idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2024年8月)

執筆日: 2026-05-20(2024 年 8 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。2024 年 8 月時点の共同議長は Michael B. Jones、Nat Sakimura、John Bradley の 3 名。議事録は ML 公開アーカイブにスレッドとして投稿される運用が当時定着していた(後の月で議事録投稿が散発化する前の比較的整った状態)。

2024 年 8 月は、AB/Connect WG にとって 「OpenID Federation 系の正式な WG ドラフト群が一斉に動き出した節目の月」 となった。当月の主要トピックは大きく次の 4 系統に整理できる。

  • OpenID Connect 9 仕様の ISO/IEC DIS ballot 通過: 5 月 8 日 〜 8 月 1 日のバロット期間でコメントゼロ通過。Core、Discovery、Dynamic Client Registration、RP-Initiated Logout、Session Management、Front-Channel Logout、Back-Channel Logout の各仕様が ISO/IEC 26131 〜 26137 として発行される運びとなった
  • OpenID Federation Implementer's Draft 後の最初の更新「-37」公開: 8 月 7 日、Bitbucket から GitHub openid/federation への移行後初の新ドラフト。IANA 指定エキスパートからのフィードバック対応が中心
  • OpenID Federation Wallet Architectures 1.0 第 1 回 Call for Adoption(不採択): 8 月 5 日に Michael Jones が起動。Joseph Heenan、Kristina Yasuda、Torsten Lodderstedt、Brian Campbell ら複数の重鎮から反対が表明され、最終的に postpone される結果に
  • OpenID Federation Extended Subordinate Listing 1.0 第 1 回 Call for Adoption(採択成立): 同じく 8 月 5 日に Michael Jones が起動。技術的論点はあったものの異論なく採択され、8 月 22 日に Initial WG Draft が公開された

openid-specs-ab ML 8 月アーカイブは合計 69 通(メッセージ ID 010349010418 の範囲)で、Wallet Architectures CfA だけで 24 通の応答を集める活発さだった。GitHub openid/federation リポジトリでは 8 月だけで 11 件の PR がマージされ、25 件前後の Issue が新規起票された(特に SECtim、Razumain、cicnavi らが多数の規範指摘 issue を起票)。

Atlantic Spec Call は 8 月 5 日(月)、8 日(木)、12 日(月)、19 日(月)、22 日(木)に開催され、Pacific Connect Call は 8 月 26 日(月)に開催された旨が ML 上の議事録投稿から確認できる。

2. 公開された仕様・ドラフト改訂

OpenID Federation -37(2024-08-07 公開)

ML #010369(2024-08-07、Michael Jones)で、OpenID Federation の -37 ドラフト 公開が告知された。Jones 自身の言葉によれば本リリースは「プロジェクトの GitHub 移行後の最初のドラフト」かつ「Implementer's Draft 4 配布後の最初の更新」という二重の節目であり、変更点の中心は次のとおり:

  • IANA 指定エキスパートからのフィードバック対応(IANA registration 申請への明確化要求への返答)
  • Bitbucket Issue Tracker から GitHub openid/federation への移行に伴う editorial 整理

8 月 7 日には Michael Jones から 3 件の PR が同時にマージされた:

PRタイトル著者マージ日
#26Additional client_registration_types MAY be defined and usedselfissued2024-08-07
#27Entity Identifiers use the https schemeselfissued2024-08-07
#29Corrected Usage Location for IANA error registrationsselfissued2024-08-07

これらに先行して Giuseppe De Marco から 3 件の PR(#16 introduction improved / #20 Trust Marks at resolve endpoint / #21 Federation Entity Keys publication)が 8 月 1 日にマージされており、-37 には GitHub 移行直後の整理 PR 群が反映された格好となる。

OpenID Federation Extended Subordinate Listing - 第 1 回 CfA 成立と Initial WG Draft 公開

ML #010351(2024-08-02、Lukasz Jaromin)で WG への寄稿として提示された OpenID Federation Extended Subordinate Listing 仕様は、MichaelFraser1999/federation-extended-listing リポジトリで管理されていた。Federation 階層において広いファンアウトを持つエコシステム(実装者が多数の subordinate を持つケース)でのページネーション付き subordinate listing を可能にする補助仕様。

