idbok

Appearance

OpenID Foundation AuthZEN WG 活動レポート (2025年10月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

AuthZEN WG は、PEP(Policy Enforcement Point)と PDP(Policy Decision Point)の間のインタラクションを標準化する Authorization API 仕様を策定している Working Group である。2025年10月時点の共同議長は Omri Gazitt(Aserto CEO)、David Brossard(Axiomatics CTO)、Gerry Gebel の3名。

2025年10月は、Authorization API 1.0 が Final Specification に向けて大きく前進した節目の月であった。10月7日に Draft-04 が Working Group Draft として公開 され、同時に14日間の WG 内部レビュー期間が開始。10月23日の定例コールで Draft-04 が WG 内で満場一致(unanimous)で Final Specification 候補として承認 され、同日 OpenID Foundation 事務局(Marie Jordan ボード秘書)から 60日間パブリックレビュー期間(2025年10月23日〜12月22日)の開始 が正式に告知された。これにより AuthZEN WG は「12月の Gartner IAM Summit での Final 公表」という年初からの目標に対し、タイムラインどおり到達可能な位置に立った。

技術議論では、Pagination(カーソルベース唯一の採用決定)、URL パス一貫性(/access/v1/ パス整備)、Transport Binding(HTTPS/JSON を normative に)、PEP/PDP 用語統一といった Draft-04 の最終整形作業が 10月前半に集中。10月9日には Gartner IAM インターオペラビリティの範囲について「複数 IdP が Token issuance の決定 ユースケースに対応困難」という Vladi Berger の指摘を受け、デモの焦点を単一の Search API ユースケースに縮小する という方針転換が共同議長判断で行われた。

また組織面では、OpenID Foundation が 新しい Notes & Recordings Policy(2025年9月11日ボード承認)を10月9日に全 WG/CG 共同議長へ通達 し、AI 文字起こしボットの WG コールへの参加を禁止した。AuthZEN WG にもこの通達が ML に転送された。

2. 公開された仕様・ドラフト改訂

Authorization API 1.0 Draft-04 公開(2025年10月7日)

Draft-04 の主な技術的確定事項(10月2日コールおよび直前の PR #378〜#381 から再構成):

  • Pagination: カーソルベースのみを normative として採用決定。Michiel Trimpe が提案していた offset ベース案は 1.0 本体から外し、将来のプロファイルとして別ドラフトで維持
  • URL パス: PDP Metadata 例示の /access/v1/evaluation と versioning テキストの /v1/ 表記の不整合を解消。仕様に「access」プレフィックスを明示
  • Transport Binding: HTTPS / JSON を normative に固定し、非 HTTP 型トランスポート(例: gRPC)は将来の profile で対応する方針を明文化
  • PEP / PDP 用語統一: 仕様内を「PEP」「PDP」で統一し、PEP が Search や他コンテキストでも用いられる点を non-normative な説明として追記

WG 内部14日間レビュー期間の開始(2025年10月9日)

Omri Gazitt が10月9日コールで「Working Group Draft-04 の14日間レビュー期間を本日から開始する」と宣言。軽微な変更(タイポ・表現整合性)は Final レビュー扱いに戻さずに許容するという運用方針が合わせて確認された。

Authorization API 1.0 60日間パブリックレビュー期間の告知(2025年10月23日)

OpenID Foundation ボード秘書 Marie Jordan が Public Review Period for Proposed Authorization API 1.0 Final Specification を公開。

主要日程:

フェーズ期間
60日間パブリックレビュー期間2025年10月23日 〜 2025年12月22日
投票告知(Notice of Vote)2025年12月9日
公式投票期間2025年12月23日 〜 2026年1月6日(14日間)

Final Specification 化されれば、実装者に対する OpenID Foundation 知的財産権保護が発効する。レビュー期間中に WG が「ドラフト修正を要する」と判断する論点が提起されない限り、パブリックレビュー終了後14日間の投票に進む旨が明記された。

