idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2024年10月)

執筆日: 2026-05-20(2024 年 10 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。2024 年 10 月時点の共同議長は Michael B. Jones、Nat Sakimura、John Bradley の 3 名。議事録は ML 公開アーカイブには独立した HTML としては残らず、議事録担当者(主に Michael Jones、補助として Tom Jones)が Draft Meeting Notes を ML に投稿する運用が定着している。

2024 年 10 月は OpenID Connect Working Group にとって象徴的な節目の月となった。具体的には次の出来事が短期間に集中した。

  • 10 月 1 日: OpenID Connect Core を含む 9 仕様が ISO/IEC 26131〜26139:2024 として正式に ISO 標準化された旨を Michael Jones がアナウンス(ML #010450)。Jones が 2023 年 12 月に PAS (Publicly Available Specifications) 経路で submission して以来の長期プロジェクトの完了
  • 10 月 22 日: OpenID Foundation Process Document と IPR Policy の改訂が 10 月 19 日締切のメンバー投票で承認(Approve 106 / Object 1 / Abstain 21、34% 投票率)(ML #010480
  • 10 月 24 日: OpenID Federation 1.0 draft 40 が公開(Fourth Implementer's Draft 候補相当)。Michael Jones を含む 6 名のエディタ体制で長期改訂を続けてきた本仕様の重要な節目
  • 10 月 28 日: OpenID Foundation Workshop が Microsoft Mountain View(1045 La Avenida Street, Room FOX、12:30〜15:45 PT)で hybrid 形式で開催。Mike Jones が WG Update セッション「OpenID Connect Working Group Update」を発表
  • 10 月 29 〜 31 日: IIW 39(Internet Identity Workshop XXXIX) が Computer History Museum(Mountain View)で開催。Mike Jones は「Introduction to OpenID Connect」を 10 月 29 日に招待 "101" セッションとして発表(Open Space unConference 形式)
  • 10 月 29 日: AB/Connect WG が 2 つの新仕様を正式採択して initial working group version を公開: ①OpenID Federation Wallet Architectures 1.0、②OpenID Connect Relying Party Metadata Choices 1.0

Mike Jones は 10 月 29 日付の self-issued.info 投稿(self-issued #2584)で「there's more happening in the OpenID Connect working group than at any other time since we started the OpenID Connect work」と述べ、本月時点の WG 活動が OpenID Connect 立ち上げ以来最高の活況にあると総括している。

openid-specs-ab ML の 10 月アーカイブは 50 通(010448010497)と、当 WG としては極めて活発な水準。内訳は **「Wallet Architectures 採択コール + RP Metadata Choices 採択コール + OpenID4VP WG last call + Federation 用語整理に向けた地ならし」**に集中している。なお Connect WG コール側では、Atlantic Spec Call が 10 月 14 日・17 日・21 日に開催され、別途 Pacific 系コールも 10 月内に複数回開催された(うち 1 回は出席者 2 名で打ち切り、10 月 29 日は OIDF Workshop と Board Meeting に重なって中止となった)。

2. 公開された仕様・ドラフト改訂

OpenID Connect 9 仕様が ISO/IEC 標準として正式公開(10 月 1 日告知)

Michael Jones は 10 月 1 日に ML #010450 で OpenID Connect 主要 9 仕様の ISO/IEC 標準化を告知した。番号と対応仕様は以下のとおり。

ISO/IEC 番号対応 OpenID Connect 仕様
ISO/IEC 26131:2024OpenID Connect Core 1.0
ISO/IEC 26132:2024OpenID Connect Discovery 1.0
ISO/IEC 26133:2024OpenID Connect Dynamic Client Registration 1.0
ISO/IEC 26134:2024OpenID Connect RP-Initiated Logout 1.0
ISO/IEC 26135:2024OpenID Connect Session Management 1.0
ISO/IEC 26136:2024OpenID Connect Front-Channel Logout 1.0
ISO/IEC 26137:2024OpenID Connect Back-Channel Logout 1.0
ISO/IEC 26138:2024OAuth 2.0 Multiple Response Type Encoding Practices
ISO/IEC 26139:2024OAuth 2.0 Form Post Response Mode

Jones は 2023 年 12 月に PAS (Publicly Available Specifications) 経路で submission を行い、約 10 ヵ月の ISO 内プロセスを経て本月の正式 publication に至った。Errata 反映済みのバージョンを基に submission した点が品質保証として強調されている。次の ISO submission ターゲットとして FAPI 1.0、eKYC-IDA、FAPI 2.0 仕様群が予告された。

OpenID Federation 1.0 - draft 40 公開(10 月 24 日)

OpenID Federation 1.0 - draft 40 が 10 月 24 日に publish された。著者は R. Hedberg(independent)、M. B. Jones(Self-Issued Consulting)、A. Å. Solberg(Sikt)、J. Bradley(Yubico)、G. De Marco(independent)、V. Dzhuvinov(Connect2id)の 6 名体制を維持。本版は Fourth Implementer's Draft 候補としての位置付けで、長期 IPR commitment の獲得を視野に置いたバージョン。本月内の規範改訂 PR 群(PR #82、#99、#102、#103、#109、#110、#113)が本版に取り込まれている。

