OpenID Foundation AuthZEN WG 活動レポート (2025年9月)

執筆日: 2026-04-25（遡及執筆）

1. 概要

AuthZEN WG（Authorization Working Group）は、PEP（Policy Enforcement Point）と PDP（Policy Decision Point）の間のインタラクションを標準化する Authorization API 仕様を策定している Working Group である。2025年9月時点の共同議長は Omri Gazitt（Aserto）、David Brossard（Axiomatics）、Gerry Gebel の3名で、定例コールは毎週木曜 9am PT（米国西海岸時刻）に開催されている。

2025年9月の AuthZEN WG は、12月の Gartner IAM Summit（2025年12月8〜10日、テキサス州 Grapevine）でのインターオペラビリティデモ公表 に向けた準備活動が議論の中心であった。9月4日・11日・18日・25日の4回の定例コールに加え、9月5日・9日には Gartner デモ準備のための専用セッションが追加開催され、openid-specs-authzen ML への9月分投稿数は37件に達した。

技術議論の主軸は Pagination 設計 であった。Michiel Trimpe（mtrimpe）が3本の PR（#365、#366、#378）を立て続けに提出し、token-based / offset-limit / cursor-based の各方式の利害得失について Alex Babeanu、Omri Gazitt らとの間で激しい議論が交わされた。9月末時点では Token-based + capabilities for limit/offset の混合方式（PR #378）が WG 内部での合意形成段階に到達したが、最終マージは10月初旬に持ち越されている。

副次的な動きとして、George Fletcher（gffletch）が Issue #358 / #359 の解決として PR #367 をマージ（RFC 5785 → RFC 8615 への参照更新、multi-tenant PDP のメタデータ URL 例示）、David Brossard が Issue #375 を起票（HTTPS binding 節への PDP エンドポイントのデフォルト URL 例示要求）した。また外部からは Salim BOU ARAM が OpenID Connect Email Account Linking Extension の IETF Individual Draft を AuthZEN ML に投稿し、認可コンテキストとアカウント統合の境界について議論が発生した。

2. 公開された仕様・ドラフト改訂

2025年9月中に openid.net/specs 配下で AuthZEN の新規仕様ドラフトは公開されていない。9月末時点の主要ドラフト群のステータスは以下のとおり:

仕様	ステータス
Authorization API 1.0	Draft（Draft-03 が9月初時点の最新公開版）
Authorization API Search	Editor's Draft（GitHub main ブランチで進行中）
PDP Metadata Registry	仕様本体に統合済み

GitHub リポジトリ openid/authzen の main ブランチ上では9月中に 8本の PR がマージ（#367、#368、#369、#370、#371、#372、#373、#376）され、Editor's Draft が継続更新された。一方で 新規 issue 作成は #375 の1本のみ（David Brossard、9月25日コールで「ボランティア募集中」と告知）にとどまり、issue ベースの議論より PR レビューを起点とした議論が活発な月であった。

3. ミーティングと議論

AuthZEN WG は毎週木曜の定例コールに加え、9月は Gartner Interop デモ準備のための専用セッションを9月5日（金）と9月9日（火）の2回追加開催した。ML には Gerry Gebel が4回分の定例コール議事録を投稿しており、議論内容を再構成可能。

9月4日（木）定例コール

• 参加者: 13名（Alex Babeanu、Wei、Vladi Berger、Gerry Gebel、Elie Azerad ほか）
• 議事録: Notes from Sep 4（Gerry Gebel、9月5日 01:52 UTC 投稿）

主要議題:

• PR #366（pagination 第2案）の議論: コメント欄で活発な議論が継続中。Michiel Trimpe が offset ベースに転換した第2案を提出したが、複数のレビュアーからフィードバックが寄せられている状態
• PR #361（access response への optional signature 追加）: 更新後にレビューを通過し、承認された
• Gartner Interop の方向性: 「AuthZEN により IAM チームが認可をベンダーロックインなしに外部化・標準化できる」というメッセージで Gartner IAM Summit に出展する方針を確認。3つの新規 IdP インテグレーションをデモする計画
• IdP インテグレーションの4ユースケース: (1) トークン発行可否評価、(2) トークン発行＋トークンエンリッチメント、(3) Search による評価、(4) ステップアップ認証判定の4シナリオを定義
• 認証局テスト: PEP（クライアント）と PDP（サーバ）両側について、必須エンドポイント・有効ペイロード・有効レスポンスを規定する認証基準を策定する必要があると確認