PR 単位の変更(GitHub では20本がマージ)

openid/authzen リポジトリでは10月中に 20本の PR がマージ されたが、issues は 新規ゼロ であった(10月16日コールで「まだ issue は起票されていない」と確認済み)。主要 PR は §5 で詳述。

3. ミーティングと議論

AuthZEN WG は週次(木曜 PT 時刻)に定例コールを開催しており、10月は 5回開催(10月2日・9日・16日・23日・30日)。いずれの議事録も Gerry Gebel がメーリングリストに投稿している。

10月2日コール

  • 参加者: Jeff Lombardo、Michiel Trimpe、David Brossard、Alex Olivier、Gerry Gebel、Julio Auto De Medeiros、Dave Hyland、Edmund Jay、Vladi Berger(9名)
  • 議事録: Meeting notes from Oct 02

主要決定事項:

  • Pagination 最終化: 「カーソルベースのみを mandatory とする」と確定。Michiel が offset ベース版を 1.0 以降のプロファイル候補として別途維持
  • Draft-05 スケジュール(当時の予定): 翌日 Draft-05 を作成し、翌週から14日間の内部レビュー。フィードバック用コール2回を経て OIDF の60日間パブリックレビューを要請、という流れで Gartner IAM TX '25 での公表タイミングに合わせる 計画が立てられた(※実際には Draft-04 から直接 Final 投票に進む経路で進行)
  • URL パス不整合の解消方針: Metadata 例(/access/v1/evaluation)と versioning テキスト(/v1/)の齟齬を「access」プレフィックスで統一
  • Transport Binding: HTTPS/JSON を normative、他トランスポートは将来プロファイル
  • PEP / PDP 用語: 仕様内の表記統一と PEP の広がり(Search コンテキスト等)の non-normative 説明追加
  • インターオペラビリティ準備: Curity が統合完了、サンプルデータ標準化を新規 IdP 受け入れ前の優先事項に

アクションアイテム: Pagination PR マージ(共同議長)、サンプルデータ最終化(David Brossard)、IdP オンボーディング調整(David & Alex Olivier)。

10月9日コール(通常より1時間早い開始)

  • 参加者: Alex Babaenu、Jeff Lombardo、Tom Jones、Wei Dai、Chiranjeewee Koirala、David Brossard、Julio Auto De Medeiros、Omri Gazitt、Roland Baum、Gerry Gebel、Vladi Berger、George Fletcher、Elie Azerad(13名)
  • 議事録: Notes from Oct 9 meeting
  • 特記: Gerry Gebel が Agenda for Oct 9 (alert, this meeting is one hour earlier) で通常時刻より1時間早い開始を告知。David Brossard もリマインダを送信

決定的な方針転換: Vladi Berger が「複数の IdP が、初期ユースケース(トークン発行時の認可決定)に対応できない」という critical concern を提起。会議後、共同議長が再招集して Gartner インターオペラビリティのスコープを縮小 することを決定。Identiverse で既に実施した Search インターオペラビリティのデータを転用し、「トークンに含めるクレーム/スコープの判定を Search API のみで行う」という単一ユースケース に絞り込む方針となった。

Omri による Draft-04 最終化状況の共有もこの回で実施。アクションアイテムとして「David と Gerry がインターオペラビリティドキュメントを更新し ML に配布」が確認された。

10月16日コール

  • 参加者: Omri Gazitt、Vladi Berger、Gerry Gebel、Alex Babeanu、David Brossard、Dave Hyland、Edmund Jay、Alex Olivier、Tom Jones(9名)
  • 議事録: Notes from Oct 16 call

主要議題:

  • Draft-04 レビュー状況: 「Final Specification 昇格投票まで残り1週間」。この時点で起票された issue は無く、GitHub 経由でのフィードバック投稿が改めて呼びかけられた
  • Gartner インターオペラビリティユースケース再整形(10月9日の方針転換を具体化):
    • トークン発行ユースケースを削除し、Search API に一本化
    • 既存ユーザー・ポリシー・レコードを流用
    • delete 機能に関連するポリシーのみ実装
    • Evaluations API はデモから除外
  • 実装担当の割り振り: Auth0 実装は Alex Olivier が完了、Ping Identity は Dave Hyland が担当、Azure 担当者は未定、test harness runner 更新は Omri
  • 認定・適合性テスト: Edmund Jay が conformance test 開発をリード。ネガティブシナリオ・Metadata エンドポイント検証を含むテストドキュメントを Final 公開前に完成させる計画
  • Gartner IAM スケジュール: 12月の複数セッション枠が確定