8 月 5 日に Michael Jones が ML #0103542 週間の Call for Adoption(締切 8 月 19 日)を起動。Wallet Architectures CfA と同時並行で進行したが、こちらは技術的論点はあったものの異論なく採択された。8 月 19 日の Atlantic Spec Call(ML #010401)で「All respondents supported adoption and there were no objections」と確認され、採択成立。

8 月 22 日には Michael Jones が ML #010412Initial Working Group Draft の公開を告知した。Jones は「this is starting point, not an ending point」と添えて、コミュニティに対しレビュー・実装・GitHub openid/federation-extended-listing リポジトリおよび ML 経由のフィードバックを呼びかけた。

OpenID Federation Wallet Architectures 1.0 - 第 1 回 CfA(不採択)と postpone

ML #010353(2024-08-05、Michael Jones)で Wallet Architectures 1.0 の 第 1 回 Call for Adoption(締切 8 月 19 日)が起動された。Jones は「largely records what the Italian wallet deployment is actually doing」「this specification is a starting point - not an endpoint」と位置づけた。

しかし本 CfA は実質的に不採択となり、第 2 回 CfA(翌 9 月 13 日 Nat Sakimura 起動)へ持ち越された。詳細は §4 のスレッド分析を参照。

Native SSO for Mobile Apps - WG ドラフト更新(2024-08-26)

ML #010414(2024-08-26、George Fletcher)で Native SSO for Mobile Apps の draft 07 への更新が告知された。Bitbucket Issue Tracker の 3 件(#2167 / #2166 / #2164)への対処を含む PR #742 を提出した旨が報告されている。

含まれる主要要素:

  • 新規 device_sso スコープによる認可リクエスト
  • device_secret メカニズムによる同一ベンダーアプリ間の認証状態共有
  • OAuth2 Token Exchange profile を用いた token endpoint 拡張
  • device_secret 検証、id_token integrity、session validity の処理ルール
  • ディスカバリ metadata(native_sso_supported パラメータ)

なお Vladimir Dzhuvinov により本月末(8 月 28 日)に新たに #2168 / #2169 / #2170 が起票されており、Native SSO の token refresh / token exchange / device_secret update timing に関する仕様検討が継続することとなった。

OpenID Connect 9 仕様 - ISO/IEC DIS ballot 通過(2024-08-01 締切)

8 月 5 日 Atlantic Spec Call(ML #010352)の議事録で、9 つの OpenID Connect / OAuth 2.0 仕様が ISO/IEC DIS ballot をコメントなしで通過したことが報告された(バロット期間は 5 月 8 日 〜 8 月 1 日)。後に ISO/IEC 26131:2024(Core)、26132:2024(Discovery)、26133:2024(Dynamic Client Registration)、26134:2024(RP-Initiated Logout)、26135:2024(Session Management)、26136:2024(Front-Channel Logout)、26137:2024(Back-Channel Logout)として刊行されることとなる。これは「10 Years On: OpenID Connect Published as an ISO/IEC Spec」というキャッチフレーズに繋がる節目であった。

3. ミーティングと議論

AB/Connect WG は当時、毎週月曜の Atlantic Spec Call と隔週木曜の Atlantic 補足コール、および隔週月曜の Pacific Connect Call を基本運用としていた。8 月は以下のコールが ML 上で議事録として確認できる。

開催日種別議事録投稿者
2024-07-26(金)(前月)Connect CallML #010349David Waite(8/1)
2024-08-05(月)Atlantic Spec CallML #010352Michael Jones
2024-08-08(木)Atlantic Spec CallML #010371Michael Jones
2024-08-12(月)Atlantic Spec CallML #010378Michael Jones
2024-08-19(月)Atlantic Spec CallML #010401Naveen CM
2024-08-22(木)Atlantic Spec CallML #010413Joseph Heenan
2024-08-26(月)Pacific Connect CallML #010415Nat Sakimura

8 月 5 日 Atlantic Spec Call

参加者 14 名: Mike Jones、Takahiko Kawasaki、Robert Lapes、Andrii Deinega、Alan Wang、Aaron Parecki、Tom Jones、Dima Postnikov、Victor Yu、John Bradley、Brian Campbell、Michael Fraser、Pamela Dingle、Ralph Bragg(議事録 ML #010352)。

主要議題:

