OpenID Foundation AuthZEN WG 活動レポート (2026年1月)

執筆日: 2026-04-18（遡及執筆）

1. 概要

AuthZEN Working Group (WG) は、Policy Decision Point (PDP) と Policy Enforcement Point (PEP) 間の標準化された認可 API を策定する OpenID Foundation のワーキンググループである。2026年1月は、WG にとって歴史的な節目となる月であった。

最大のトピックは Authorization API 1.0 の Final Specification 承認である。2025年12月23日から2026年1月6日まで実施された OIDF 会員投票で、107票が集まり（賛成 81、反対 1、棄権 25）、必要定足数 75 票を大幅に超過した。1月12日、OIDF 事務局が正式に承認を発表した。

また、承認を受けた 1月8日の定例コールでは、WG 創設から関わってきた共同議長 Gerry Gebel と Omri Gazitt が退任し、新たに 4 名の共同議長が選出されるという大きなリーダーシップ交代が行われた。月後半には 2026 年の技術ロードマップの輪郭が固まり、MCP（Model Context Protocol）統合・認定プログラム・XACML プロファイルが優先課題として浮上した。

2. 公開された仕様・ドラフト改訂

Authorization API 1.0 Final Specification 承認

• 投票期間: 2025年12月23日 〜 2026年1月6日 正午（太平洋時間）
• 投票結果: 賛成 81、反対 1、棄権 25（合計 107 票 / 378 会員の 28.3%、定足数 20% を超過）
• 正式承認日: 2026年1月12日
• 仕様 URL: https://openid.net/specs/authorization-api-1_0.html

Authorization API 1.0 は、PEP が PDP に対して「主体（Subject）がリソース（Resource）に対するアクション（Action）を許可されているか」を問い合わせる REST API を標準化する仕様である。Final Specification ステータスにより、実装者への IP 保護が確立され、仕様の内容は固定される。

PR #422: 最終公開向け整備

承認直前の 2026年1月11日、prep for final publication と題する PR #422（作成者: Omri Gazitt）がマージされた。主な変更内容:

• ドキュメントタイトルからリビジョン番号を除去
• Document History セクションを削除（最終仕様ではバージョン履歴を持たない）
• OIDF 著作権表示の年を 2026 に更新

これにより、仕様書が最終版フォーマットに整備された。

3. ミーティングと議論

AuthZEN WG の定例コールは毎週火曜日 11:00 太平洋時間に開催されており、1月は 4 回（8日・15日・22日・29日）実施された。

2026年1月8日 定例コール

参加者（13名）: Alex Olivier、David Brossard、Gerry Gebel、Gert Drapers、Dave Hyland、Julio Auto de Medeiros、Omri Gazitt、John O'Leary、Atul Tulshibagwale、Thomas Tran、Alex Babeanu、Roland Baum、David McNeely

主要議題と決定事項:

• 投票結果の確認: 「107 票が集まり（必要定足数 75 票を超過）」と報告。OIDF は安定 URL が確定次第プレスリリースを発行する予定で、Omri Gazitt が Mark Haine と協力して最終 PR を担当することが決まった。

• 共同議長の交代（主要決定）: 創設メンバーとして WG を牽引してきた Gerry Gebel と Omri Gazitt が共同議長を退任。後任として以下 4 名が新共同議長に選出された:

  • Alex Olivier
  • Alex Babeanu
  • Julio Auto de Medeiros
  • Atul Tulshibagwale

  David Brossard は引き続き共同議長を務める。

• 2026年の優先課題: 活発なブレインストーミングの結果、以下の作業項目が整理された:

  • MCP（Model Context Protocol）統合プロファイルの策定
  • エージェント間シナリオの仕様化
  • 義務（Obligations）機能の完成
  • JSON Schema / OpenAPI 仕様の整備
  • 分散型エンフォースメント（Decentralized Enforcement）ユースケースの文書化
  • ポリシー配布フレームワーク（Policy Distribution API）
  • AI エージェント委任（Delegation）シナリオ
  • OAuth プロファイルの策定
  • Partial Evaluation API
  • Shared Signals Framework との統合
  • IDP・APIゲートウェイ・監査ログ向け特化プロファイル
  • 認定（Certification）プログラムの仕様化

• イベント計画:

  • Gartner IAM London: セッション 1 枠確保済み。デモルームは今年スペース制約のため未確定
  • Identiverse: David Brossard が Alex Babeanu・Alex Olivier・Atul Tulshibagwale とのパネルを応募予定
  • EIC Standards Award への応募を検討

