idbok

Appearance

OpenID Foundation AuthZEN WG 活動レポート (2025年8月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

AuthZEN WG(Authorization Working Group)は、PEP(Policy Enforcement Point)と PDP(Policy Decision Point)の間のインタラクションを標準化する Authorization API 仕様を策定している Working Group である。2025 年 8 月時点の共同議長は Omri Gazitt(Aserto)、David Brossard(Axiomatics)、Gerry Gebel の 3 名で、定例コールは毎週木曜に開催されている。

2025 年 8 月の AuthZEN WG は、Authorization API 1.0 の Final 化に向けた残課題(11 issues + 2〜3 PR)の集中的な刈り取り に注力した月であった。8 月 7 日・14 日・21 日・28 日の 4 回の定例コールが開催され、openid-specs-authzen ML への 8 月分投稿数は 21 件にとどまったものの、8 月 19 日に David Brossard が起こした Open issues and PRs スレッド(Brossard と Jeff Lombardo の往復 5 通)と GitHub 上の集中レビューが組み合わさり、Final 化の主要論点が次々と決着した。

技術議論の主軸は次の 3 点であった:

  • HTTPS Binding パスの normative 化問題(Issue #352): 8 月 21 日コールで「メタデータエンドポイントが規定されていれば runtime URL を normative にする必要はない」と整理され、Issue #352 はクローズ。代わりに メタデータエンドポイントを mandatory(その後 8 月 28 日コールで recommended に修正) とする方向へ転換した
  • Issue #268(Security 節の認証失敗時挙動): identitymonk(Jeff Lombardo)が「MUST は 401 を返すことのみWWW-Authenticate ヘッダや realm は SHOULD」という整理を文章化し、PR #347 を更新。8 月 19 日に David Brossard と意図確認のやりとりが交わされた末に合意
  • メタデータドキュメントの構造(Issue #300 関連): Lombardo が iss パラメータ保持の根拠(OAuth 2.0 Protected Resource Metadata との整合、PDP 本体と署名主体が分離可能であることを反映)と capabilities フィールド・IANA registry 宣言を PR #355 として整理し、8 月 19 日にマージ

加えて、JSON-LD サポート(PR #345)は 1.0 Final 後送り と明確に決定された(8 月 21 日)。Mike Kiser、George Fletcher、Alex Babeanu、Michiel Trimpe、Vatsal Gupta(新規参加者)、Edmund Jay 等が各コールに参加し、11 月 1〜7 日の Authenticate Conference でのセッション採択(8 月 7 日コールで報告)と 12 月の Gartner IAM Summit インターオペラビリティデモ に向けた準備が並行して始動した。

2. 公開された仕様・ドラフト改訂

2025 年 8 月中に openid.net/specs 配下で AuthZEN の新規仕様ドラフトの公開・パブリックレビュー開始は確認できなかった。8 月の作業は GitHub 上の Editor's Draft(openid/authzen リポジトリ main ブランチ、openid.github.io/authzen/ で公開プレビュー)の継続更新が中心で、公式の Implementer's Draft / Final 化プロセスへの投票は 8 月時点では始動していない。

GitHub openid/authzen リポジトリの 8 月のマージ実績は PR 12 本マージ(うち dependabot 3 本: #353・#354 と 7 月遡及)であった。仕様本文に直接影響する主要マージは次の通り:

PRタイトル起票者マージ日
#347Update authorization-api-1_0.md security sectionidentitymonk8 月 21 日
#355Update to the Metadata section(iss 保持・capabilities 追加・IANA registry 宣言)identitymonk8 月 19 日
#356Fixed the duplicate anchor identifiers (iana-wk-registry)davidjbrossard8 月 19 日
#357evaluations_semantic consistencyalexolivier8 月 21 日
#360HTTP transport binding と PDP メタデータ間のパス関係定義mtrimpe8 月 28 日

8 月末(8 月 28・29 日)に作成され 9 月初に持ち越しとなった大型 PR が次の 3 本:

  • PR #361(Update security considerations to add signature of response as an option、eazerad、9 月 4 日マージ)
  • PR #362(Decision を Information Model に移動・構造整列、mtrimpe、9 月 3 日マージ)— Issue #45・#46・#339("n-tuples" 除去)も同 PR で解決
  • PR #363 / #364(タイポ・コピー編集レビューと推奨パスの追加、mtrimpe)

新規 issue は #352("HTTPS Binding paths are non-normative"、7 月末起票・8 月 21 日クローズ)の派生として #358(メタデータエンドポイント mandatory 化)と #359(RFC 5785 → RFC 8615 リファレンス更新) が 8 月 21 日に起票された。両 issue とも 8 月 28 日コールで方向性が確定し、9 月の PR #367 で実装される(後段の翌月レポート参照)。

3. ミーティングと議論

AuthZEN WG は毎週木曜の定例コールを 8 月も維持した。Gerry Gebel が 4 回分の議事録を ML に投稿しており、議論内容を再構成可能。

8 月 7 日(木)定例コール

  • 参加者: Gerry Gebel、Mike Kiser、Alex Babeanu、George Fletcher、Yuval Glasner、Dave Hyland、Martin Besozzi
  • 議題告知: Agenda for Aug 7(Gerry Gebel、8 月 7 日 16:04 UTC)
  • 議事録: meeting notes from Aug 7

主要議題と決定事項:

  • PR #349(X-Request-ID): X-Request-ID は公式 HTTP ヘッダではないため、trace-context への置き換えを推奨するか議論。チーム追加インプット待ちとして判断保留
  • PR #278(reason 不整合): David Brossard からの新規フィードバックを反映し、「410 行目の Alex B のオリジナル記述に戻す」と決定
  • PR #347(Security section 更新): Jeff Lombardo の応答待ち
  • JSON-LD プレゼンテーション: 当日予定されていた Michiel Trimpe による JSON-LD のプレゼンは Trimpe 不在のため次回以降へ持ち越し
  • 1.0 Final 化のステップ: 残課題棚卸しを次回以降の議題に
  • Authenticate Conference: 「セッション提案が採択された」と報告。David Brossard、Omri Gazitt、Ian Glazer の登壇予定として議事録に記録
  • Gartner IAM Interoperability: 業界統合に向けた初期検討を開始(共有ドキュメント参照)

8 月 14 日(木)定例コール

  • 参加者: Michiel Trimpe、Vladi Berger、David Brossard、Julio Auto De Medeiros、Gerry Gebel
  • 議題告知: Proposed agenda for Aug 14 — 議題スレッドには Vatsal Gupta が新規参加者として返信し、自己紹介と参加意欲を表明(#000409#000411
  • 議事録: notes from Aug 14 call

主要議題と決定事項:

  • HTTPS Binding パス(Issue #352)の 3 オプション提示:
    1. パスを非規範的のまま維持
    2. Evaluation エンドポイントだけ規範的セクションを追加
    3. メタデータエンドポイントを mandatory にして規範的パス定義を不要化
  • 4-tuple 表現(Issue #339): 表現を明確化する更新を仕様にマージ
  • Pagination 実装(Issue #325): pagination と reason オブジェクトを統合した過去 PR は再作業が必要。代替案を検討するボランティア募集
  • Issue #250: 全員が次回コールまでに精読すること
  • Issue #229・#230: Search API の statistics メタデータ提案を書き起こすボランティア募集
  • 業界アナウンス: Gartner の "Innovation Insight: Authorization Management Platforms"(G00828568)レポートで AuthZEN が言及された旨を共有

8 月 21 日(木)定例コール

  • 参加者: David Brossard、David Hyland、Alex Olivier、Tom Jones、George Fletcher、Julio Auto de Mederios、Edmund Jay、Yuval Glasner、Vladi Berger、Wei Dai
  • 議事録: Notes from meeting on Aug 21
  • Omri Gazitt の応答: #000421("Great progress!"、各 issue にコメント追加)

主要決定事項:

  • Final 化までの残課題: 残 11 issues + 3 PR
  • JSON-LD サポート(PR #345)は 1.0 以降に延期 と明確化
  • PR #347 マージ: 最終レビュー条件付き
  • Issue #352 クローズ: メタデータエンドポイントを mandatory とする。Brossard は議事録上で「8/21 コールで合意した。メタデータエンドポイントが runtime API の normative エンドポイント化を不要にする」と明記
  • Issue #339: 用語を "n-tuple" に変更
  • Issue #325(pagination): 担当メンバーの復帰待ち
  • Issue #250: 既存実装を破壊する可能性を懸念し、コミュニティフィードバックを募集することに
  • 新規 Issue #356 が起票され、RFC 8615 への参照統一が必要と確認
  • 動議:
    • Section 46 / 47 を完全削除
    • access decision への signing 機能は追加しない
    • メタデータエンドポイントは mandatory とする(後述の通り 8/28 で recommended に再調整)

アクションアイテム:

  • David Hyland: メタデータエンドポイント mandatory 化を仕様本文に反映
  • David Brossard: Roland に Issue #229・#230 を打診、Section 46 / 47 を削除
  • George Fletcher: RFC 8615 への参照統一作業
  • Edmund Jay: エンドポイント認証テストフレームワークとテストスイート開発の枠組みを確立

仕様 Final 化のタイミングで IANA レジストリ申請プロセスを開始するとし、正式な WG 承認が前提となる旨が確認された。(議事録 2025-08-21 より)

8 月 28 日(木)定例コール

  • 参加者: David Brossard、Jeff Lombardo、Alex Babeanu、Roland Baum、Tom Jones、Michiel Trimpe、Wei、David Hyland、Julio Auto De Medeiros、Vatsal Gupta、Travis Farrell、George Fletcher
  • 議題告知: Agenda for Aug 28th(議題確認スレッドで Jeff Lombardo が補足返信、#000423#000425
  • 議事録: notes from meeting on Aug 28

主要決定事項:

  • Issue #358(メタデータエンドポイント mandatory 化)の方針修正: 8 月 21 日コールでの「mandatory」決定を 「recommended(推奨)」に格下げ することで合意。具体的には:
    • Section 11 の "can" を "could" に書き換える
    • Section 11.2(コンフィグレーション discovery)を強化
    • 「regular」URL とメタデータ/discovery エンドポイントの両方を recommended(required ではない) とする
    • Section 11.1.1 のタイポ 2 件を訂正
    • George Fletcher が GitHub Issue #358 のスレッド上でも "On the 8/28 meeting, we agreed that we would make: 1. the 'regular' URLs as recommended 2. the metadata/discovery endpoint is recommended as well"(#358 8月28日コメント より)と確認
  • PR #360 承認: HTTP 転送バインディングと PDP メタデータの関係を定義
  • PR #362 の修正要求: ドメイン名を acmecorp.com / mycompany.com から example.com に統一すること、JSON Schema と Linked Data は extension の可能性であることを明記
  • Gartner Interoperability の整理: グループメンバーシップの参照について混乱があったため、議論を「claims または scopes」に集約することを確認。3 つの evaluation シナリオを今後の開発に向けて outline した

アクションアイテム:

  • George Fletcher: Issue #358 の決定を踏まえ Issue #359(RFC 8615 関連)を更新
  • Michiel Trimpe: PR #362 のドメイン名・記述を修正してからマージへ

4. メーリングリストの主要スレッド

openid-specs-authzen ML(2025 年 8 月アーカイブ)の 8 月の総投稿数は 21 件。事務連絡(カレンダー招待・議事録投稿)を除く技術系スレッドは限定的だったが、特に Open issues and PRs スレッドが Final 化議論の中核 となった。