  • ISO 標準化達成: 9 件の OpenID Connect / OAuth 2.0 仕様が ISO バロットをコメントなしで通過。Core 1.0、Discovery 1.0、ログアウト系仕様が間もなく刊行されると確認
  • Federation 実装登録の進捗: .well-known/openid-federation および OAuth パラメータの登録が完了。JOSE ヘッダ、JWT claim、media type の登録が残課題
  • 新規仕様 2 件の adoption 検討: Wallet Architectures 1.0(イタリア wallet 実装の文書化)と Extended Subordinate Listing 1.0(広いファンアウトを持つエコシステム向け)の双方を CfA 対象として提案
  • 技術レビュー: client registration types、entity identifier scheme、IANA error registration 訂正に関する複数 PR を外部レビュアからのフィードバックに基づき議論

8 月 8 日 Atlantic Spec Call

参加者 7 名: Mike Jones、Davide Vaghetti、Giuseppe De Marco、Bjorn Hjelm、John Bradley、Pamela Dingle、David Chadwick(議事録 ML #010371)。

主要議題:

  • イントロダクション: Davide Vaghetti が eduGAIN OpenID Federation pilot で活動中であること、Bjorn Hjelm が Yubico に移籍したことを共有
  • WG Adoption 投票状況: Extended Subordinate Listing 1.0 は広い支持を獲得。Wallet Architectures 1.0 については「protocol-specific metadata を OpenID4VC 仕様へ移すべきではないか」との議論が中心に
  • Metadata パラメータ配列化: RP metadata 配列化(automatic registration 対応)を独立仕様とするか Federation 仕様内に組み込むか議論
  • Fetch Endpoint の目的論: Fetch Endpoint が Entity Configurations 取得を担うべきか、Subordinate Statements 専用に絞るべきかが大議題に。「single-purpose に絞る」という方向で合意形成
  • 業界連携: Davide が InCommon から Federation Wallet profile に関する問い合わせを受けたことを報告。CACTI 枠組み内での技術討議のため Giuseppe へ繋ぐと確認

8 月 12 日 Atlantic Spec Call

参加者 9 名: Mike Jones、Brian Campbell、Nat Sakimura、Alan Wang、Dima Postnikov、Victor Yu、Bjorn Hjelm、Tom Jones、Edmund Jay(議事録 ML #010378)。

主要議題:

  • Shared Signals Implementer's Drafts 投票: openid.net のメンバー投票への参加を呼びかけ
  • EU Implementing Acts: 「European Digital Identity Wallets」に関する 8 月 12 日 〜 9 月 9 日のパブリックコメント期間を共有。Implementing Acts は ISO 18013-5 を protocol として参照しているが、OpenID4VC・SD-JWT 仕様は当時まだ Final になっておらず参照不能の状態であることを議論
  • Extended Subordinate Listing 1.0: ページネーション付き subordinate listing 仕様は adoption に向けて支持を得ていると確認
  • Wallet Architectures 1.0: metadata 値を別仕様で定義すべきという議論が中心。「non-normative な編集者注を追加することで実装進行と懸念解消を両立できる」という妥協案が合意形成
  • RP Metadata 配列パラメータ: Mike Jones が RP が受理可能な値の集合を表明できる仕様を作業中(これが後の 9 月末公開「OpenID Connect Relying Party Metadata Choices 1.0」へ繋がる)
  • Fetch Endpoint スコープ: Subordinate Statements 専用とする方向で再確認
  • CARIN Alliance Partnership: US healthcare 標準(Unified Data Access Profiles)における Federation を介した trust establishment 探索

しかし本コール内の Wallet Architectures 関連の決着内容に対し、Brian Campbell が翌 8 月 13 日に ML #010381 で「Oppose Adoption」スレッドを切り出し、editor's note 追加程度では懸念解消にならないと正面から異議を表明する展開となった。

8 月 19 日 Atlantic Spec Call

参加者 8 名: Mike Jones、Naveen CM、Dima Postnikov、Tom Jones、Edmund Jay、John Bradley、Andrii Deinega、Michael Fraser(議事録 ML #010401)。

主要決定:

  • Extended Subordinate Listing 1.0: 「All respondents supported adoption and there were no objections.」と確認、採択成立
  • Wallet Architectures 1.0: 議論は productive だったが「No adoption decision is being made today.」として 8 月 22 日コールへ持ち越し
  • PR 状況: PR #37(Simplify obtaining Entity Configurations)は承認取得後にマージ、#38(Simplify fetch endpoint to only return Subordinate Statements)は Mike Jones による conflict 解消待ち、#41(Endpoints are not form-urlencoded)はレビュー継続
  • 未解決 issue: E.164 電話番号例の修正(Issue #2165)、Native SSO token exchange 詳細、Extended Subordinate Listing endpoint 仕様、複数の Federation issue について更なるレビューや具体的提案を待つ状態

