idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2024年9月)

執筆日: 2026-05-20(2024 年 9 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。2024 年 9 月時点の共同議長は Michael B. Jones、Nat Sakimura、John Bradley の 3 名。議事録は ML 公開アーカイブには独立した HTML としては残らず、議事録担当者(主に Michael Jones、Pacific コールでは Nat Sakimura)が Draft Meeting Notes を ML に投稿する運用が定着している。

2024 年 9 月は 翌 10 月の OIDF Workshop / IIW 39 / OpenID Connect 9 仕様 ISO/IEC 標準化告知 / Federation 1.0 draft 40 公開 を控えた助走の月となった。当月の主要トピックは大きく次の 3 系統に整理できる。

  • OpenID Federation 1.0 の規範改訂集中: openid/federation リポジトリで 9 月だけで 18 件の PR がマージされ(Michael Jones による draft 40 へ向けた editorial / normative 改訂が大半)、private_key_jwt クライアント認証の Request Object 利用禁止、Compact Serialization の明示、authority_hints の意味明確化など、後の draft 40 へ取り込まれる規範変更が短期間に進行
  • OpenID Federation Wallet Architectures第 2 回 Call for Adoption(9 月 13 日起動)が事実上の不採択: Giuseppe De Marco が draft 02 を提示したが、Brian Campbell が「placeholder ドットと未レンダリングの mermaid 図を含む文書を WG にレビュー依頼するのは不適切」と強く反対。9 月 19 日 Pacific コールでも合意に至らず、Giuseppe 自身が「draft 03 として再提出する」と postpone を申し出る形で第 2 回 CfA はクローズ
  • OIDF Process Document / IPR Policy 改訂のレビュー期間入り: 9 月 12 日に Board が全会一致で承認し、9 月 13 日 〜 10 月 4 日の Membership Review、10 月 5 〜 19 日の Membership Vote というスケジュールで動き始めた

これらの議論は翌 10 月の Wallet Architectures 第 3 回採択コール(10 月 21 日 Nat Sakimura)への布石となる。9 月時点の openid-specs-ab ML アーカイブは 29 通(010419010447)で、10 月(50 通)と比べれば中程度の活動水準である。

NIST 800-63-4(特に 800-63C-4 Federation Assurance Levels)のパブリックレビュー期間(コメント締切 10 月 7 日)と重なったことも当月の特徴で、Mark Haine が共有スプレッドシートへの集約フィードバック収集を主導した。

なお Atlantic Spec Call は 9 月 2 日、5 日、9 日(および 16 日・23 日・30 日が見込まれるが議事録投稿が確認できるのは 9 月分は最初の 3 回のみ)、Pacific Connect Call は 9 月 19 日に開催された。

2. 公開された仕様・ドラフト改訂

OpenID Federation 1.0 - 9 月内 PR 群(draft 40 への布石)

9 月時点の最新公開ドラフトは前月 8 月 6 日公開の draft 39 であり、新たな -NN バージョンの publication は当月内には行われていない。ただし openid/federation リポジトリでは 9 月だけで以下の 18 件の PR がマージされ、これらが翌月 10 月 24 日公開の draft 40 へ統合されることになる。Michael Jones(selfissued)が主要 contributor で、Roland Hedberg(rohe)、Giuseppe De Marco(peppelinux)、Michael Fraser が補助した。

PRタイトル著者マージ日
#51Improve descriptions of JWT claims being registeredselfissued2024-09-11
#60Change MAY NOT to MUST NOTselfissued2024-09-10
#62An example of Trust Mark delegationrohe2024-09-11
#63Providing "iss" should not be required at the fetch endpointrohe2024-09-10
#67fix: Figure 4 and 5 labelspeppelinux2024-09-07
#70fix: trust chain evaluation delegation with resolvepeppelinux2024-09-11
#71Rename Resolve Entity Statement to Resolve Entityselfissued2024-09-11
#72Allow multiple type request parameters in resolve requestsselfissued2024-09-15
#73Tighten Trust Chain signature validation wordingselfissued2024-09-11
#74Preventing use of Request Object for private_key_jwt client authenticationselfissued2024-09-15
#75Add request_authentication_signing_alg_values_supported to exampleselfissued2024-09-15
#76Remove incorrect statement about use of well-known URIselfissued2024-09-11
#77State that Compact Serializations are usedselfissued2024-09-15
#78Require validating explicit typing of JWTsselfissued2024-09-15
#79authority_hints contains Entity Identifiers of Immediate Superiorsselfissued2024-09-15
#80Explicitly type signed JWK Setsselfissued2024-09-15
#83Clarified that PAR requests use Request Objectsselfissued2024-09-15
#93Update openid-federation-1_0.xml(Issue #92 対処)MichaelFraser19992024-09-29