4.1 Open issues and PRs — 8 月 14 日〜18 日(5 通往復)

  • 発端: David Brossard が Final 化に向けた残課題の総点検として 11 issues + 2 PR をリスト化。各 issue にオーナー(Alex、Gerry、Jeff L.、Roland、Elie)を割り当て、論点と Brossard 個人の推奨対応を併記
  • 主要論点:
    • Issue #352: 「runtime URL は normative にしない、メタデータエンドポイントを mandatory に」
    • Issue #339: 「4-tuple の数値表現を一般化(3-tuple や n-tuple もあり得る)」
    • Issue #325: 「pagination が 3 セクション(8.3.1・9.3.1・10.3.1)に重複している。統一定義へ抽象化」
    • Issue #46・#47: 仕様の大幅書き換えを要するため reject 推奨
    • Issue #300・#268・#250・#230・#229・#55: 各種明確化、提案、Post-1.0 への先送り
  • Jeff Lombardo の返信(#000415#000417:
    • Issue #268: 「認証は mandatory にする意図は一切なかった」と明確化。RealmWWW-Authenticate レスポンスヘッダで HTTP が定義する概念で typo ではない、と指摘。「MUST は 401 を返すことのみ、その他は SHOULD」という整理で再起草した文案を提示
    • Issue #300: メタデータ提案を更新。iss パラメータは「メタデータ署名が enforce される場合のみ必須」として保持。capabilities メタデータフィールドと IANA レジストリ宣言を追加
  • David Brossard の返信(#000416#000418: メタデータ節に重複した HTML anchor ID(iana-wk-registry)があり validation エラーとなっていることを指摘。Brossard 自身が PR #356 で先に修正
  • 到達した合意: PR #355(メタデータ節)が 8 月 19 日にマージされ Issue #300 が事実上クローズ。PR #347(Security 節)は 8 月 21 日コールでの最終確認を経て同日マージされ、Issue #268 が事実上クローズ

4.2 Reminder to vote — 8 月 18 日

  • 発端: David Brossard が「兄弟 WG である Shared Signals が 3 仕様を Final に進める投票を実施中」と告知し、AuthZEN 参加者(OIDF 投票権者)に投票を呼びかけ
  • 位置付け: AuthZEN 自身の議論ではないが、OIDF 仕様 Final 化プロセスにおけるクロス WG 連携 を示すスレッド。Final 化のフローを AuthZEN 自身が次に辿ることを意識した呼びかけと読める
  • 返信: なし(事務告知)

4.3 Proposed agenda for Aug 14 — 8 月 14 日(4 通)

  • 発端: Gerry Gebel が 8 月 14 日コールの議題を告知
  • 特徴: スレッド内で Vatsal Gupta(#000409#000411)が 新規参加意思を表明。8 月 28 日コールにも参加し、以後 9 月以降の貢献につながる新規メンバーの加入記録として価値が高い
  • 意義: 純粋な事務告知だが、Final 化を控えた WG への新規参加が継続している兆候を示す

4.4 Notes from meeting on Aug 21 / Omri 応答 — 8 月 21〜23 日

  • 発端: Gerry Gebel の議事録投稿に対し、Omri Gazitt が 8 月 23 日に "Great progress!" と短く応答し「各 issue にコメントを追加した」と報告
  • 意義: Gazitt(共同議長・Aserto CEO)が 8 月後半に Final 化の方向性に明示的に GO サインを出した記録

5. GitHub 上の議論

openid/authzen リポジトリの 2025 年 8 月の活動: 新規 issue 4 件(#352 派生として #356・#358・#359、加えて #338)、新規 PR 12 本(dependabot 3 本含む、うち月内マージ 9 本、月跨ぎ 3 本)。1.0 Final 化に向けた集中的な PR レビューの月であった。技術議論が 5 件以上のコメントを伴った issue/PR を以下に整理する。

5.1 openid/authzen#358 — Change the metadata endpoint from optional to mandatory in the spec(davidjbrossard、8 月 21 日起票)