8 月 22 日 Atlantic Spec Call

参加者 20 名(当月最大): Nat Sakimura、Marcus Almgren、Joseph Heenan、Stefan Liström、John Bradley、George Fletcher、Roland Hedberg、Jan Vereecken、Davide Vaghetti、Brian Campbell、Michael Fraser、Stefan Santesson、Filip Skokan、Michael Jones、Giuseppe De Marco、Giada Sciarretta、Bjorn Hjelm、Tom Jones、Pamela Dingle、Kristina Yasuda(議事録 ML #010413)。

主要議題:

  • NIST Digital Identity Guidelines 第 2 次パブリックドラフト: 8 月 28 日 webinar、コメント締切 10 月 7 日。passkeys / wallet 関連の記述が新たに含まれた
  • 新規メンバー紹介: Swedish government consultants(wallet・federation 担当)、Swedish Research Council 研究者、wallet API 開発者、Italian research networks(OpenID Federation 実装者)から 4 名が参加
  • Native SSO 仕様 issues: George Fletcher が 2 件のオープン issue について login 要件と scope パラメータの normative 調整が必要と説明
  • Wallet/Federation ドラフト討議(核心議題): 提案 metadata パラメータについて重要懸念が複数挙がった:
    • presentation_definitions_supported は browser API では機能できない」
    • 「URL fragment 付き response URI はセキュリティリスクを生む」
    • これらは Federation 文書ではなく OID4VC 仕様に属するべき であり、Federation 仕様に置くと開発者が問題あるパターンを採用してしまう
  • 次のステップ: 8 月 29 日に DCP WG へドラフトを発表し、両 WG 間の調整を強化することで合意

8 月 26 日 Pacific Connect Call

ML #010415(2024-08-27、Nat Sakimura)で議事録公開が告知された。本コールの議事録本体は Bitbucket wiki に置かれており、現在公開アーカイブからは直接の本文確認はできないが、Pacific 時間帯での Connect 議題(Wallet Architectures、Extended Subordinate Listing、Native SSO 進捗等)が議論されたものと位置づけられる。

4. メーリングリストの主要スレッド

openid-specs-ab ML 8 月アーカイブは合計 69 通(メッセージ ID 010349010418 の範囲)。技術討議の中心となった主要スレッドは以下のとおり。

Call for Working Group Adoption of OpenID Federation Wallet Architectures 1.0 - 2024-08-05 起動(Michael Jones)

当月最大の論争スレッド。Michael Jones が共同議長として 2 週間の 第 1 回 Call for Adoption(締切 8 月 19 日)を起動。直接・間接の応答は 24 通に達した。

初期に賛成を表明した参加者:

しかし複数の重鎮から原則的反対が表明された。

Joseph HeenanML #010370、Authlete、8/8):

"I do not support the adoption of this document as it currently stands."

具体的指摘:

  • ドキュメントが「Federation profile for wallets」を超え、wallet instance type 定義、wallet provider / credential issuer metadata パラメータ、request_uris / response_uris_supported などの汎用 metadata まで踏み込んでいる
  • これら汎用メカニズムは「VCI 仕様で定義されるべき」であり、Federation 文書ではない
  • URL fragment 取り扱いの懸念、新規規範部分と既存仕様の境界の不明瞭さ

Kristina YasudaML #010373、DCP WG 議長、8/9):

"Please do not adopt this draft until all the changes that define OpenID4VP or OpenID4VCI parameters that are not currently defined in those specs right now are removed from this document."

DCP WG 議長としての立場から、本仕様のような OpenID4VC / wallet 関連提案は DCP WG 側にも事前共有されるべき だったと procedural な異議を表明。さらに「事前に Joseph Heenan から提起された懸念が CfA 開始前に十分議論されていない」「議事録に Heenan のフィードバックが記録されていない」と procedural な不備も指摘。

Torsten LodderstedtML #010382、8/13)はさらに踏み込んだ反対意見を表明:

  • イタリア wallet 実装のドキュメントは「whitepaper か blog post の形式が適切」であり formal specification にはそぐわない
  • 本ドラフトは OID4VP / OID4VCI の拡張定義を含むため Connect WG ではなく DCP WG で議論されるべき
  • 「WG 議論を経ずに事実を作ろうとしている」と procedural 批判
  • 「wallet provider に token endpoint を含めているが、wallet provider 内部通信は wallet provider の裁量に任せるべきで相互運用性標準の対象外ではないか」