特に PR #74(private_key_jwt の Request Object 利用禁止)は、Issue #46「aud Claim in Authentication Request Does Not Prevent private_key_jwt Reuse」への対処として、JWT 再利用攻撃のリスクを排除するための規範変更である。Vladimir Dzhuvinov・Roland Hedberg・Giuseppe De Marco の 3 名がレビュー承認した。

PR #79(authority_hints の明確化)は、「all Immediate Superiors」という記述が「全 superior entity の網羅列挙」と読み得る曖昧性を、「its Immediate Superiors」(自身の直接上位 entity のみ)と限定する editorial 変更。Issue #58 への対処であり、運用上の負担軽減につながる。

PR #77(Compact Serialization の明示)は Issue #53 への対処で、JWS シリアライゼーション形式が compact 限定であることを規範化した。

OpenID Connect Relying Party Metadata Choices 1.0 spec - 9 月 30 日 ML 提示

ML #010447(2024-09-30 02:52 UTC、Michael Jones)にて、新仕様「OpenID Connect Relying Party Metadata Choices 1.0」のドラフト XML / HTML が ML に投稿された。本仕様は OIDC Dynamic Client Registration の単一値メタデータパラメータすべてに対応する複数値版(*_supported 形式)を定義し、RP が「自身が受理可能な値の集合」を表明できるようにするもの。Jones は本ドラフトが OpenID Connect および Federation プロジェクトの 2 つの issue(後の議論で OIDC Core Bitbucket Issue #2158 と openid/federation Issue #12)への対処を狙うことを明示した。

本投稿は 9 月末の駆け込みであり、本格的な議論および AB/Connect WG への正式 contribute は翌 10 月 9 日(ML #010453)に行われる。9 月 30 日の段階では新規仕様の存在告知のみで、技術討議は次月にずれ込んだ。

OpenID Federation Wallet Architectures - draft 02 改訂と第 2 回 CfA(不採択)

Giuseppe De Marco(peppelinux)は 9 月 5 日 Spec Call での合意(「Appendix A 削除 + 非最終警告追加 + 未完成例の完成」)を反映した改訂版を 9 月 12 日に ML #010425 で提示。リポジトリ peppelinux/federation-wallet の draft 02 として https://peppelinux.github.io/federation-wallet/main.html でレンダリング版を公開した。

9 月内に同リポジトリへマージされた主要 PR は次のとおり。

PRタイトル著者マージ日
#23Move text about possible use of metadata to issue #22selfissued2024-09-11
#24feat: editorial improvements and added terms and sectionspeppelinux2024-09-12
#27feat: Implementation Considerations for Offline Flows using Trust Chain JWT header parampeppelinux2024-09-30
#28section: Wallet Checking the Non-Revocation of its Wallet Providerpeppelinux2024-09-30
#30sequence diagrams using ascii artspeppelinux2024-09-30
#31sections about credential issuers establishing trust with wallet solutionpeppelinux2024-09-30

Nat Sakimura は 9 月 13 日に ML #010426第 2 回 Call for Adoption(締切 9 月 20 日、1 週間)を起動した。しかし結果として 9 月 19 日 Pacific コールで合意は得られず、Giuseppe 自身が「数週間をかけてレビューし、draft 03 として再提出する」と postpone を申し出る形で(ML #010441)第 2 回 CfA はクローズ。第 3 回 CfA は翌月 10 月 21 日に持ち越された。