  • コメント数: 5 件
  • 発端: 8 月 21 日コールでの方針(Issue #352 クローズに伴いメタデータエンドポイントを mandatory に)を反映するための起票。/.well-known/authzen-configuration を normative にすることを提案
  • George Fletcher の指摘(8 月 21 日): RFC 8414 §3 / §3.1 を引用し、multi-tenant 対応(issuer identifier がパスを含む場合の /.well-known/ 挿入規則)を提示。/<tenant_id>/.well-known/authzen-configuration 形式を推奨
  • Omri Gazitt の指摘(8 月 23 日): OAuth 2.0 / OIDC ではメタデータドキュメント自体は required ではないが、authorization・token エンドポイントも normative ではないことを補足。「OAuth 2.0 / OIDC のモデルを踏襲すべき。HTTPS の URL は recommended に、/.well-known/ は実装したら必ずそこに置く形にすべき」と提言
  • George Fletcher のフォローアップ(8 月 27 日): 「OAuth/OIDC ではメタデータは iss(issuer)から discover される。AuthZEN では PEP が PDP エンドポイントを知っている前提で、PEP がどう PDP URI を得るかは仕様外。PEP は仕様 canonical なエンドポイントを試すか、メタデータエンドポイントを試すかを選べる。RFC 8414 のパターンに従うべき」と整理
  • 8 月 28 日コール後(Brossard コメント): 「8/28 ミーティングで合意した。regular URL も metadata/discovery エンドポイントも両方 recommended」— mandatory から recommended への撤退 を確認
  • 結末: Issue 自体は 9 月 17 日にクローズ(PR #367 で実装、David Brossard はサンプル URI 用に別 issue(#375)を起票)

5.2 openid/authzen#352 — HTTPS Binding paths are non-normative(mtrimpe、7 月 29 日起票・8 月 21 日クローズ)

  • コメント数: 3 件
  • 発端: AuthZEN ベースのロギング標準向けに「AuthZEN リクエストの種類」識別子が必要で、HTTPS Binding パス(access/v1/evaluation 等)が候補となる。これらが non-normative の例示にとどまっているため、normative 化したいという 7 月起票
  • David Brossard の応答(8 月 14 日): 「メタデータエンドポイントが standard 化されるなら、normative エンドポイントを別途持つ意義は薄い。Discovery で他のエンドポイント位置がわかる。それでも normative 化するなら /evaluation のみとすべき」と立場表明
  • Michiel Trimpe の合意(8 月 14 日): 「メタデータが PDP のベース URL に対する feature flag/boolean ではなく、エンドポイント単位で URL を持つことを失念していた。transport/binding の例にこれを言及するとよい。AuthZEN ロギング標準向けの識別子問題は別 issue として上げる」
  • クローズ(8 月 21 日): Brossard が「8/21 コールでメタデータエンドポイントの存在が runtime API の normative 化を不要にすると合意した」と明記してクローズ

5.3 openid/authzen#268 — Security section needs details on Client Authentication failure(identitymonk)

  • 8 月のコメント数: 4 件(全体 9 件)
  • 8 月 14 日 David Brossard: 「認証を mandatory にするつもりなのか、認証失敗時のエラーコードを明確化したいだけなのか」と意図確認
  • 8 月 19 日 identitymonk(Jeff Lombardo): 「PEP が期待される認証を満たさない場合に返すエラーメッセージのフォーマットを明確化したいだけ。仕様が認証を recommend する立場(mandatory にしない)は変えない。Realm は HTTP の WWW-Authenticate で定義される概念で typo ではない」と明確化
  • 8 月 19 日 identitymonk(更新文案): 「If the protected resource request does not include the proper authentication credentials... the resource server MUST respond with a 401 HTTP code and SHOULD include the HTTP WWW-Authenticate response header field; it MAY include it in response to other conditions as well. The WWW-Authenticate header field uses the framework defined by HTTP/1.1 [RFC2617] and indicate the expected auth-scheme as long as the realm that has authority for it.」という具体的な改稿案を提示
  • 結末: Brossard が同日合意。PR #347 として 8 月 21 日にマージ

5.4 openid/authzen#345 — Add JSON-LD support to AuthZEN(mtrimpe)