(議事録 2026-01-08 より、HackMD https://hackmd.io/@oidf-wg-authzen/wg-meeting-20260108)

2026年1月15日・22日 定例コール

1月15日・22日の各会議では、1月8日で定めた 2026年優先課題に沿った具体的な作業計画が継続審議された。1月22日のセッション後、David Brossard が XACML 3.0 プロファイルの作業状況を翌日 ML 上で共有した（詳細は §4 を参照）。

1月15日・22日の議事録は GitHub wiki 上に存在するが、現時点では内容の詳細を一次情報として確認することが困難であったため、前後の文脈から判明した事項のみ記述する。

2026年1月29日 定例コール

主なアジェンダ項目:

• インターオペラビリティ実装コードを別リポジトリへ分離する作業（ブロック中）の状況確認
• JSON Schema / OpenAPI の PR #419 レビュー
• 他 WG における SDK 事例調査
• 「Getting Started」コンテンツの整備とユースケーストラックの復活
• 認定シナリオのレビュー
• XACML 3.0 Profile of OpenID AuthZEN 1.0 の議論
• .NET SDK（RockSolidKnowledge 製）を含む SDK 整備状況
• EIC Standards Award 応募状況の確認

(議事録: GitHub wiki Meeting-Notes-2026-01-29 より)

4. メーリングリストの主要スレッド

REMINDER: We Need Your Votes for the Proposed Authorization API 1.0 Final Specification - 2026-01-02 開始

David Brossard が OIDF オペレーション担当 Mike Leszcz からの転送メールとして投票催促を発信。1月2日時点で「定足数まであと 15 票」という切迫した状況が報告された。Leszcz のメールでは「棄権票も定足数にカウントされる」と注記され、全会員に何らかの投票を呼びかけた。なお、1月1日の会員更新サイクルにより新規・更新会員が加わると定足数自体も上昇する可能性があるため、早期投票が求められた。

Brossard は個人的に追加の適格投票者を探す働きかけも行い、WG メンバーへの積極的な動員活動が展開された。

Omri Gazitt が 1月5日（太平洋時間の朝）に「AuthZEN が Final Specification としての批准に向けて 101 票の賛成票を獲得。これは定足数要件の 75 票を大幅に超えている」と報告（返信 000508）。翌 1月6日正午の投票締め切りをもって OIDF 事務局が正式発表を行うとした。Alex Babeanu も「Woohoo! Happy new year!」と歓迎の返信（000509）を送り、WG 全体の祝賀ムードを醸成した。

Events update: Gartner, EIC, KC webinar - 2026-01-13 開始

David Brossard が WG 関係者向けにイベント情報をまとめて共有した:

• Gartner IAM London: David Brossard と Alex Olivier が認可の外部化と AuthZEN による実行時認可について登壇予定。昨年の Gartner Grapevine での成果（インターオペラビリティ実証・AI 応用事例）を発展させた内容。
• EIC (European Identity Conference): KuppingerCole が OpenID 向けに複数セッション枠を確保。David Brossard と Alex Babeanu が登壇予定。
• KuppingerCole ウェビナー（2月予定）: Eve Maler、Gerry、David Brossard が登壇する広範な認可ウェビナー（Elizabeth が KC と共同で企画）。詳細は後日。

AuthZEN to XACML Mapping Process - 2026-01-23 開始

David Brossard が「既存のプロファイルを拡張し、AuthZEN リクエストを XACML リクエストにマッピングするロジックの大部分を実装した」と発表し、HackMD ドキュメントへのレビューを依頼した。このメッセージは 1月22日と1月29日の定例コールの間に投稿されており、1月29日の議題に XACML 3.0 Profile of OpenID AuthZEN 1.0 が挙がる伏線となった。

XACML（eXtensible Access Control Markup Language）は OASIS 標準の既存認可ポリシー言語であり、AuthZEN API を XACML エンジンと連携させるプロファイルは、既存の XACML 導入環境での採用障壁を下げる狙いがある。

5. GitHub 上の議論

openid/authzen#422 - prep for final publication

• マージ日: 2026年1月11日（作成者: ogazitt）
• 内容: ドキュメントタイトルからリビジョン番号を除去・Document History セクションの削除・OIDF 著作権年を 2026 に更新
• 目的: Authorization API 1.0 Final Specification の公式公開フォーマットへの最終整備