9月5日（金）Gartner Interop 専用セッション

• 時間: 15:00–16:00 CET（Stockholm 時刻）
• 告知: David Brossard が Gartner Interop Dedicated Session として9月4日 20:02 UTC にメーリングリスト経由で Zoom 招待を発信
• 位置付け: 9月4日コールでの議論を引き取り、Gartner デモのシナリオと参加 IdP リストを集中討議

なお David Brossard は9月5日 12:48 UTC に Last-minute change として「予定の15分前で会議に出席不可となった」と通知し、Gerry Gebel に会議司会を引き継いでいる。スレッドには Omri Gazitt、Thomas Abbott、Lombardo Jeff らが返信し、調整事務連絡が継続した。

9月9日（火）Interop 準備セッション

• 時間: 22:30–23:30 CEST（Stockholm 時刻）
• 告知: David Brossard が AuthZEN Interop Session Preparation として9月9日 15:35 UTC にカレンダー招待を発信
• 目的: 9月11日定例コールに先立つ Gartner デモ最終調整

9月11日（木）定例コール

• 参加者数: 不明（議事録に記載なし）
• 議事録: Meeting notes from Sep 11（Gerry Gebel、9月11日 22:09 UTC 投稿）
• 議題告知: Agenda for Sep 11, 2025（Gerry Gebel、9月11日 16:27 UTC）— PR #367・PR #366 と Gartner Interop の3項目

主要決定事項:

• Gartner デモのスコープ転換: 「業界別（vertical）の特定シナリオ」ではなく、「IdP を PEP として用いる汎用メカニズム」 に焦点を再定義
• 用語の整理:
  • リソースタイプ名を「client」から「subscription」に変更（OAuth の client 概念との混同を回避するため）
  • 汎用的な「claim」ではなく「bronze / silver / gold」のサブスクリプションレベルを具体例として採用
  • Resource Search API 機能を Evaluation 呼び出しと並べて統合
• トークン発行の境界: 「AuthZEN は IDP / AS が発行する内容に介入しない（will not intrude）」と明確化。AuthZEN はメッセージ交換パターンのみを規定し、OAuth トークン仕様には踏み込まない
• Pagination の方針: Token-based と offset/limit の両方をサポートする方向で合意。リクエスト側が希望する方式を表明できる前提条件付き
• アクションアイテム:
  • Alex Olivier がデモアプリの開発リード（Auth0 から開始）
  • Gerry Gebel がターゲット IdP の連絡先リストを更新し、参加打診を統括

このコールには George Fletcher（george at practicalidentity.com）、Lombardo Jeff、Michiel Trimpe らが議題スレッドで返信を寄せ、PR #367 のレビュー進捗が報告された。

9月18日（木）定例コール

• 参加者: 13名
• 議事録: Meeting notes from Sep 18（Gerry Gebel、9月18日 22:13 UTC）
• 議題告知: Agenda for Sep 18（Gerry Gebel、9月18日）

主要決定事項:

• Pagination 議論のオフライン委任: Omri Gazitt が「自分（Omri）と Michiel、Alex B（Babeanu）の3名でオフライン討議し、Michiel の PR の最終形について合意形成する」と提案。WG コール時間内ではこれ以上時間を割かない方針が採択された
• Gartner Interop のデモ実装進捗:
  • Alex Olivier がプロトタイプを公開
  • 「すべての IdP が中央のデモアプリに接続する形にし、IdP 側が複数 PDP に個別接続する必要がない」アーキテクチャを採用
  • PDP として Cerbos、IdP として Auth0 を採用
  • Cerbos と Axiomatics の両社がデモインスタンスのホスティングを志願
• 次のステップ:
  • メタデータコンポーネントの定義
  • 必要に応じた追加ポリシーの規定
  • 想定されるシステム応答の文書化
• IdP 参加者リスト: WG はインターオペラビリティ仕様イニシアティブにおける各 IdP の代表者を割り当てるリストを更新