OIDF Process Document / IPR Policy 改訂 - レビュー期間入り

ML #010445(2024-09-26、Elizabeth Garber)にて、Board subgroup(board members + key staff)が作業してきた OIDF Process Document と IPR Policy の改訂版が Membership Review に投入された。

主要変更点:

  • Process Document: 意思決定用語の明確化、WG quorum 要件を「Active Contributors の 20% または 20 Contributors のいずれか小さい方」に厳密化、承認パスを「全 membership 投票」から「Board supermajority 投票」へ変更
  • IPR Policy: errata 訂正の新規定義追加、文書タイプごとの権利義務マトリクスの追加

スケジュール:

  • Membership Review: 2024-09-13 〜 2024-10-04
  • Membership Vote: 2024-10-05 〜 2024-10-19
  • Board は 2024-09-12 に全会一致で承認済み

本改訂は翌 10 月 22 日に投票承認(Approve 106 / Object 1 / Abstain 21、投票率 34%)に至り、AB/Connect WG の後続採択プロセス(Wallet Architectures、RP Metadata Choices、OpenID4VP Implementer's Draft)の IPR commitment 基盤となる。

3. ミーティングと議論

AB/Connect WG は当時、毎週月曜の Atlantic Spec Call(Michael Jones 主催、PT 朝)と隔週木曜の Atlantic 補足コール、および隔週木曜の Pacific Connect Call(Nat Sakimura 主催)を基本運用としていた。9 月は以下のコールが ML 上で議事録として確認できる。

開催日種別議事録投稿者
2024-09-02(月)Atlantic Spec CallML #010419Michael Jones(9/2)
2024-09-05(木)Atlantic Spec CallML #010420 / ML #010422Lukasz Jaromin / Michael Jones(9/5)
2024-09-09(月)Atlantic Spec CallML #010423Michael Jones(9/9)
2024-09-19(木)Pacific Connect CallML #010440Nat Sakimura(9/19)

9 月 2 日 Atlantic Spec Call

参加者: Mike Jones、Nat Sakimura、Michael Fraser、Dima Postnikov の 4 名(議事録 ML #010419)。

主要議題:

  • NIST 800-63-4 draft 公開への対応: 新ドラフトが公開されコメント締切が 10 月 7 日と確認。「OpenID Federation 仕様における trust establishment メカニズムに関するフィードバックを Foundation として提出する」方針を合意
  • Federation Wallet Architectures: Giuseppe が DCP WG に対し Federation Wallet 仕様を発表済みであることを確認。「DCP WG 側で取り組むべき metadata パラメータ群」が話題に。Nat が AB/Connect WG への adoption notice 送付を予告
  • Federation Extended Subordinate Listing Spec: Michael Fraser、Łukasz Jaromin、Mike Jones が実装進捗を議論。Michael が「現行実装の状況を取りまとめる」とコミット
  • OpenID Federation 実装一覧: Mike Jones が openid.net 掲載用の実装一覧を編集中。コミュニティに未掲載プロジェクトの情報提供を依頼。同時に interoperability event 開催への関心が表明された

次回コールは 9 月 5 日 7am PT。

9 月 5 日 Atlantic Spec Call

参加者: Mike Jones、Nat Sakimura、Brian Campbell、George Fletcher、Joseph Heenan、Tim Cappalli、Lukasz Jaromin、Bjorn Hjelm の 8 名(議事録 ML #010422、Lukasz Jaromin が並行で投稿した同議事録は ML #010420)。

主要議題:

  • NIST 800-63-4 集約フィードバック: 共有スプレッドシートで OpenID コメントを集約することを確認
  • IETF ドラフト関連: SD-JWT WGLC、First Party Apps(FPA)の Call for Adoption、PIKA の Call for Adoption の 3 件を WG に共有
  • Federation Extended Subordinate Listing: OP・TA 実装者に対する正式なフィードバック募集コールを発出することを合意
  • Federation Wallet Architectures: 改訂版の懸念点を議論した結果、「Appendix A を削除し、改訂版を 1 週間のレビュー期間付きで再提出する」方針を採択(これが 9 月 12 日 draft 02 + 9 月 13 日第 2 回 CfA に直結)
  • IETF JOSE WG: Michael Jones が Fully-Specified Algorithms の WG last call を共有

