OpenID Foundation AuthZEN WG 活動レポート (2025年11月)

執筆日: 2026-04-22（遡及執筆）

1. 概要

AuthZEN WG は、PEP（Policy Enforcement Point）と PDP（Policy Decision Point）の間のインタラクションを標準化する Authorization API 仕様を策定している Working Group である。2025年11月は、10月23日に開始した Authorization API 1.0 の60日間パブリックレビュー期間が継続する中、最終仕様の微調整と12月初旬の Gartner IAM Summit 2025 でのインターオペラビリティデモ準備に活動が集中した月であった。

Draft-05（Authorization API 1.0 Final Specification）が11月19日に正式公開され、60日間レビュー期間は12月22日まで継続する予定であった。GitHub では主にインターオペラビリティサイトへの参加ベンダー追加と、record クレームの実装ガイダンスを明確化するスペック修正が行われた。

月末はアメリカの感謝祭休暇のため11月27日の定例コールが中止となった。

2. 公開された仕様・ドラフト改訂

Authorization API 1.0 Draft-05 公開

• 公開日: 2025年11月19日（ただし、パブリックレビュー通知自体は10月23日）
• 仕様 URL: https://openid.net/specs/authorization-api-1_0-05.html
• 変更内容:
  • Julio Auto De Medeiros による一貫性・明確性の改善提案を反映（PR #398）
  • IdP インターオペラビリティ仕様における record クレームの実装ガイダンス明確化（PR #405）
  • これらは「consistency enhancements」および「minor typographical fixes」であり、60日間レビュー期間はリセットされない
• レビュー期間: 2025年10月23日〜12月22日（変更なし）
• 投票予定: 2025年12月23日〜2026年1月6日

OpenID Foundation の公式発表（Public Review Period for Proposed Authorization API 1.0 Final Specification）によると、11月19日に公開されたマイナーアップデートはレビュー期間を変更しないことが明示された。

3. ミーティングと議論

11月6日定例コール

• 開催日: 2025-11-06
• 参加者: Gerry Gebel、Jonas Iggbom、Julio Auto De Medeiros、Tom Jones（4名）
• 主要議題:
  • Draft-04/05 の最終更新プロセス
  • Gartner インターオペラビリティ状況報告

Omri Gazitt が Slack 経由で「draft-04 は変更不可（frozen）」と伝達。新たな変更要求が出ていないため、draft-05 への移行をそのまま進めることになった。60日間レビュータイムラインへの影響はなし。

Gartner インターオペラビリティの状況報告では、Gluu が IdP として統合完了、Keycloak・Duende・Ping・Thales・WSO2 が対応作業中であり、デッドラインは12月1日であることが確認された。

11月13日定例コール

• 開催日: 2025-11-13
• 参加者: Joe DeCock、Michiel Trimpe、Hodari McClain、Omri Gazitt、Dave Hyland、Tom Jones、Gerry Gebel（7名）
• 主要議題:
  • Draft-05 の公開状況確認
  • Gartner インターオペラビリティ準備状況
  • Dutch government AuthZEN プロファイル

Draft-05 は openid.github.io/authzen/ でアクセス可能な状態だが、まだ正式公開前。パブリックコメントはゼロ。Omri の PR は OIDF の Mark のレビュー待ちで、内容はマイナーな更新のみ。

Duende のローカル実装が動作確認済みであり、公開デプロイが間もなく行われる見込み。

Dutch government AuthZEN プロファイル: Michiel Trimpe が、オランダ政府向けの AuthZEN プロファイル（Dutch government-specific profile）がステークホルダー評価の初期段階にあると報告。これは政府機関が AuthZEN を採用する際の国別プロファイルの検討事例として注目される。

翌週（11月20日）に Axiomatics がウェビナーを開催し、AuthZEN と Gartner インターオペラビリティを扱う予定であることが告知された。

11月20日定例コール

• 開催日: 2025-11-20
• 参加者: Jonas Iggbom、Julio Auto De Medeiros、Gerry Gebel、Omri Gazitt、Dave Hyland、Jeff Lombardo（6名）
• 主要議題:
  • Draft-05 の正式公開確認
  • Gartner インターオペラビリティ最新状況
  • クレームエンリッチメントの実装ガイダンス統一