Brian CampbellML #010381「Oppose Adoption」、8/13、Ping Identity)は 8 月 12 日コールでの「editor's note を加える」妥協案そのものに対する原則的批判を展開:

"legitimate questions/objections to the adoption" は単に進めて後で調整するだけでは未解決のまま残る

これら反対意見に対し Michael Jones は ML #010395(8/19)で次のように応答した:

  • adoption の判断は 8 月 22 日 European-friendly Connect Call の後まで postpone する
  • 「他仕様による拡張を禁じてしまうと、Connect、FAPI、Identity Assurance、OpenID4VC のいずれもが生まれなかった」と extensibility の擁護
  • 著者陣は scope セクションを追加し、複数 WG にまたがる metadata パラメータについて他 WG との協調を約束した

最終的に本 CfA は不採択となり、Giuseppe De Marco による draft 02 改訂(Appendix A 削除 + 非最終警告追加 + 未完成例の完成)を経て 翌 9 月 13 日に Nat Sakimura が第 2 回 CfA を起動 することとなった。これは「prematurity と procedural fairness のいずれを優先するか」という WG 運営の原則論を浮き彫りにする象徴的事例となった。

Call for Working Group Adoption of OpenID Federation Extended Subordinate Listing 1.0 - 2024-08-05 起動(Michael Jones)

Wallet Architectures CfA と同時起動された姉妹 CfA だが、こちらは技術論点はあったものの異論なく採択された。10 通の応答(5 直接 + 5 ネスト)が確認できる:

Wallet Architectures との対比は明確で、Joseph Heenan も本 CfA には反対せず純粋な技術質問を投げかける形で参加している。本 CfA は 8 月 19 日 Atlantic Spec Call で正式に採択され、8 月 22 日に Initial WG Draft が公開された。

Making the Fetch Endpoint specific to retrieving Subordinate Statements - 2024-08-08 起動(Michael Jones)

Michael Jones が Federation 仕様の Fetch Endpoint について規範変更を提案。

提案趣旨:

  • 仕様にはすでに .well-known/openid-federation エンドポイントによる Entity Configuration 取得手段が存在
  • Fetch Endpoint が両用途を担うべきか、それとも Subordinate Statements 取得専用に絞るべきか

8 月 8 日コールおよび 8 月 12 日コールでの議論を経て「single-purpose に絞る」方向で合意形成。この合意は PR #38(openid/federation#38、selfissued、8/20)「Simplify fetch endpoint to only return Subordinate Statements」と PR #37(openid/federation#37、8/19)「Simplify obtaining Entity Configurations」として実装に落とし込まれた。

OpenID Federation Wallet Architectures Draft - 2024-08-12 起動(Giuseppe De Marco)

Wallet Architectures CfA への各種反対意見を受け、Giuseppe De Marco がドラフトの目的と立ち位置を明文化して再説明したスレッド。要点:

  • ドラフトは「trust infrastructure 定義と secure metadata exchange」の二目標を持つ
  • 関連仕様で取り上げられていない要素を削除すると implementer に障壁を生む
  • wallet ecosystem の client role の曖昧性、presentation definition のセキュリティ確保、現行 metadata に public key 情報がないこと、などを論点として明示
  • OpenID 仕様間の harmonization が必要」「個別仕様の組織的境界を超えた相互参照を確立すべき」と訴え

DCP WG / Connect WG 間の境界線をどう引くかという論点が本スレッドで最も鮮明に表れた。

Spec Call Notes 22-Aug-24 - 2024-08-23(Joseph Heenan)

§3 で詳述した 8 月 22 日 Spec Call 議事録。20 名参加と当月最大規模で、Wallet Architectures に関する具体的な技術問題(presentation_definitions_supported × browser API 非互換、URL fragment セキュリティリスク等)が初めて参加者間で共有された節目。8 月 29 日の DCP WG プレゼンへの引き継ぎが合意された。

Native SSO 関連 Issue 連投(Vladimir Dzhuvinov)

Vladimir Dzhuvinov(Connect2id)が 8 月後半に Native SSO 仕様に関する Bitbucket Issue を 5 件連投:

  • Issue #2164(8/12): OP metadata パラメータ名のタイポ(native_sso_supported vs native_sso_support
  • Issue #2166(8/15): device_sso scope 利用時に openid scope が必須かの明文化要請
  • Issue #2167(8/15): token exchange での login_required / consent_required / interaction_required エラーコード明文化要請。「invalid_grant は too general」
  • Issue #2168(8/22): refresh token grant 応答における device_secret 返却要否の明確化
  • Issue #2169(8/28): token exchange profile の id_token が ds_hash / sid claim を含むべきと規範化要請
  • Issue #2170(8/28): device_secret 更新は新規 id_token 発行時のみとすべき(refresh token grant では更新しない)

これらの体系的な仕様レビューは、George Fletcher による 8 月 26 日の draft 07 更新(PR #742)にも反映された。Connect2id が Native SSO の実装者観点から仕様の不明瞭さを厳しく洗い出していることが見て取れる。

5. GitHub 上の議論

2024 年 8 月の AB/Connect 周辺 GitHub 活動は、openid/federation リポジトリでの集中作業(PR 11 件マージ、Issue 24 件起票)に加え、peppelinux/federation-wallet で第 1 回 CfA 反映のための Issue/PR ラッシュが発生した。openid/connect リポジトリは当時 issue/PR 運用に使われておらず、OpenID Connect Core 本体および Native SSO は Bitbucket Issue Tracker(bitbucket.org/openid/connect)で管理されていた。

openid/federation - 8 月内マージ PR

PRタイトル著者マージ日
#16introduction improved, oidfed can be used with any other protocolspeppelinux2024-08-01
#20Clarifications about trust marks in the resolve endpoint responsepeppelinux2024-08-01
#21Clarifications about the publication of the Federation Entity Keyspeppelinux2024-08-01
#26Additional client_registration_types MAY be defined and usedselfissued2024-08-07
#27Entity Identifiers use the https schemeselfissued2024-08-07
#29Corrected Usage Location for IANA error registrationsselfissued2024-08-07
#32Add section defining each media typeselfissued2024-08-14
#37Simplify obtaining Entity Configurationsselfissued2024-08-19
#38Simplify fetch endpoint to only return Subordinate Statementsselfissued2024-08-20
#41Endpoints are not form-urlencodedselfissued2024-08-28
#44Operator value for 'add' MUST be an array.rohe2024-08-28

PR #37 / #38 は §4 の Fetch Endpoint スレッドで合意された single-purpose 化を実装した重要 PR。PR #32 は IANA 登録要求への対応の続きとして各 media type の定義節を追加した。

openid/federation - 8 月内に起票された主要 Issue

Issueタイトル起票者起票日
#28Federation: Validation of metadata in entity statementmalmgren01DF2024-08-02
#30Ambiguity in fetch endpoint response when iss and sub are the samejcmelati2024-08-06
#33Some examples for "add" metadata policy operator have wrong operator value typecicnavi2024-08-12
#34Drawbacks of defining request_authentication_methods_supported as JSON objectRazumain2024-08-12
#35Using metadata policy on metadata parameters with JSON object valuesRazumain2024-08-12
#36Align .well-known treatment with OpenID Connectselfissued2024-08-13
#39Inconsistent requirement to provide issuer in Fetch and Subordinate Listings endpointsRazumain2024-08-14
#40Rename title of section 8.3 to "Resolve Entity"Razumain2024-08-14
#42Use Title Case in diagramsselfissued2024-08-17
#43Add return of federation_entity metadata if type is provided in resolve requestsRazumain2024-08-18
#45Trust Chain Validation: 'a' vs. 'any' Public KeySECtim2024-08-21
#46aud Claim in Authentication Request Does Not Prevent private_key_jwt ReuseSECtim2024-08-21
#47Clarity of Description for OP Trust Chain ValidationSECtim2024-08-21
#48Identifying the intended trust anchormalmgren01DF2024-08-21
#49Inconsistent example regarding OP metadata claim request_authentication_signing_alg_values_supportedcicnavi2024-08-22
#50Well-known URI path component MUST begin with /.well-known (in RFC 8615)SECtim2024-08-22
#52Unclear language around automatic registration with PARSECtim2024-08-26
#53Consider declaring (required) type of JWS serializationcicnavi2024-08-27
#54Entities identifiers may contain query parameter or fragment components?jogu2024-08-27
#55JWT typ header validationSECtim2024-08-28
#56Proposal to add new discovery endpointRazumain2024-08-29
#57Proposal to add new Entity Statement claim - subject_entity_configuration_locationRazumain2024-08-29
#58Ambiguity of authority_hints DescriptionPedramHD2024-08-30
#59Register JWK Set Parametersselfissued2024-08-31
#61A Trust Mark delegation JWT example would be usefulselfissued2024-08-31