9月25日（木）定例コール

• 参加者: 13名
• 議事録: Notes for Sep 25（Gerry Gebel、9月25日 22:15 UTC）
• 議題告知: Proposed Agenda for Sep 25（Gerry Gebel）— Pagination 進捗、デモアプリ、Interop 参加者、Issue #375 ボランティア募集の4項目

主要決定事項:

• Pagination 最終勧告へ向けた集約: Omri Gazitt が複数の Pagination 方式を比較した検討資料を提示。Michiel Trimpe が更新版 PR を共有。「Omri が Alex B から最終インプットを得た上で WG 投票前に最終勧告を提示する」と合意
• Issue #375 の事実上の解決: 過去の PR で既に対応済みであり、追加討議不要と確認
• デモアプリ: sts.authzen-interop.net でホスト中。トークンステータスのキーハイライト表示と、評価リクエスト・結果のロギング機能を実装済み
• Interop 参加者リスト: IdP / PDP 参加者を一覧する共有ドキュメントを継続管理。新規参加者の打診は継続中
• Final 仕様化のタイムライン: 「Final 仕様化のプロセスとタイムラインに関する情報を次回コール前にメーリングリストで共有する」と決定。Proposed Agenda スレッドへの返信では Michiel Trimpe（#000461）と Omri Gazitt（#000462）が補足コメントを寄せている

4. メーリングリストの主要スレッド

openid-specs-authzen ML（2025年9月アーカイブ）の9月の総投稿数は 37件、Gartner Interop 準備で活況を呈した。事務連絡（カレンダー招待・コール再送）を除く技術系スレッドから主要4本を以下に整理する。

4.1 OpenID Connect Email Account Linking Extension — 9月23日開始（9件返信）

• 発端: Salim BOU ARAM（bouaram.salim@gmail.com）が IETF Individual Draft draft-bouaram-oidc-email-linking-extension-00 を AuthZEN ML に投稿
• 提案内容: Relying Party が同一 IdP の複数メールアドレスを単一の primary identity の下に統合できるようにする OIDC 拡張ドラフト。secondary login が main account にリダイレクトされる仕組み、リンクの有効期限・削除機能を規定
• AuthZEN ML への投稿理由: 「初期ドラフトであり、コミュニティから本機能が実装者・ユーザにとって実用的価値があるかフィードバックを求めたい」と明記
• 返信者: Alex Babeanu、Omri Gazitt、Eve Maler、Lombardo Jeff
• 論点: 認可（AuthZEN）とアカウント統合（OIDC）の境界、複数 email を保持するアカウントの認可ポリシー評価への影響、AB/Connect WG への持ち込み妥当性
• 状況: 9月末時点では AuthZEN WG として正式な扱い決定には至らず、議論継続

4.2 Notes from Thursday's Call / Notes from Sep 4 — 9月4日

• 投稿者: David Brossard（前者）と Gerry Gebel（後者）
• 位置付け: 9月4日コールの議事録2件。Brossard 版が技術議論サマリ、Gebel 版が参加者リスト・PR レビュー進捗・Gartner Interop 計画の詳細
• 重要性: 月初の議論起点。Gartner Interop 用に4ユースケース（トークン発行評価／発行＋エンリッチメント／Search 評価／ステップアップ）を定義した経緯はこの両議事録から再構成可能

4.3 Last-minute change — 9月5日（8件）

• 発端: David Brossard が9月5日 Gartner 専用セッションの直前に「会議15分前で出席不可となった、Gerry に司会を引き継ぐ」と通知
• 返信者: Gerry Gebel、Omri Gazitt、Thomas Abbott、Lombardo Jeff
• 内容: 純粋な事務連絡の連鎖だが、副次的に Gartner デモのシナリオ詳細・テスト計画について短いやりとりが発生