主要な技術的変更点は、後段の §5 で各 PR ごとに詳述するが、概観としては次のとおり。

  • Audience for Endpoint Client Authentication is Entity Identifier(PR #103): endpoint client authentication 用 JWT の aud を相手の Entity Identifier に統一
  • Successful and error responses for Automatic Registration(PR #82): Automatic Registration の正常/異常レスポンス定義を追加
  • Simplified use of PAR for request authentication(PR #99): federation 固有 metadata request_authentication_methods_supported を撤廃し、既存 OIDC Discovery metadata から推論可能にする簡素化
  • Trust mark status endpoint(PR #109): iattrust_mark パラメータを trust mark status endpoint から削除
  • clarify merging of essential policy operators(PR #110): essential policy operator の merge 仕様の明確化
  • Explicit Registration sections(PR #113): Explicit Registration 節の章境界修正
  • fix: issuer must match the federation entity id(PR #102): issuer と federation entity id の一致要件の明文化

OpenID Federation Wallet Architectures 1.0 - 初版 WG draft(10 月 29 日採択告知)

Giuseppe De Marco が 10 月 20 日に ML #010465 で Draft 03 の貢献を表明。9 月の第 2 回 Call for Adoption に対するフィードバックを反映した版で、次の改訂を含む。

  • Credential Issuer が Wallet Solution と trust を確立する方法に関する新節
  • 可読性向上のための ASCII art sequence diagram
  • 用語変更: 「Third-Party Trust Model」 → 「Trusted Third-Party Model」
  • Figure legends の強化
  • Wallet による Wallet Provider non-revocation 確認の新節
  • オフライン取引フローへの実装ガイダンス
  • Subordinate Statement における metadata 使用の説明強化

設計哲学として「新規パラメータの導入なし・既存パラメータの変更なし」を明示し、OpenID4VP・OpenID4VCI 等の関連仕様への影響回避を最優先した点が特徴的である。Nat Sakimura が 10 月 21 日付の ML #010467 で「third Call for Adoption」を起動(1 週間の議論期間)、翌 10 月 22 日に Davide Vaghetti(GARR)、Francesco Antonio Marino(IPZS)、Petteri Ihalainen(Traficom)、Vladimir Dzhuvinov(Connect2id)、Amir Sharif(FBK)、Giada Sciarretta(FBK)、Robert Lapes が次々と adoption 支持を表明した。10 月 29 日に Michael Jones から ML #010496 として initial working group version の publication が告知され、openid/federation-wallet リポジトリでの正式運用に移行した。

公式リポジトリ URL: https://github.com/openid/federation-wallet/、初版 URL: https://openid.net/specs/openid-federation-wallet-1_0-03.html

OpenID Connect Relying Party Metadata Choices 1.0 - 初版 WG draft(10 月 29 日採択)

本仕様は Michael Jones が 10 月 9 日付の ML #010453 で AB/Connect WG への貢献を提示。Filip Skokan、Vladimir Dzhuvinov、Joseph Heenan の 3 名から実質的なレビューが寄せられた。

  • Vladimir DzhuvinovML #010455): OpenID Federation 文脈での価値を具体例で説明。「Federation A は RS256 署名された ID Token を許可し、その大部分の OP は RS256 のみサポート」「Federation B は FAPI 2.0 適合で別の alg 要求」というシナリオで、RP が両 federation 横断で動作するための metadata policy 表明手段になると主張
  • Filip SkokanML #010454): 「これらのパラメータは request 専用、response では使うべきでない」点を強調
  • Joseph HeenanML #010478、10 月 22 日): Filip と同じく request 専用化に同意。同時に「Federation Issue #12 を完全に解決するにはさらに作業が必要」と次の論点を予告

10 月 30 日に Michael Jones が ML #010497 で initial working group version の publication を告知。リポジトリ URL: https://github.com/openid/rp-metadata-choices、初版 URL: https://openid.net/specs/openid-connect-rp-metadata-choices-1_0-00.html

OpenID Process Document と IPR Policy 改訂の承認(10 月 22 日告知)

Mike Leszcz(OIDF Operations Director)が ML #010480 で OIDF Process Document と IPR Policy の改訂が正式承認されたことを告知。Board は 9 月 12 日に全会一致で承認、Membership 投票は 10 月 19 日締切で Approve 106 / Object 1 / Abstain 21(投票率 34%、quorum 30%)。改訂は「2 文書間の整合性向上」「editorial 修正」「board members からの懸念事項への対応」を目的としており、AB/Connect WG が今後採択する仕様の IPR commitment フローに直接影響する基盤更新となった。

OpenID4VP - Working Group Last Call 開始(10 月 23 日)