特に SECtim(後の月で同一の SECtim が形式手法的レビューを継続)が 8 月 21 日に 3 件、8 月 22 日に 1 件、8 月 26 日 / 28 日にも継続して issue を起票しており、形式手法的視点からの仕様レビューが本月開始されていることが見て取れる。Razumain(Marcus Almgren / Stefan Santesson 系の研究グループとみられる)も 5 件と高い貢献度を示した。

openid/federation#46 - aud Claim in Authentication Request Does Not Prevent private_key_jwt Reuse

SECtim が 8 月 21 日起票。private_key_jwt 認証における aud claim の Request Object 利用が JWT 再利用攻撃に繋がるリスクの指摘。本 issue は後の 9 月 15 日に PR #74「Preventing use of Request Object for private_key_jwt client authentication」(selfissued)で対処され、典型的な「8 月起票 → 9 月解決」パターンの一例となった。

openid/federation#34 - Drawbacks of defining request_authentication_methods_supported as JSON object

Razumain が 8 月 12 日起票。request_authentication_methods_supported を JSON object として定義する設計の欠点を指摘。階層的なオブジェクト構造より配列型のほうが運用上扱いやすいというトレードオフ問題。

openid/federation#36 - Align .well-known treatment with OpenID Connect

selfissued(Michael Jones)が 8 月 13 日起票。Federation の .well-known/openid-federation の取り扱いを OpenID Connect Discovery の .well-known/openid-configuration の規範に整合させる提案。OpenID Connect 全体としての一貫性確保が狙い。

peppelinux/federation-wallet - 8 月内 Issue / PR

Wallet Architectures CfA 期間中に発生した編集者反映 PR 群と、Niels van Dijk(SURFnet)による wallet architecture 設計討議の Issue 連投が当月の主軸:

番号種別タイトル著者日付
#4IssueCustodial vs non-custodial for Mobile Wallet Native Applicationsurfnet-niels2024-08-05
#5Issue"Third-Party Trust" or "Trusted Third Party"surfnet-niels2024-08-05
#6IssueWallet Provider as part of TA?surfnet-niels2024-08-05
#7IssueShould Metadata for OpenID Wallet Provider also express Wallet Interop capabilities?surfnet-niels2024-08-05
#8PRMinor suggestions to the textsurfnet-niels2024-08-05
#9PRAdd Scope description and informative appendix on possible metadata usageselfissued2024-08-15
#10Issuerename openid_wallet_relying_party to openid_credential_verifierpeppelinux2024-08-17
#11Issueopenid4vp metadata including redirect_uris and request_uris sanification and presentation_definitionpeppelinux2024-08-17
#12IssueOpenID4VP metadata parameter presentation_definition_supportedpeppelinux2024-08-17
#13IssueOpenID4VCI metadata parameter jwkspeppelinux2024-08-17
#14IssueOpenID Federation Wallet Provider metadatapeppelinux2024-08-17
#15PRRename openid_wallet_relying_party to openid_credential_verifierselfissued2024-08-17
#16PRfix: metadata parameters table using status columpeppelinux2024-08-18
#17PRMake metadata parameter tables parallel to one anotherselfissued2024-08-18
#18IssueFour-Party Modelgiadas2024-08-22
#19Issueendpoint randomization is out of the scopes of this draftpeppelinux2024-08-28

peppelinux/federation-wallet#9 - Add Scope description and informative appendix on possible metadata usage

selfissued(Michael Jones)が 8 月 15 日起票・マージ。8 月 12 日コールで合意された「scope セクション追加と non-normative editor's note」を実装した PR。CfA 反対論への対応として、ドキュメントが取り扱う範囲を明確化し、「possible metadata usage」を informative appendix として記述。本 PR は CfA の妥協案の中心となるが、§4 で見たように Brian Campbell・Joseph Heenan・Kristina Yasuda・Torsten Lodderstedt らはこれを「不十分」と判断した。

peppelinux/federation-wallet#15 - Rename openid_wallet_relying_party to openid_credential_verifier

selfissued が 8 月 17 日マージ。Issue #10 への対応として entity type identifier 名を openid_wallet_relying_party から openid_credential_verifier に改名。これは Wallet ecosystem の用語整理として重要な変更であり、後の DCP WG / Connect WG 横断の用語統一の起点となった。