10月23日コール(Draft-04 最終承認)

投票結果: Draft-04 を Final Specification 候補として満場一致で承認。Gerry が OIDF 事務局へ全体承認・投票手続き開始の連絡を行うと確約した。

その他議題:

  • IIW カンファレンス報告(Omri): WG のプロセスと Final 到達準備態勢に対し参加者からポジティブなフィードバック。認定テストフレームワーク、および AuthZEN と Shared Signals との接点(pagination が実際に議論されたとの補足付き)が話題に
  • Gartner インターオペラビリティ: Test harness が authzen-interop.net で稼働中、3実装がテストスイートを通過
  • Draft-04 残課題: PEP 定義、Decision コンテキスト明確化、壊れた section marker 修正等の非材質的変更を次版に反映
  • コントリビュータ追加: Elie Azerad を spec の contributor 欄に追加

議事録への返信として Alex Olivier(Cerbos) が「参加 IdP は OAuth クライアント情報を自分に送ってほしい、自分がインターオペラビリティアプリに追加する」と運用調整を申し出た。また Gail Hodges(OIDF Executive Director) は WG の満場一致承認をマイルストーンとして称賛し、Elizabeth Garber(OIDF スタッフ)の Gartner IAM 現地参加 を告知(Elizabeth は講演予定もあり断続的参加)。

10月30日コール

  • 参加者: Alex Babeanu、Julio Auto De Medeiros、Gerry Gebel、Jonas Iggbom、Dhiren Patra、Omri Gazitt、Tom Jones、Edmund Jay、Dave Hyland(9名)
  • 議事録: Notes from Oct 30 call

主要議題:

  • Final Specification 状況: 10月23日の OIDF パブリックレビュー告知を確認。軽微な更新(コントリビュータ追加・フィードバック反映)を次版で実施するため、OIDF 事務局から新ドラフト番号(-05)を取得する作業を進行中
  • インターオペラビリティデモ: 新規ベンダー統合がデモポータルに反映。参加締切は 12月1日 と確定
  • 業界での採用状況: 直近のベンダーランドスケープ調査で「ベンダーの80%が AuthZEN 対応を表明」との結果が報告され、顧客 RFP でも AuthZEN 互換性が要求条件として登場しつつあるとの認識が共有された
  • 認定プログラム: Conformance テストフレームワークの議論開始。テストアプローチのプレビューデモが2〜3週間後を目処に予定
  • カンファレンス参加: European Identity Conference への セッションプロポーザル準備中

4. メーリングリストの主要スレッド

10月の openid-specs-authzen ML への投稿は全18通・14スレッド。定例コール運営メッセージを除くと、技術的に注目された議論は以下。

Draft-04 公開告知

AuthZEN draft 04 is published! - 2025-10-02 / Omri Gazitt

Omri が Draft-04 の公開(https://openid.net/specs/authorization-api-1_0-04.html)を告知し、「公式 WG フィードバック期間を本週から開始する」と宣言。年内 Final Specification 到達を見込むスケジュールが初めて明示的に示された投稿。

OpenID Foundation Notes & Recordings Policy 通達

New OpenID Foundation Notes & Recordings Policy - 2025-10-09 / Mike Leszcz

OIDF のコミュニティ運営責任者 Mike Leszcz が、2025年9月11日にボードで承認された新しい Notes & Recordings Policy の即時適用を全 WG/CG 共同議長に通達した投稿の ML 転送。主要な内容:

"The use of AI bots or any automated transcription services by any Meeting Organizer or Attendee ... is prohibited."