次回コールは 9 月 9 日 4pm PT。

9 月 9 日 Atlantic Spec Call

参加者: Mike Jones、Tom Jones、Dima Postnikov の 3 名と小規模(議事録 ML #010423)。

主要議題:

  • R&E Federation の将来像議論: Heather Flanagan のブログ投稿「Is There a Future for REFEDS and R&E Federations?」を取り上げ、Research and Education 領域における federation モデルの将来性と OpenID Federation との接続可能性を議論

次回コールは 9 月 16 日 4pm PT。9 月 16 日 / 9 月 23 日 / 9 月 30 日のコール議事録は ML 公開アーカイブに投稿が確認できない(議事録投稿ゼロまたは投稿者不在の可能性)。

9 月 19 日 Pacific Connect Call

参加者 9 名: Nat Sakimura(chair)、Aaron Parecki、Bjorn Hjelm、Brian Campbell、David Chadwick、Jan Vereechen、Joseph Heenan、Lucasz Jaromin、Sudesha Shetty(議事録 ML #010440、14:00 〜 15:00 UTC)。

主要議題:

  • イベント情報共有: mDL hackathons with CA DMV(10 月)、SIDI Hub Japan(10 月 25 日)、OIDF Workshop(10 月 28 日)、OAuth Security Workshop 2025 Iceland(2025-02-26 〜 28)
  • ミーティング頻度変更提案(bi-weekly → weekly): 否決。Brian Campbell が「反対意見の不在を真の合意とみなしてアジェンダを押し進めるのは問題である」と反対理由を表明。「lack of dissent as a means of pushing forward items without true consensus」という Brian の指摘は、第 2 回 Wallet Architectures CfA への懸念表明とも通底する原則的問題提起となった
  • Wallet Architectures draft の採択討議: 未完成セクション、未レンダリングのダイアグラム、ブラウザ API 互換性問題などへの懸念が複数の参加者から表明された

決定: Wallet Architectures の採択合意には至らず。Nat Sakimura が「議事録に反対意見を文書化し、代替アプローチ(本仕様向けの専用 WG 設立も含む)を検討する」と発言。これにより第 2 回 CfA は事実上クローズし、第 3 回(10 月 21 日 Nat 起動)への持ち越しが決定した。

議事録投稿のない週

9 月 16 日(月)、9 月 23 日(月)、9 月 30 日(月)の Atlantic Spec Call、および 9 月 5 日以外の Pacific 系コールについては議事録投稿が ML 公開アーカイブに見当たらない。当時の AB/Connect WG は議事録の ML 投稿が必須運用ではなく、議事録担当者の都合で投稿が省略される運用差があった点に留意する必要がある。

4. メーリングリストの主要スレッド

openid-specs-ab ML 9 月アーカイブは合計 29 通。技術討議の中心となった主要スレッドは以下のとおり。

2nd Call for Adoption of the OpenID Federation Wallet Architectures Draft - 2024-09-13 起動(Nat Sakimura)

Giuseppe De Marco の draft 02 提示(ML #010425、9/12)を受けた 第 2 回 Call for Adoption(締切 9 月 20 日、1 週間)。第 1 回は前月 8 月に行われており、Appendix A の問題が指摘されたことを受けて改訂版での再提案となった。

支持表明(簡潔な「I support adoption」型応答が中心):

  • Michael JonesML #010427
  • Davide Vaghetti(GARR、ML #010428
  • Niels van DijkML #010429
  • Vladimir Dzhuvinov(Connect2id、ML #010430、9/16): 「I'm writing to restate my support for adoption of the Wallet Federation Profile」と再表明
  • Francesco Antonio Marino(IPZS、ML #010431
  • Roland HedbergML #010433
  • Amir Sharif(FBK、ML #010434
  • Tom JonesML #010435): 「I support adoption」
  • Giada Sciarretta(FBK、ML #010436
  • Stefan SantessonML #010438、9/17): 「I support adoption」
  • Lukasz JarominML #010443、9/19)

