15 日起票・5 月 9 日マージ）

• 発端: Alex Olivier (Cerbos) が AuthZEN Search API デモ用の React Router 7 アプリ整備を提案。サーバサイドルーティングで CORS 制約を回避するアーキテクチャ
• 5 月の議論（12 コメント）:
  • Secrets 管理: production PDP 普及までは環境変数でトークンを置き換える方針
  • API エンドポイント標準化: リソースクエリは /access/v1/search/resource に統一する合意
  • Pagination: 「初期 interop デモから pagination は除外する」 と合意（後の Issue #325 が 5 月 20 日に独立起票される伏線）
  • Request routing: PDP 別の request routing を有効化するためのカスタムヘッダー設定
• マージ: 5 月 9 日に davidjbrossard 承認後マージ。23 commits
• 意義: Identiverse Search interop の 基盤アプリの統合 PR。pagination を「初期 interop 範囲外」とする判断が仕様議論より前に interop 側で形成された記録

5.5 openid/authzen#317 — Search test runner（ogazitt、5 月 12 日起票・5 月 13 日マージ）

• 発端: Omri Gazitt が「既存テストランナーを search payload 対応に改修」する PR を起票
• 議論（2 コメント）:
  • ogazitt の理由付け: 既存（AI 生成）ランナーには (1) { type, id } 構造を仮定するため action search 結果で「Cannot read properties of undefined」エラーになる、(2) 出力が verbose で成功 / エラーの目視判別が困難、(3) markdown / html 出力機能がない、という 3 つの問題があると指摘
  • davidjbrossard の懸念: 「先週金曜に自分が別のランナーを書いた」と冗長性を質問
  • 解決: ogazitt が「既存実装の adaptation の方が機能性・保守性で優位」と説明し davidjbrossard が承認・マージ
• 意義: Identiverse interop の テストハーネス再整備 が 5 月 13 日コール直前に決着した記録。共同議長間で実装担当領域の重複が起きていたことも示す

5.6 openid/authzen#318 — Add the search demo interop app（alexolivier、4 月 14 日起票・5 月 13 日マージ）

• 発端: Identiverse 用 Search デモアプリの本体 PR。alexolivier・davidjbrossard・ogazitt の 3 名による 75 commits の協働開発
• マージ: 5 月 13 日（コール当日）
• 構成: Vite ベースのフロントエンド、PDP 統合のバックエンド設定、デモデータ生成スクリプト、Docker サポート、README、テストランナー基盤
• 意義: 5 月 20 日コールで「Cerbos / Topaz / PlainID / Apache KIE 完了」と報告される進捗の 基礎インフラ がここで整った

5.7 openid/authzen#309 — Interop/migrate backend urls（ogazitt、5 月 6 日起票・即日マージ）

• 発端: バックエンドエンドポイントを authzen-todo-backend.demo.aserto.com から todo-backend.authzen-interop.net へ移行。Topaz/Aserto PDP も topaz-proxy.demo.authzen-interop.net へ集約
• 影響範囲: AWS API Gateway、Zuplo、Envoy、Kong、Layer7、Tyk、WSO2 の 7 ゲートウェイ実装が下流で更新必要
• 意義: AuthZEN interop インフラを authzen-interop.net ドメインに集約する移行作業 の核 PR。後の pdp.alfa.guide (Axiomatics) や topaz-proxy.demo.authzen-interop.net 等の Discovery URL も同ドメイン基盤に乗ることになる

5.8 PR #320 / #323 / #331 / #332 — Identiverse Search interop 結果データの逐次追加

• #320 Interop search results（ogazitt、5 月 13 日マージ）: デモアプリ上での検索結果表示
• #323 add WSO2 to search interop results（ogazitt、5 月 15 日マージ）: WSO2 結果データ
• #331 Added the Axiomatics search results（davidjbrossard、5 月 31 日マージ）: Axiomatics 結果データ
• #332 added pingid and empowerid results（ogazitt、5 月 31 日マージ）: PingID / EmpowerID 結果データ
• 意義: 5 月 20 日コールで「作業中」と報告された Ping / EmpowerID / WSO2 / Axiomatics が 5 月末までに interop 結果を投稿。6 月 3 日 Identiverse 当日に「9 つの interop 実装」体制で臨むための最終整備 が 5 月 31 日に完了