ミーティングオーガナイザーは Zoom/Teams 等のプラットフォームから AI ボットの退出を要求する権限を持つと明記。OIDF は「単一かつ権威ある会議記録」を維持し、異なる文字起こしサービス間の矛盾を避けることを目的とした。AI・文字起こし技術の進化に応じて将来ポリシーを見直す可能性、および2026年の戦略計画でミーティング録画維持のためのリソース必要性を議論中である旨も併記された。

この通達は AuthZEN だけでなく全 WG/CG に同文で配信された OIDF 横断の運営変更であり、他 WG(AIIM・Shared Signals 等)の10月レポートでも同時期に言及される

Gartner IAM インターオペラビリティユースケース文書更新

Updated interop use case document for Gartner IAM - 2025-10-09 / Gerry Gebel

10月9日コールで合意された「Search API に一本化したスコープ縮小」を反映したユースケース文書(HackMD 上)の更新を共有するメッセージ。メール本文は簡潔で具体的な変更点は記載されていないが、10月16日コールで内容を再レビューする旨が告知された。

WIMSE WG との認可アーキテクチャ議論

FW: [WIMSE] Re: [Wimse] Authorization - some ideas - 2025-10-23 / Jeff Lombardo(Amazon Web Services) 返信 - David Brossard(Axiomatics)

Jeff Lombardo が IETF WIMSE WG(Workload Identity in Multi-cloud and Edge computing)ML で交わされた David Brossard の投稿を AuthZEN ML に転送。Brossard の主張:

  • OAuth 中心モデル vs ABAC モデル: OAuth はアクセス委譲を得意とするが「認可決定はアプリ側に残す」のに対し、ABAC は PDP に認可を外部化する
  • PEP/PDP アーキテクチャの推奨: PEP を Gateway スタイル(Kong・Istio 等)でデプロイ、PDP の役割を担う候補として OpenID AuthZEN を挙げる
  • NIST フレームワークの参照: NIST 800-162(ABAC)および NIST 800-207(Zero Trust)への整合を強調
  • ランタイム認可の原則: 「decisions are made at access time, not login, not session, not creation」を zero-trust と整合する設計思想として提示
  • WIMSE への提案: 認可ユースケース定義、AuthZEN 等のプロファイル作成、サンプルポリシー提供を推奨(コア仕様ではなく companion 文書で)
  • ポリシー言語: ALFA / Rego / Cedar を選択肢として言及

また Lucia Cabanillas(WIMSE 側)は「現在のドラフトでなぜ PDP が optional になっているか」と問いを立て、より強い認可要件を主張した。

この議論は AuthZEN が AI エージェント/ワークロード認可領域(WIMSE)で PDP 標準として位置付けられ得る ことを示す重要な意思表示であり、AuthZEN WG 側では翌月(2025年11月)に Jeff Lombardo が AI プロトコルのマッピング として発展させる伏線となった。

5. GitHub 上の議論

openid/authzen リポジトリでは、10月中に 20本の PR がマージ新規 issue は0本 であった。Issue ゼロは「Draft-04 WG レビュー期間中に実装者側から仕様修正要求が出なかった」ことを示しており、10月16日および23日コールでも同趣旨が確認されている。

主要 PR を以下に抜粋する(マージ日昇順)。

インターオペラビリティ関連 PR 群

  • openid/authzen#377 - IdP Interop Application(alexolivier、2025-10-01 マージ): 12月の Gartner IAM 向けインターオペラビリティアプリケーションの初期実装
  • openid/authzen#384 - Add README to IdP Demo App(alexolivier、2025-10-06)
  • openid/authzen#385 - Revise identity provider setup instructions in README(alexolivier、2025-10-09)
  • openid/authzen#386 - Demo data and description for the IdP Interop in December 2025(davidjbrossard、2025-10-10): 10月9日コールで方針転換したユースケース縮小を反映する主要デモデータ更新
  • openid/authzen#387 - Change IdP demo to record(alexolivier、2025-10-17)
  • openid/authzen#388 - adapted search demo test harness to the IDP interop(ogazitt、2025-10-19)
  • openid/authzen#389 - created IdP scenario node in interop website(ogazitt、2025-10-19)
  • openid/authzen#393 - Simplify IdP setup(alexolivier、2025-10-24)
  • openid/authzen#395 - Use OIDC discovery if available(alexolivier、2025-10-29)
  • openid/authzen#397 - make record ids strings(ogazitt、2025-10-29)