4.4 Agenda for Sep 11, 2025 — 9月11日（4件返信）

• 発端: Gerry Gebel が PR #367・#366 と Gartner Interop の3項目を議題告知
• 返信者: George Fletcher（PR #367 の起票者として進捗報告）、Lombardo Jeff、Michiel Trimpe（PR #366 の状態説明）
• 意義: コール直前の議題確認スレッドだが、PR #367 と PR #366 の進捗状況が ML 上で公開された貴重な記録となっている

5. GitHub 上の議論

openid/authzen リポジトリの2025年9月の活動: 新規 issue 1件（#375）、新規 PR 13本（9月中に merge 8本・close 2本、9月末時点で open のまま月跨ぎ 3本。merge 8本のうち 7本は dependabot による依存性更新）。技術議論が活発だった主要 PR を以下に整理する。

5.1 openid/authzen#365 — Proposal for Search APIs using generic definition section（mtrimpe、9月10日 close）

• 提案者: Michiel Trimpe（mtrimpe）
• コメント数: 10件
• 提案内容: Search API の汎用定義フレームワークを導入し、レスポンス構造を標準化。Issue #229・#230 への対応として context キーを追加し、token-based pagination に並ぶ optional な limit-count-total pagination セマンティクスを提案
• 主要批判: Alex Babeanu（baboulebou、Collaborator）が「token + limit を混在させるのは意味をなさない（doesn't really make sense）」と指摘し、データベース慣行に従った offset と limit パラメータ採用を主張
• 結末: 9月10日にクローズ。後続の PR #366 で論点を継承

5.2 openid/authzen#366 — Second proposal for search putting offset first（mtrimpe、9月15日 close）

• 提案者: Michiel Trimpe
• 提案内容: PR #365 のフィードバックを受けて、Search API の pagination を offset ファースト に転換した第2案。当初 position パラメータ案から出発し、offset-first へ進化。token-based と offset/limit の組み合わせも探索
• 結末: 9月15日にクローズ。Trimpe 自身がコメント欄で 5種類の pagination 方式（pagination 廃止／token のみ／offset-limit のみ／両方サポート／capability 宣言型）の比較分析 を投下し、WG として方向性を再考する材料として提示。これが PR #378 の伏線となる

5.3 openid/authzen#367 — Addressing issues #358 and #359 policy metadata（gffletch、9月17日 merge）

• 提案者: George Fletcher（gffletch）
• コメント数: 2件
• 修正内容:
  • .well-known 仕様の参照を RFC 5785 から RFC 8615 に修正
  • Multi-tenant PDP 向けのメタデータ URL 例 を追加
  • メタデータ提供を推奨する文言を追記
• レビュー: identitymonk が contributor レビュー、David Brossard が承認・マージ
• 残課題: Fletcher 自身が「Issue #358 で参照されているエンドポイント命名規則については追加作業が必要」と注記

5.4 openid/authzen#378 — Token-based pagination with support for capabilities（mtrimpe、9月末時点で WG レビュー中）

• 提案者: Michiel Trimpe
• コメント数: 11件
• 提案内容: Token-based pagination をデフォルト とし、limit と offset を オプショナルな capability として宣言する設計。PR #365 / #366 の議論と Sep 25 コールの方向性を踏まえた集約案
• 主要レビュア: Omri Gazitt が「メタデータパラメータの扱いについて明示が必要」と指摘し、AuthZEN Policy Decision Point Metadata Registry で定義されない未知パラメータについて「MUST be ignored とすべき」と提案
• 9月末時点の状況: Trimpe が「Clarified exclusion of non-registry metadata parameters」コミットで Gazitt の TODO に対応中。マージは10月初に持ち越し（実際のマージは10月3日）

5.5 openid/authzen#375 — Insert sample 'default' URLs for the PDP endpoints in the HTTPS binding section（davidjbrossard、9月起票）