6. 関連イベント

European Digital Identity Wallets Implementing Acts パブリックコメント期間(8 月 12 日 〜 9 月 9 日)

8 月 12 日 Atlantic Spec Call(ML #010378)で議題化。EU が公開した EUDIW Implementing Acts に対するパブリックコメント期間が 8 月 12 日 〜 9 月 9 日に設定された。Implementing Acts は ISO 18013-5 を protocol として参照しているが、OpenID4VC・SD-JWT 仕様が当時 Final になっておらず参照不能の状態であることが議論された。これは AB/Connect WG と DCP WG が共同で取り組む regulatory compliance 課題となった。

NIST Digital Identity Guidelines 800-63-4 第 2 次パブリックドラフト公開

8 月 22 日 Atlantic Spec Call(ML #010413)で議題化。NIST が 800-63-4 第 2 次パブリックドラフトを公開(passkeys / wallet コンテンツを新規追加)。8 月 28 日 webinar、コメント締切 10 月 7 日と告知。Mark Haine 主導の OpenID Foundation 集約フィードバック準備は翌 9 月から本格化することとなる。

IETF 120(Vancouver)IETF イベントの余波

Mike Jones が 8 月 2 日に self-issued.info #2566 で 7 月の IETF 120(Vancouver)からのフィードバックを反映した「Fully-Specified Algorithms Specification draft 04」公開を告知。JOSE / COSE 系の暗号アルゴリズム fully-specification 化議論は AB/Connect WG の Federation 仕様における JWS algorithm 選択にも影響を与える背景作業である。

Giuseppe De Marco による DCP WG への Wallet Architectures 発表(8 月 29 日予定)

8 月 22 日 Atlantic Spec Call の合意事項として、Giuseppe De Marco が 8 月 29 日に Digital Credentials Protocols WG(DCP WG)に Federation Wallet Architectures 仕様を発表する旨が記録された(ML #010413)。Connect WG と DCP WG の協調を強化する象徴的な活動で、9 月以降の Wallet Architectures 議論の方向性を方向付けた。

7. 今後の予定(2024 年 8 月末時点の視点)

  • OpenID Federation Wallet Architectures: 第 1 回 CfA は不採択。Giuseppe De Marco が Appendix A 削除と未完成例の完成を含む draft 02 改訂を進め、9 月初頭の再提出を予定。Brian Campbell・Joseph Heenan・Kristina Yasuda・Torsten Lodderstedt らの懸念への正面対応が課題
  • OpenID Federation -38(予定): 8 月内にマージされた 11 件の PR と、issue 群(#28、#30、#33 〜 #61 など)の対応を反映した次バージョン公開を予定
  • OpenID Federation Extended Subordinate Listing 1.0: 8 月 22 日 Initial WG Draft 公開済み。WG レベルでのレビューと実装フィードバック収集を継続
  • OpenID Connect 9 仕様の ISO/IEC 出版: ISO/IEC 26131 〜 26137 として刊行アナウンスを予定(実際の刊行は 9 月以降)
  • Native SSO for Mobile Apps: George Fletcher の PR #742(draft 07)を起点に、Dzhuvinov が起票した #2168 / #2169 / #2170 などの token exchange / device_secret update 関連の細部詰めを継続
  • OIDF Process Document / IPR Policy 改訂: 内部準備中。9 月以降に Membership Review が開始される見込み
  • DCP WG ↔ AB/Connect WG 協調: 8 月 29 日の Giuseppe De Marco による DCP WG プレゼンを起点に、wallet 関連 metadata パラメータの所掌整理を両 WG で並行検討
  • NIST 800-63-4 フィードバック: Mark Haine 主導で OpenID Foundation 集約フィードバックを 9 月中に取りまとめ、10 月 7 日締切に提出予定

8. 参考情報源

Connect WG コール議事録

仕様採択・公開関連 ML スレッド

Native SSO / Connect Core Issue 関連 ML スレッド

GitHub PRs(openid/federation、8 月内マージ)

GitHub Issues(openid/federation、8 月内起票)

GitHub Issues/PRs(peppelinux/federation-wallet、8 月内)

公式アナウンス・関連記事