仕様本体の PR 群

  • openid/authzen#378 - Token-based pagination with support for capabilities(mtrimpe、2025-10-03): 10月2日コール合意の「カーソルベース唯一」を反映した pagination 仕様更新
  • openid/authzen#379 - Added endpoint overview and JSON mapping(mtrimpe、2025-10-01)
  • openid/authzen#380 - Update Authorization API title and contributors(davidjbrossard、2025-10-01)
  • openid/authzen#381 - Consistency edit(mtrimpe、2025-10-05)
  • openid/authzen#382 - changed spec version back to 4(ogazitt、2025-10-03): Draft 番号調整
  • openid/authzen#383 - added PDP / PEP definitions and search response examples(ogazitt、2025-10-06): 10月2日コール合意の「PEP/PDP 用語統一」と non-normative 拡張説明の反映
  • openid/authzen#392 - updated spec to incorporate Michiels comments(ogazitt、2025-10-23): Draft-04 最終整形、投票前の微修正

依存関係更新

  • openid/authzen#390#391#396 - Dependabot による vite 6.3.6 → 6.4.1 アップデート(/interop/authzen-todo-application/interop/authzen-idp/interop/authzen-search-demo の3箇所)

6. 関連イベント

Internet Identity Workshop (IIW) XLI(2025年10月21〜23日)

Mountain View, CA の Computer History Museum で開催された IIW 第41回。10月23日 AuthZEN コールで Omri Gazitt が報告したとおり、AuthZEN WG のプロセスと Final Specification 到達準備態勢に参加者からポジティブな反応があり、Shared Signals との接点(特に pagination の議論)や 認定テストフレームワーク が話題に上った。

Gartner IAM Summit 2025(12月開催)準備

2025年12月9〜10日にテキサス州 Grapevine(Gaylord Texan Hotel)で開催される Gartner IAM Summit への準備が10月を通じて加速。10月中に以下が具体化した:

  • インターオペラビリティユースケースの Search API 単一化(10月9日方針転換)
  • デモサイト authzen-interop.net の稼働開始と3実装のテストスイート通過
  • 参加締切の 12月1日 確定
  • 実装担当の割り振り(Auth0: Alex Olivier 完了、Ping Identity: Dave Hyland、Azure: 未割当)

新しい Notes & Recordings Policy の発効

10月9日に全 WG/CG へ通達された新ポリシーにより、AuthZEN WG を含む全ての定例コールで AI 文字起こしボットの参加が禁止された。この運営変更は OIDF 横断のガバナンス更新であり、WG コールの録画・議事録方針にも波及した。

7. 今後の予定(2025年10月末時点)

10月末時点で AuthZEN WG が見据えていた次月以降の予定:

  • 11月6日・13日・20日: 週次定例コール(27日は米国感謝祭で中止見込み)
  • 60日間パブリックレビュー期間継続(2025年12月22日まで)。レビュー中に提起された論点が仕様修正を要するとなれば Final プロセスはリセット
  • 新ドラフト番号(-05)での軽微更新公開: コントリビュータ追加・フィードバック反映を OIDF 事務局の承認後に公開予定
  • Conformance テストフレームワーク: Edmund Jay 主導で Final 公開前に完成を目指す。プレビューデモは2〜3週間後を想定
  • 12月9〜10日 Gartner IAM Summit: インターオペラビリティデモ(複数セッション)の最終調整
  • 12月9日: 投票告知(Notice of Vote)
  • 12月23日〜2026年1月6日: Authorization API 1.0 Final Specification 承認投票
  • European Identity Conference 2026: セッションプロポーザル準備中

8. 参考情報源