  • 8 月のコメント数: 2 件(全体 3 件)
  • 8 月 6 日 David Brossard: 「Michiel が JSON-LD についてプレゼンするまで本 PR の処理は保留」
  • 8 月 21 日コール: 「JSON-LD サポートは 1.0 以降に延期」との方針を WG が確認
  • 8 月 27 日 David Brossard(クローズ実施): 「これはより大きな作業項目で、1.0 以降に処理する」と明示してクローズ
  • 意義: 1.0 Final 化のスコープから JSON-LD を明確に外した記録。Alex Babeanu も 7 月時点で「JSON-LD は post-1.0 で議論したい」と同調していた経緯と整合

5.5 openid/authzen#337 — Clarify Top-Level 4-Tuple Omission in Bulk Access Evaluation Requests(vatsalgupta)

  • コメント数: 3 件
  • 発端: Vatsal Gupta(新規参加者)が Bulk Evaluation API の Section 7.1 で「top-level の 4-tuple を省略可能」とする記述の明確化を要求
  • 7 月 29 日 mtrimpe: フルテキストでデフォルト動作(evaluations 配列が存在し 1 つ以上のオブジェクトを含む場合、top-level の subjectactionresourcecontext キーは省略可能だが、存在する場合は各 evaluation request のデフォルト値となる)が既に説明されていることを指摘。「top-level と root-level に有意な差はない」と立場表明し、PR #351 を提案
  • 8 月 14 日 vatsalgupta: "Makes sense!" と合意
  • 8 月 14 日 davidjbrossard: PR #351 で対応済みとしてクローズ

6. 関連イベント

Gartner "Innovation Insight: Authorization Management Platforms"(G00828568)

8 月 14 日コール議事録によれば、Gartner の "Innovation Insight: Authorization Management Platforms" レポート(G00828568)で AuthZEN への言及があった旨が WG メンバーから共有された。8 月時点ではまだ 12 月の Gartner IAM Summit でのインターオペラビリティデモ(次月以降に本格準備が始動)に向けた地ならしの段階である。

Authenticate Conference(FIDO Alliance、10 月予定)でのセッション採択

8 月 7 日コール議事録に「Authenticate Conference のセッションが accept された」と記録されており、David Brossard・Omri Gazitt・Ian Glazer が登壇予定として確認された。Authenticate Conference は FIDO Alliance が主催する年次 ID イベントで、10 月にカリフォルニア州カールスバッドで開催される(具体的な発表内容の準備は 9 月以降に持ち越し)。

Identiverse 2025 / European Identity Conference 2025

8 月時点で AuthZEN 関連の登壇は両イベントともに既に終了済みであり(Identiverse は 6 月、EIC は 5 月)、8 月コール議事録上で個別の振り返りは記録されていない。

7. 今後の予定(2025 年 8 月末時点の視点)

8 月末時点の議事録および ML 上で言及されていた次月以降の予定:

  • Issue #325(pagination 抽象化): 担当メンバーの復帰待ち、9 月コールで再開予定
  • Issue #229・#230(Search API statistics メタデータ): David Brossard が Roland Baum に Issue 担当を打診、9 月コール時点でボランティア確定を目指す
  • Edmund Jay によるテストフレームワーク: PEP(クライアント)と PDP(サーバ)両側について、必須エンドポイント・有効ペイロード・有効レスポンスを規定する認証基準とテストスイートを策定
  • PR #361・#362・#363・#364 のマージ: 9 月初旬に集中マージ予定
  • メタデータエンドポイントの recommended 化を仕様本文に反映: David Hyland が Section 11 周辺の文言を「could」基調に書き換える作業
  • George Fletcher による RFC 8615 整合化作業: Issue #356 / #359 の対応として、RFC 5785 への参照を全て RFC 8615 に置き換える PR の起票
  • IANA レジストリ申請プロセス: 仕様 Final 化のタイミングに合わせて開始予定(正式 WG 承認を経て)
  • Authenticate Conference 登壇準備: David Brossard・Omri Gazitt・Ian Glazer のセッション資料準備を 9 月以降に開始
  • 12 月 Gartner IAM Summit インターオペラビリティデモ: 9 月コールから本格的な準備セッションを追加開催する方針

8. 参考情報源