• 起票者: David Brossard
• 位置付け: HTTPS binding 節に PDP エンドポイントのサンプル「デフォルト」URL を挿入する作業項目
• 9月25日コール: 「過去の PR で実質的に解決済み」と確認され、ボランティア募集対象から除外されたが、issue 自体は open のまま

なお dependabot[bot] による依存性更新 PR（#368・#369・#370・#371・#372・#373・#376 の axios・vite・form-data・brace-expansion 関連で計7本、#368 のみ9月11日マージ、残り6本は9月17日マージ）は技術議論を伴わないため詳細は割愛する。

6. 関連イベント

Gartner IAM Summit 2025 への準備

12月8〜10日にテキサス州 Grapevine の Gaylord Texan Resort で開催予定の Gartner IAM Summit 2025（Identity & Access Management Summit）に向け、AuthZEN WG は9月を通じてインターオペラビリティデモの仕様確定とデモアプリ開発を加速させた。9月25日時点で sts.authzen-interop.net ホストのデモアプリが稼働しており、Cerbos（PDP）と Auth0（IdP）の組み合わせを軸に複数 IdP の統合を進める計画が確定した。

IETF 124 Montreal（11月予告）

2025年11月1〜7日に Montreal の Fairmont The Queen Elizabeth で開催予定の IETF 124 が9月末時点で公示済み。AuthZEN WG として公式にセッション枠を設けた事実は確認できないが、9月23日に AuthZEN ML へ投稿された Salim BOU ARAM の draft-bouaram-oidc-email-linking-extension-00（IETF Individual Draft）は IETF コミュニティへの提示も視野に入れたものであり、メンバー個人レベルでの動向把握対象であった。

7. 今後の予定（2025年9月末時点の視点）

9月末時点の公開情報および ML 上で言及されていた次月以降の予定:

• Pagination 最終決定: 10月初の定例コールで PR #378 のマージ可否と pagination 設計の最終勧告。Omri Gazitt が Alex Babeanu とのオフライン討議結果をもとに WG 投票準備
• Authorization API 1.0 Final 仕様化のプロセスとタイムライン: 9月25日コールでの決定どおり、10月初の ML 投稿で正式アナウンス予定
• Gartner IAM Summit デモアプリの拡充: 追加の IdP 統合、メタデータコンポーネントの定義、ポリシー追加、システム応答の文書化
• Interop 参加 IdP の確定: Gerry Gebel が IdP リストを更新し、参加打診を継続
• OpenID Connect Email Account Linking Extension への対応方針: AuthZEN WG として AB/Connect WG へ持ち込むか、独自にコメントを返すかの判断

8. 参考情報源

• AuthZEN Working Group - OpenID Foundation — WG 概要・共同議長
• GitHub openid/authzen — 仕様ソース・Issue・PR
• openid-specs-authzen ML 2025年9月アーカイブ — 全37件の9月分 ML スレッドインデックス
• HackMD @oidf-wg-authzen — 議事録ホスト先
• Notes from Sep 4 — 9月4日定例コール議事録（Gerry Gebel）
• Notes from Thursday's Call — 9月4日定例コール議事録（David Brossard）
• Meeting notes from Sep 11 — 9月11日定例コール議事録
• Meeting notes from Sep 18 — 9月18日定例コール議事録
• Notes for Sep 25 — 9月25日定例コール議事録
• PR #365 Search APIs generic definition — Michiel Trimpe、9月10日 close
• PR #366 Second proposal offset first — Michiel Trimpe、9月15日 close
• PR #367 Issues #358 #359 policy metadata — George Fletcher、9月17日 merge
• PR #378 Token-based pagination with capabilities — Michiel Trimpe、9月末時点 WG レビュー中
• Issue #375 Sample default URLs for PDP endpoints — David Brossard
• draft-bouaram-oidc-email-linking-extension-00 — Salim BOU ARAM の IETF Individual Draft
• 2025年10月レポート — 翌月の続報（Authorization API 1.0 Draft-04 公開と60日間パブリックレビュー開始を含む）