Draft-05 が https://openid.net/specs/authorization-api-1_0-05.html に正式公開されたことが確認された。

Gartner インターオペラビリティでは新たに SGNL と WSO2 が PDP として追加、Duende が IdP として追加された。12月9日の概要セッション（10:30〜11:00）と12月9〜10日の複数インターオペラビリティセッション（Austin 1 会場）が確定した。

クレームエンリッチメントの実装統一: IdP インターオペラビリティにおいて、アイデンティティトークン中の record クレームの値について実装間で不一致が生じていた問題が議論された。Auth0 のアプローチ（レスポンスの array をそのまま使用してトークンをポピュレートする）に統一することが勧告され、PR #405 として仕様が更新された（後述§5参照）。

Omri は補足として、IdP インターオペラビリティ仕様が更新され、JWT 中の record クレームとレスポンスペイロードの関係が明確化されたことを参加者に共有した。

感謝祭による定例コール中止

11月27日の定例コールはアメリカの感謝祭休暇のため中止。次回は12月4日（通常より2時間遅い時刻）に開催予定。

4. メーリングリストの主要スレッド

AI プロトコルにおける既存標準の活用

FW: Follow-up on the Tuesday side meeting on AI Protocols - 2025-11-04 開始

Jeff Lombardo（Amazon Web Services）が、AI プロトコルに関する会議でのフォローアップとして、既存のアイデンティティ標準の整理を投稿した。Lombardo は、ICAM（Identity, Credentialing and Access Management）トピックが AI プロトコルの文脈で再定義されるのではなく、既存標準を活用すべきだと主張した。

マッピングの要点：

• OAuth WG: トラストドメイン間の認可委譲
• OpenID Connect: ユーザー認証
• WIMSE WG: エージェント認証・ワークロード間インタラクション
• ABAC/Cedar: 認可ポリシー記述
• AuthZEN: PEP-PDP API 標準化

Alex Babeanu（IndyKite）は簡潔にこの整理への謝意を示した。このスレッドは AuthZEN が AI エージェント認可の文脈でどう位置づけられるかを示す重要な議論であった。

X-Request-ID ヘッダー生成に関する質問

Question: X-Request-ID Header Generation - Authorization API Specification - 2025-11-17 開始

新メンバーの Eric Leleu（Gravitee、Staff Software Engineer/AM Tech Lead）がコントリビューション合意に署名後、初の技術的質問を投稿した。

問題提起: 仕様のセクション 10.1.3 によると、X-Request-ID ヘッダーは PEP がリクエストごとの識別子を生成し、レスポンスにも返されなければならない。しかし PEP がこのヘッダーを送信しなかった場合、PDP は独自の識別子を生成する義務があるべきか？これが実装されればデバッグやオーディティングに有益だという提案。

Omri Gazitt の回答（11月20日）: X-Request-ID は「クライアントがトリガーするリクエストとレスポンス間のオプションの相関メカニズム」であると説明。PDP が自前のロギング目的で他のレスポンスヘッダーを追加することは妨げないが、PDP 側の相関 ID 生成機構を仕様に含めることは「v1 のスコープ外」であり、将来のバージョンで検討の余地があるとした。

この議論は、スペックの境界を明確に引き直した実用的なやり取りであった。

Gartner IAM Grapevine 2025 の会場・スケジュール

Update from Gartner re. logistics at Gartner IAM Grapevine 2025 - 2025-11-17

David Brossard（Axiomatics CTO、AuthZEN 共同議長）が Gartner IAM Summit（テキサス州グレープバイン）での AuthZEN インターオペラビリティセッションのスケジュールを共有した。

会場: Austin 1

• 火曜日: 12:00〜12:30、14:00〜14:30、15:45〜16:15
• 水曜日: 10:30〜11:00、12:00〜12:30

5. GitHub 上の議論

PR #398 - Draft-05 最終仕様（最重要）

openid/authzen#398 - draft 05 (final specification)