しかし Brian CampbellML #010439)が強い反対を表明:

"I believe it is inappropriate to ask for the WG's time and energy to consider adopting or even reviewing a document with blatant errors"

具体的指摘:

  • セクションに placeholder ドット(...)が残存
  • mermaid 記法が未レンダリングのまま含まれている
  • これらの欠陥は文書の credibility を損ない、評価を不可能にする

これに対し Giuseppe De MarcoML #010441)は次のように応答:

  • PR で TBD placeholder 置換、editorial 改善、process 改善に着手済み
  • mermaid 記法は手動コンパイル後、最終ビルドに反映予定
  • immediate adoption ではなく、数週間かけて慎重にレビューし、draft 03 として再提案する」と postpone を申し出
  • 「The time of this Working Group is of inestimable value, and I intend to repay it with due diligence」

Brian Campbell はこれを受け(ML #010442)「Taking a few weeks to review everything with greater care and attention seems like a good next step. Thank you.」と同意し、本スレッドは事実上、第 2 回 CfA の中止と draft 03 への引き継ぎで結着した。9 月 19 日 Pacific コールでの「合意未到達」決定(ML #010440)も同じ流れに収斂する。

これは「沈黙=合意」と扱う運用が成立しない事例として象徴的であり、9 月 19 日 Pacific コールでの Brian Campbell の発言「lack of dissent as a means of pushing forward items without true consensus」と完全に重なる原則論的問題提起となった。

NIST 800-63-4 draft review - 2024-09-10(Mark Haine)

NIST が Digital Identity Guidelines draft 4 を公開し、コメント締切 10 月 7 日に向けた集約フィードバック収集を Foundation として行う旨を Mark Haine が AB/Connect WG に通知。

主要ポイント:

  • 800-63C-4(Federation Assurance Levels)が最優先: OpenID Federation 仕様策定者にとって特に関連が深い
  • スケジュール:
    • Interactive workshops: 9 月 19 〜 20 日
    • 内部フィードバック締切: 9 月 27 日
    • NIST 提出締切: 10 月 7 日
  • 共有 Google Sheet 経由でメンバーがコメントを集約

本スレッドは AB/Connect WG が外部標準化機関(NIST)への正式インプットを Foundation 単位で行う事例として、Federation 仕様の trust establishment メカニズム周りの議論との接続を意識した動きである。

Issue #2171: Proposal: Introduction of 'Light/Pure' Variants for Implicit and Hybrid Plans - 2024-09-26(Filip Skokan / panva)

OpenID Connect 認定プログラム(Certification)の Implicit / Hybrid Plan に対し、access token をフロントチャネルで返す response_type除外した "light" または "pure" variant を導入する提案。

提案趣旨:

  • 新規開発ソフトウェアで code tokencode id_token tokenid_token tokenresponse_type を使う実用的理由は見当たらない
  • codecode id_tokenid_token のみをサポートする実装にも認定取得の道を開く
  • 同種の現代化議論(PKCE variant、alg:none 必須要件の撤廃等)と一体の流れ

本提案は OpenID Foundation の Certification Program 領域に属し、Bitbucket Issue Tracker #2171 上での議論を ML に reflect したもの。AB/Connect WG の認定要件と仕様運用の現代化を結ぶ重要な提起である。

Draft Connect Call Notes (2024-09-19) - 2024-09-19(Nat Sakimura)

§3 で詳述した 9 月 19 日 Pacific Connect Call の議事録。Wallet Architectures 採択合意未到達、ミーティング頻度変更否決、Brian Campbell の「sufficient consensus とは何か」原則論など、当月最も多くの方向性を方向付けた議事録となった。

OIDF Process and IPR Updates - 2024-09-26(Elizabeth Garber)

§2 で詳述した OIDF Process Document / IPR Policy 改訂の Membership Review 開始告知。Gail Hodges も ML #010446 でフォローアップ投稿。9 月 13 日 〜 10 月 4 日のレビュー期間、10 月 5 〜 19 日の投票期間という二段階スケジュールが提示された。