Final Specification では版番号をタイトルに含めない OIDF の規則に沿った整備であり、承認翌日（1月12日の承認に対し1月11日マージ）に実施されたことからも、承認プロセスに緊密に連動した対応であったことがわかる。

openid/authzen#419 - [WIP] feat: json-schema and OAS for authzen 1.0

• 作成者: Oltho（コミュニティコントリビューター）
• ステータス: オープン（作業中）
• 内容: Authorization API 1.0-05 仕様に準拠した JSON Schema および OpenAPI 仕様（OAS）のドラフト

主な技術的論点:

• スキーマの厳格性の問題: Oltho が「evaluations 配列が空または存在しない場合に、トップレベルの subject・resource・action フィールドを必須とするような条件付きバリデーションを JSON Schema で表現できるか」という疑問を提起。
• 合意: Alex Olivier が「スキーマはできる限り厳格にすべき」と回答し、不正なリクエストを弾く方向で設計する方針が確認された。
• 残課題: DRAFT URL の安定 URL への置き換え、$id フィールドのタグ付き URL への更新、一部 $ref 構造の見直し、OpenAPI 仕様のフラット化、テスト強制化などが未解決。

1月29日の定例コールのアジェンダにも明示的に挙げられており、WG として組織的なレビューを予定していた。

6. 関連イベント

Gartner Identity & Access Management Summit（2025年12月、Grapevine, Texas）

1月に議論された多くの 2026年計画の背景として、2025年12月のイベントでの成果が参照された。AuthZEN WG は同サミットにおいて:

• WG 共同議長 3 名（Omri Gazitt、David Brossard、Alex Olivier）によるセッション（約 100 名参加）
• 8 実装者が参加した 5 回のハンズオン・インターオペラビリティセッション
• Identity Provider 側: EmpowerID、Gluu、Curity、Thales
• Policy Decision Point 側: Axiomatics、EmpowerID、Cerbos、SGNL、WSO2、Topaz

を展示した。Gartner は「AuthZEN のような標準を採用してベンダーロックインを削減する」ことを顧客に推奨しており、エンタープライズ実践者の関心が「AuthZEN とは何か」から「どう実装するか」へ移行しつつあることが報告された。

Gartner IAM Summit London（2026年1月計画）

1月8日の定例コールで、David Brossard が Gartner ロンドン会場とデモルームの交渉を担当することになった。2025年グラップバイン会場での成果を踏まえた続報セッションを計画。

7. 今後の予定

1月末時点での次月以降の予定:

• 2月: KuppingerCole 認可ウェビナー（Eve Maler 他と登壇）
• Gartner IAM London: 詳細確定次第告知
• MCP 統合プロファイル: Atul Tulshibagwale の COAZ（Compatible with OpenID AuthZen）プロポーザルを軸に設計開始
• 認定プログラム: Basic・Batch・Search の 3 段階と Core/Properties サブレベル設計の継続審議
• XACML 3.0 プロファイル: David Brossard の HackMD ドキュメントに基づくレビューと仕様化
• JSON Schema / OpenAPI（PR #419）: 残課題解消後のマージ
• Identiverse: パネル応募（David Brossard、Alex Babeanu、Alex Olivier、Atul Tulshibagwale）
• EIC Standards Award: 応募検討

8. 参考情報源

• OpenID Foundation AuthZEN WG ページ - WG 概要・仕様リンク
• Authorization API 1.0 Final Specification Approved - 2026-01-12 の承認発表
• Notice of Vote to Approve Proposed Authorization API 1.0 Final Specification - 投票告知（2025-12-09）
• Public Review Period for Proposed Authorization API 1.0 Final Specification - パブリックレビュー告知（2025-10-23）
• Authorization API 1.0 仕様書 - 最終仕様 URL
• AuthZEN to XACML Mapping Process（ML スレッド） - 2026-01-23
• Events update ML スレッド - 2026-01-13
• 投票催促 ML スレッド - 2026-01-02
• openid/authzen#422: prep for final publication
• openid/authzen#419: JSON Schema and OAS for authzen 1.0 [WIP]
• メーリングリスト January 2026 アーカイブ
• GitHub wiki: Meetings - 議事録インデックス
• HackMD: AuthZEN WG Meeting Notes 2026-01-08
• AuthZEN shows enterprise readiness at Gartner IAM Summit - 2025-12-22 の Gartner 参加報告