• Author: ogazitt（Omri Gazitt）
• Merged: 2025-11-08
• バージョンバンプ、変更履歴追加、Julio Auto De Medeiros からの一貫性・明確性改善提案を反映。ggebel がレビューし承認。

PR #405 - クレームエンリッチメントの実装ガイダンス明確化（技術的に最重要）

openid/authzen#405 - updated guidance for claim enrichment

• Author: ogazitt（Omri Gazitt）
• Merged: 2025-11-20
• 技術背景: IdP インターオペラビリティにおいて、JWT アイデンティティトークン中の record クレームの値について、複数の実装がそれぞれ異なるアプローチを採用していた：
  1. レスポンスの results 配列をそのまま使用する（Auth0 方式）
  2. 文字列識別子のみにフラット化する
  3. Resource Search API レスポンス全体を埋め込む
• 解決策: Auth0 実装のアプローチに統一。レスポンスの配列を直接使用し、それでトークンをポピュレートする。
• ggebel が承認、alexolivier（Cerbos）と davidjbrossard（Axiomatics）がレビュアーとして指定された。

PR #400, #401, #407 - インターオペラビリティ参加ベンダー追加

• openid/authzen#400: Gluu と WSO2 の追加（2025-11-19）
• openid/authzen#401: SGNL の追加とハーネス修正（2025-11-19）
• openid/authzen#407: Apache KIE、Ping、PlainID の追加（2025-11-28）

11月を通じて、Gartner デモに向けてインターオペラビリティ参加ベンダーが段階的に追加された。

PR #404 - IdP ボタンレイアウト修正

openid/authzen#404 - fix: IdP button layout

• Author: alexolivier（Alex Olivier, Cerbos）
• Merged: 2025-11-20
• インターオペラビリティデモサイトの UI 修正。ggebel がレビュー・承認。

6. 関連イベント

Gartner IAM Summit 2025 準備

2025年12月9〜10日、テキサス州グレープバイン（Gaylord Texan Hotel）で開催される Gartner IAM Summit 2025 に向けて、11月は準備作業が本格化した。

11月25日には OpenID Foundation がブログ記事「See AuthZEN in action at Gartner IAM 2025」を公開。参加組織として Axiomatics、Cerbos、Topaz、Curity、Gluu、Duende 等が挙げられた。

AuthZEN の意義について David Brossard（Axiomatics CTO）は次のように述べた：「IAM において永続的な課題であるフラグメント化した認可の問題に取り組んでいる」。WG の三つの主要目標として以下が示された：

1. PEP-PDP インタラクションの標準化
2. 利用パターンとベストプラクティスの文書化
3. アクセスポリシーを PDP に伝達する標準の策定

Axiomatics ウェビナー（11月27日）

11月13日の定例コール中に告知された Axiomatics のウェビナーが11月27日に開催。AuthZEN と Gartner インターオペラビリティを主題とした内容だった。

7. 今後の予定（2025年11月末時点）

• 12月4日: 次回 AuthZEN 定例コール（通常より2時間遅い時刻）
• 12月9〜10日: Gartner IAM Summit 2025（テキサス州グレープバイン）でのインターオペラビリティデモ
  • 12月9日 10:30〜11:00: 概要セッション
  • 12月9〜10日: 複数インターオペラビリティセッション（Austin 1 会場）
• 12月22日: Authorization API 1.0 60日間パブリックレビュー期間終了
• 12月23日〜2026年1月6日: Authorization API 1.0 承認投票

8. 参考情報源

• openid-specs-authzen メーリングリスト 2025年11月アーカイブ - 12スレッド、ミーティングノート・技術議論含む
• HackMD: AuthZEN WG ミーティング 2025-11-06
• HackMD: AuthZEN WG ミーティング 2025-11-13
• HackMD: AuthZEN WG ミーティング 2025-11-20
• Authorization API 1.0 Draft-05
• Public Review Period for Proposed Authorization API 1.0 Final Specification - 2025-10-23
• See AuthZEN in action at Gartner IAM 2025 - 2025-11-25
• openid/authzen GitHub リポジトリ
• PR #398 - draft 05 (final specification)
• PR #405 - updated guidance for claim enrichment
• AuthZEN Interoperability site