5. GitHub 上の議論

2024 年 9 月の AB/Connect 周辺 GitHub 活動は、openid/federation リポジトリでの規範改訂集中(PR 18 件マージ)と、peppelinux/federation-wallet リポジトリでの draft 02 改訂、および新規 issue 起票に集中している。openid/connect リポジトリは当時 issue/PR 運用に使われておらず、OpenID Connect Core 本体および Native SSO は Bitbucket Issue Tracker(bitbucket.org/openid/connect)で管理されていた。

openid/federation - 9 月内に起票された主要 Issue

Issueタイトル起票者起票日状態
#68Should a federation entity have to resolve its own metadata?Razumain2024-09-04closed
#69Should we (always) return error and error_description in case of automatic registration error?cicnavi2024-09closed
#84Validation of Explicit Client Registration ResponseSECtim2024-09closed
#85Trust Chain Selection During Registration Request ProcessingSECtim2024-09-10closed
#86Possibly Ambiguous Metadata PolicySECtim2024-09-10closed
#87[Explicit Client Registration] RP Metadata Policy Compliance CheckSECtim2024-09closed
#88Explicit client registration: Mention that the OP must check the "aud" of the received ECvdzhuvinov2024-09closed
#89jwks description of what Federation Entity Keys are used for is misleadingselfissued2024-09closed
#90Inconsistent example regarding Request Object in automatic registrationcicnavi2024-09closed
#92Obsolete wording on Federation Fetch ResponseMichaelFraser19992024-09closed
#98Revisit private_key_jwt client auth at the federation endpointsvdzhuvinov2024-09-25closed
#100Trust Anchor Mix-Up (Federation Integrity Property)SECtim2024-09closed

SECtim(おそらく Tim Würtele / TU Stuttgart の研究グループ系)が当月 5 件の issue を起票し、Explicit Client Registration および Trust Chain Selection 周りの曖昧性指摘で連続貢献している点が目を引く。これは形式手法的視点からの仕様レビューと推測される。

openid/federation#100 - Trust Anchor Mix-Up (Federation Integrity Property)

SECtim が 9 月末に起票。OpenID Federation の整合性プロパティ違反を指摘した重要 issue。

問題シナリオ:

  • RP は Trust Anchor A を信頼し、[RP, Intermediate, A] の trust chain で OP を検証
  • OP は Trust Anchor B を信頼し、[OP, Intermediate, B] の trust chain で RP を検証
  • 両者は共通の Trust Anchor を持たないにもかかわらず、Intermediate を介して互いを「信頼」する状態が成立

仕様が現状この misalignment を許容するため、A と B が異なる Federation Policy を適用していると metadata 解釈に矛盾が生じる。本 issue は 2 件のコメントで議論された後、後に PR #282 で対処される長期論点となった。

openid/federation#98 - Revisit private_key_jwt client auth at the federation endpoints

vdzhuvinov(Vladimir Dzhuvinov)が 9 月 25 日に起票。Federation endpoint における private_key_jwt 認証のセキュリティレビュー結果として 2 点を問題提起:

  1. JWT 認証の aud claim: endpoint URL を入れるべきか、Entity ID を入れるべきか?
  2. 認証済みリクエストへの JWT レスポンス: レスポンスに aud を含めるべきか? 含めると caching が困難になるトレードオフあり

本 issue は翌月の PR #99(Simplified use of PAR for request authentication、10 月 23 日マージ)および PR #103(Audience for Endpoint Client Authentication is Entity Identifier、10 月 9 日マージ)で対処される、典型的な「9 月起票 → 10 月解決」パターンの一例。

openid/federation#86 - Possibly Ambiguous Metadata Policy

SECtim が 9 月 10 日起票。Federation 階層において Im1 / Im2 の 2 つの intermediate が同じ Entity タイプに対し矛盾する metadata policy を課す場合に、RP がどの trust chain で compliance check を行うかにより結果が変わる(非決定的)問題を指摘。

具体例:

  • Im1: token_endpoint_auth_methodprivate_key_jwt に要求
  • Im2: 同じパラメータを self_signed_tls_client_auth に要求

honest party 同士が同じ結論に到達するという federation の前提が崩れる。本 issue は後に PR #150 で対処される。

openid/federation#85 - Trust Chain Selection During Registration Request Processing

SECtim が 9 月 10 日起票。Section 12.2.2.1 の RP registration 処理における trust chain 取扱いの曖昧性。

  • 仕様は OP が「複数チェインから 1 つの Trust Anchor を選ぶ」と記述
  • しかし後続ステップで「OP が選んだ Trust Chain」と参照されるが、ステップ 2 では Anchor だけ選ぶ
  • ステップ 6(expiration time)とステップ 7(authority_hints 設定)で「選ばれた Trust Chain」が前提となるが、その特定方法が未定義

修正案: ステップ 2 で Trust Anchor ではなく Trust Chain そのものを選ばせるようにし、後続参照を整合化。本 issue は後に PR #157 で対処される。

openid/federation#68 - Should a federation entity have to resolve its own metadata?

Razumain が 9 月 4 日起票。Trust Anchor / intermediate が leaf entity の metadata を書き換えうるため、entity が peer から自身がどう見えるか把握できない問題を指摘。

提案:

  • Entity Configuration statement では metadata のみを提供
  • value / add / default の policy operator を撤廃
  • Trust chain による metadata 改変を禁止

これは Metadata Policy の根本設計に踏み込む提案であり、Trust Anchor の権限と運用負担のトレードオフ問題として、後の Federation 1.0 仕様改訂議論にも影響を残した。

peppelinux/federation-wallet - 9 月内 Issue / PR

番号種別タイトル著者日付
#20IssueSafe merge of client_metadata and trust chain final metadatapeppelinux2024-09
#21IssueRemoval of Appendix A and adding Warningsakimura2024-09-05
#22IssuePossible Use of Metadata Parameters by Wallet Ecosystemsselfissued2024-09
#23PRMove text about possible use of metadata to issue #22selfissued2024-09-11
#24PRfeat: editorial improvements and added terms and sectionspeppelinux2024-09-12
#25Issueuse of static trust_chain in JWT headerspeppelinux2024-09
#27PRfeat: Implementation Considerations for Offline Flowspeppelinux2024-09-30
#28PRsection: Wallet Checking the Non-Revocation of its Wallet Providerpeppelinux2024-09-30
#29IssueCredential Issuers Establishing Trust in the Walletpeppelinux2024-09
#30PRsequence diagrams using ascii artspeppelinux2024-09-30
#31PRsections about credential issuers establishing trust with wallet solutionpeppelinux2024-09-30

peppelinux/federation-wallet#21 - Removal of Appendix A and adding Warning

Nat Sakimura が 9 月 5 日、AB/C コール直後に起票。

要求事項:

  1. Appendix A を draft 本体から除去し、別 issue として情報を保存(紛失防止)
  2. 文書冒頭に FAPI 仕様に倣った警告文を追加

提案された警告文:

"This document is not an OIDF International Standard. It is distributed for review and comment. It is subject to change without notice and may not be referred to as an International Standard."

背景として「特に欧州の読者が公開仕様を Final Standard と誤認するリスク」を回避する意図が明示された。本 issue は PR #23 で対処され、draft 02 への反映の起点となった。

peppelinux/federation-wallet#22 - Possible Use of Metadata Parameters by Wallet Ecosystems

selfissued(Michael Jones)が 9 月起票。Wallet ecosystem の 3 エンティティタイプ(OpenID Wallet Providers、Credential Issuers、Credential Verifiers)が利用する可能性のある metadata パラメータを記述する non-normative appendix として整理する提案。

含まれる構造例:

  • Wallet Provider: authorization_endpointtoken_endpointaal_values_supported(Authenticator Assurance Levels)
  • Credential Issuer: JWKS(credential 発行用署名鍵)。Trust Chain 経由で cryptographic material の verifiability を確保
  • Credential Verifier: HTTPS URL の client_idvp_formatspresentation_definitions_supported