6. 関連イベント

European Identity and Cloud Conference (EIC) 2025（5 月 6〜9 日、ベルリン Berlin Congress Center）

KuppingerCole 主催の EIC 2025 でのおもな AuthZEN 関連活動:

• AuthZEN ブレイクアウト（5 月 9 日金曜午前、KuppingerCole 提供 C04 ルーム）: Joseph Heenan との Conformance テスト議論を含むメンバー集合 working session
• AuthZEN: the "OpenID Connect" for Authorization（5 月 8 日 11:40〜12:00）: David Brossard (Axiomatics AB) と Alex Olivier (Cerbos) による紹介セッション。AuthZEN を「2023 年末に作られた認可標準化を目指す新規 OIDF WG」と位置付けて紹介
• Modern Authorization Approaches (AuthZ): AuthZEN WG 共同議長による現代の認可標準（policy-as-code / policy-as-data）の現状説明、Identiverse 2024 以降の AuthZEN 1.0 進捗共有、15 の interoperable な実装 のデモ、2025 年の Final 化目標議論
• From Identity Chaos to Intelligent Control: AI, LLM Agents, and the Rise of AuthZen Authorization: AI / LLM エージェントと AuthZEN を関連付けたセッション
• OpenID 専用プレカンファレンスワークショップ: Brossard が「Gartner IAM London 2025 Interop に参加した 8 つの API gateway が AuthZEN を介した相互運用性を達成」した結果を提示

EIC 2025 は AuthZEN にとって 「Identiverse 2024 以来の interop 実績を 15 実装に拡張、2025 年 Final 化を公式に宣言」 した重要イベントであり、5 月 27 日コールで策定された下半期ロードマップの起点となった。

Identiverse 2025 への準備（6 月 3〜6 日、ラスベガス）

5 月の AuthZEN の最重要マイルストーンは 6 月の Identiverse 2025 Search API インターオペラビリティデモ。5 月 20 日時点で 4/10 実装が完了、5 月 31 日までに Ping・EmpowerID・Axiomatics の 3 実装が結果投稿で追加され、Identiverse での「9 実装による Search API interop」体制（Apache KIE、Axiomatics、Cerbos、EmpowerID、Indykite、PingAuthorize、PlainID、Topaz、WSO2）が 5 月末までに整った。

Conformance Testing 計画と OIDF 内部調整

5 月 9 日の Joseph Heenan ミーティングで決まった 「夏季中 conformance テスト定義 → 晩秋 仕様完成 → 3 ベンダー dry-run → WG 承認 → メンバー / 非メンバー差別化価格で公開」 という認証ロードマップは、後の AuthZEN 1.0 Final 化スケジュールと直接整合する。5 月 21 日の Paul Briault による Directed Funding 緊急要請も、この conformance プログラム構築費用と無関係ではない可能性が高い。

iSHARE Foundation との連携始動

5 月 26 日 ML 投稿（Michiel Trimpe）と 5 月 27 日コール（Rajiv Rajani プレゼン）により、ISO 標準化中のデータスペース向け認可仕様と AuthZEN（特に partial evaluation を計画する 1.1）の整合化 が WG の正式議題として浮上。ヨーロッパ政府系（VNG = オランダ自治体協会）からの入力が AuthZEN ロードマップに到達し始めた記録。

7. 今後の予定（2025 年 5 月末時点の視点）

5 月末時点の議事録および ML 上で言及されていた次月以降の予定:

• Identiverse 2025 Search API interop デモ（6 月 3〜6 日、ラスベガス）: 9 実装による Search API デモを目指して残作業を完了
• Implementer's Draft Draft 04 の生成検討（5 月 27 日コール 2H ロードマップ）: Identiverse 後のフィードバックを集約してから判断
• 業界別プロファイル開発（healthcare、government、JWT ベース ID flow、API Gateway、AI、Shared Signals event delivery）
• AuthZEN クライアント SDK の各言語展開
• Conformance Testing 構築（夏季中に定義、Joseph Heenan チームが Java で実装）
• Issue #325（Pagination 柔軟化）: 6 月以降のコールで議論
• Issue #329（Resource creation での id 必須要件）: 6 月以降のコールで議論
• iShare Foundation との連携（partial evaluation 機能との関連）
• Forrester / KuppingerCole アナリストブリーフィング（具体時期は 5 月時点で未確定だが、EIC で接点ができた両機関への AuthZEN 公式ブリーフィング調整）
• Conformance Testing スケジュール: 夏季中に定義、晩秋に仕様完成、3 ベンダー dry-run、WG 承認、メンバー / 非メンバー差別化価格で公開