セキュリティ考慮として「Credential Verifier はエンドポイントを URI fragment でランダム化すべき」「presentation definitions はデータ最小化原則を強制すべき」と記載。本 issue は draft 02 段階での Appendix A 削除に伴う情報保存先として PR #23 で本文から移動される受け皿となった。

6. 関連イベント

NIST Digital Identity Guidelines 800-63-4 Interactive Workshops(9 月 19 〜 20 日)

NIST が 800-63-4 draft(特に 800-63C-4 Federation Assurance Levels)に関する interactive workshops を 9 月 19 〜 20 日に開催。OpenID Foundation は Mark Haine 主導で集約フィードバックを準備し、AB/Connect WG メンバーは OpenID Federation の trust establishment 仕様との整合性確認に注力した。

Giuseppe De Marco による DCP WG への Wallet Architectures 発表(9 月 2 日 Spec Call 議事録経由で記録)

Giuseppe De Marco が 9 月初頭に Digital Credentials Protocols WG(DCP WG)に Federation Wallet Architectures 仕様を発表した旨が 9 月 2 日 AB/C Spec Call 議事録(ML #010419)に記録されている。AB/Connect と DCP の 2 WG 間連携を象徴する活動。

OAuth Security Workshop 2025 開催告知(9 月 16 日)

Daniel Fett が ML #010432 で OAuth Security Workshop 2025 の Reykjavik 開催(2025 年 2 月 26 〜 28 日、Signicat ホスト)を告知。セッション提案締切は 11 月 24 日(初回)・1 月 12 日(最終)。本イベントは AB/Connect WG メンバーが多数登壇する場として翌春に向け予告された。

Mike Jones による OAuth Protected Resource Metadata draft 更新公開(9 月 13 日)

Mike Jones の self-issued.info #2576 で 9 月 13 日付投稿。draft-ietf-oauth-resource-metadata-09 として IETF Last Call 以降のレビュー反映版を公開。DPoP / mTLS bound access tokens のサポート宣言、sequence diagram のステップ番号付与、metadata パラメータ意味の定義、I18N サポート、resource_name パラメータ追加、metadata caching 周りの security considerations 拡張を含む。これは IETF OAuth WG 側の作業だが、AB/Connect WG の Federation 仕様における metadata 取り扱いとも接続する。

7. 今後の予定(2024 年 9 月末時点の視点)

  • OpenID Federation 1.0: 9 月内に 18 件の PR がマージ済み。次の -NN 版(後の draft 40)公開を 10 月中旬〜下旬に予定。月末段階で Issue #98、#100、#68、#85、#86、#100 などが残課題
  • OpenID Federation Wallet Architectures: 第 2 回 CfA は事実上クローズ、Giuseppe De Marco が「数週間かけて慎重にレビューし、draft 03 として再提案する」と postpone を申し出。Brian Campbell の懸念(placeholder ドット、mermaid 未レンダリング)への完全対処を経て、第 3 回 CfA は 10 月以降に持ち越し
  • OpenID Connect Relying Party Metadata Choices 1.0: 9 月 30 日に Michael Jones から ML に告知。10 月の本格議論および WG 採択を予定
  • OIDF Process Document / IPR Policy 改訂: 9 月 13 日 〜 10 月 4 日が Membership Review、10 月 5 〜 19 日が Membership Vote。承認されれば本月以降の WG 採択プロセス(特に Wallet Architectures、RP Metadata Choices)の IPR commitment 基盤として運用開始
  • NIST 800-63-4 フィードバック: 9 月 27 日に内部締切、10 月 7 日に NIST 提出予定
  • WG コール運用: 9 月 19 日 Pacific コールで bi-weekly → weekly 変更案が否決済み。Brian Campbell の「sufficient consensus とは何か」原則論が残課題
  • OpenID4VP Implementer's Draft: DCP WG と AB/Connect WG の協調により、年内 Implementer's Draft 公表 → 翌年 3 月末 Final publication → EUDI implementing acts 組み込み、というタイムラインの議論が継続

8. 参考情報源

Connect WG コール議事録

仕様採択・公開関連 ML スレッド

GitHub Issues / PRs(9 月内)

公式アナウンス・関連記事