8. 参考情報源

• AuthZEN Working Group - OpenID Foundation — WG 概要・共同議長
• GitHub openid/authzen — 仕様ソース・Issue・PR
• openid-specs-authzen ML 2025 年 5 月アーカイブ — 全 21 件の 5 月分 ML スレッドインデックス
• HackMD @oidf-wg-authzen — 議事録ホスト先
• HackMD AuthZEN Certification Testing — 5 月 9 日 Joseph Heenan ミーティングで策定された認証ロードマップ
• Breakout room at EIC (5/7) — EIC 会場 C04 ルーム告知
• A question on resource identifiers for resources that do not exist yet (5/8) — Brossard 発の loan create シナリオ起点 9 通スレッド
• Notes from today's call with Joseph Heenan re. conformance tests and certification (5/9) — Conformance テスト計画素案
• agenda for May 13, 2025 — 5 月 13 日コール議題（EIC recap、Identiverse interop、Conformance テスト）
• Meeting notes for May 20, 2025 — 5 月 20 日コール議事録（4/10 実装完了状況）
• Meeting notes for May 20 reply (Omri) — Gerry Gebel の interop project manager 公式化
• Urgent Directed Funding ask for 2025 (5/21) — Paul Briault による OIDF Directed Funding 緊急要請
• Introduction & planning for tokenization of AuthZEN evaluations (5/26) — Michiel Trimpe による iSHARE / Rajiv Rajani 紹介
• Proposed agenda for 2025-05-27 — 5 月 27 日コール議題（Search Interop / 2H ゴール / iShare）
• Notes from today's call (5/27) — 5 月 27 日コール議事録（2H ロードマップ・iShare プレゼン）
• Issue #325 Leave more leeway for pagination methods — Alex Babeanu による 5 月 20 日起票
• Issue #329 Resource creation when ID is not yet known — krotscheck による 5 月 28 日起票
• Issue #248 Allowing JWT as tamper evident containers from PEP to PDP — Jeff Lombardo 起票・5 月 5 日クローズ
• PR #285 Setup search demo app — alexolivier による Search Demo 基盤、5 月 9 日マージ
• PR #309 Interop/migrate backend urls — authzen-interop.net ドメイン集約、5 月 6 日マージ
• PR #317 Search test runner — テストランナー再整備、5 月 13 日マージ
• PR #318 Add the search demo interop app — Search デモアプリ本体、5 月 13 日マージ
• PR #323 add WSO2 to search interop results — WSO2 interop 結果、5 月 15 日マージ
• PR #331 Added the Axiomatics search results — Axiomatics interop 結果、5 月 31 日マージ
• PR #332 added pingid and empowerid results — PingID / EmpowerID interop 結果、5 月 31 日マージ
• EIC 2025 - European Identity and Cloud Conference — 5 月 6〜9 日ベルリン開催イベント
• AuthZEN: the "OpenID Connect" for Authorization (EIC 2025) — David Brossard / Alex Olivier セッション
• Modern Authorization Approaches (AuthZ) (EIC 2025) — AuthZEN WG 共同議長セッション
• From Identity Chaos to Intelligent Control: AI, LLM Agents, and the Rise of AuthZen Authorization — AI / LLM 観点からの AuthZEN セッション
• EIC Berlin 2025 recap with David Brossard - Axiomatics — Axiomatics による EIC 2025 振り返り
• Introduction | OpenID AuthZEN Interop — Identiverse 2025 Search API シナリオ参加実装一覧
• 2025 年 6 月レポート — 翌月の続報（Identiverse 2025 における Search API インターオペラビリティ実演、Discovery / Metadata 設計議論本格化、Issue #329 / #325 の方針決定）