Michael Jones が WG chair として 10 月 23 日に ML #010482 で OpenID4VP の現行ドラフトに対する Working Group Last Call を起動した。応答締切は 10 月 30 日 EOB PT。本コールの目的は「Implementer's Draft 承認プロセスを開始することへの WG コンセンサスを得る」こと。承認されれば 45 日間の Foundation-wide review および 7 日間の投票期間に進み、12 月 16 日頃に投票開始予定とされた。

WGLC の動機として Michael Jones は次のように説明している。

completing this Implementer's Draft process promptly is an important step in obtaining IPR commitments for the specification

これにより DCP WG が本仕様を採択し、3 月末までに Final 公表することで EUDI implementing acts に組み込める道筋が確保される点が強調された。10 月 23 〜 24 日にかけて Oliver Terbu、Joseph Heenan、Giuseppe De Marco、Brian Campbell、David Chadwick、chris.bormann at gmx.de、Nakamura Kenichi(中村健一)、George Fletcher が連続して支持を表明し、明確な対立意見は確認できない状態で月末を迎えた。本 last call の正式結論および Implementer's Draft 投票開始は翌 11 月初頭にずれ込む。

3. ミーティングと議論

AB/Connect WG は当時、毎週月曜の Atlantic Spec Call と隔週火曜の Pacific コールを基本運用としていた。10 月は以下のコールが ML 上で確認できる。

開催日種別状態議事録/告知
月初 Pacific コールPacific コール出席 2 名で打ち切りML #010452(Nat Sakimura、2024-10-07 投稿)
10 月 14 日(月)Atlantic Spec Call開催議事録 ML #010461(Michael Jones、2024-10-15 投稿)+ Otter.ai 自動投稿 ML #010460(Tom Jones、2024-10-14 投稿)
10 月 17 日(木)Atlantic Spec Call(補足回)開催議事録 ML #010462(Michael Jones、2024-10-17)
10 月 21 日(月)Atlantic Spec Call開催(小規模)議事録 ML #010466(Michael Jones、2024-10-21)
10 月 29 日(火)Pacific コール中止(OIDF Workshop / Board Meeting のため)ML #010492(Nat Sakimura、2024-10-28)+ ML #010493(同日リマインド)

月初 Pacific コール(打ち切り)

参加者は Nat Sakimura と Aaron Parecki の 2 名のみで定例議論に至らず、Nat が 10 月 7 日に ML へ「I just closed the call since only Aaron and I joined」と短報した(ML #010452)。Nat は同時に「コール頻度を weekly から bi-weekly/fortnightly に変更する提案を翌週改めて議題化する」と予告。これは当時、参加者間で議論されていた WG コール運用見直しの一端を示すものである。

なお Tom Jones(via Otter.ai)が 10 月 14 日に自動投稿した ML #010460(Meeting Summary)には、Michael Jones・Aaron Parecki・Nat Sakimura の参加するコールが記録されており、IANA registry 表示の改善、OAuth resource metadata PR、AI ノートテイカー(Otter.ai 等)の有用性と言語的限界などが話題に上った旨が残っている。AB/Connect WG は AI ノートテイカーの導入に関しても並行で議論を始めており、本月時点ではポリシー(議事録公開ポリシー等)が未確立であった。

10 月 14 日 Atlantic Spec Call

参加者: Aaron Parecki、Mike Jones、Nat Sakimura、Tom Jones、Sam Goto(議事録 ML #010461)。

主要議題:

  • Federation Wallet 仕様の採択準備: Giuseppe が前回フィードバックを反映した版を準備したことを確認。「Brian の review を 1 週間待ち、応答がなければ contribute する」「Joseph と Brian の承認を経て formal adoption に進む」方針を合意
  • RP Metadata Choices: 2 週間前に contribute 済み。multiple choices が DCR response に出てはならない旨の明文化が必要との合意。明文化は adoption 後でよく、Nat が formal adoption call を起動することに
  • OpenID4VP Implementer's Draft: Final 1.0 を即座に出すのではなく、「12 月に Implementer's draft を切る」方針を採択。新規 query language(DCQL)の取り込みと implementation feedback の両立を意図
  • Query Language 提案: Tom Jones が「credential selection ではなく wallet selection 主体の query language」という代替提案を提示。Sam Goto が「protocol 仕様から独立して query language を定義することの価値」を指摘し、Kantara での議論との接続にも言及

10 月 17 日 Atlantic Spec Call

参加者: Giuseppe De Marco、Joseph Heenan、Brian Campbell、Mike Jones、Filip Skokan、Bjorn Hjelm、Łukasz Jaromin(議事録 ML #010462)。

主要議題:

  • RP Metadata Choices: Mike Jones が Roland Hedberg に対し、Joseph Heenan のコメントへのフィードバックを依頼
  • Federation Wallet Architectures: Giuseppe が未着手だった節を完成させて draft 03 に。metadata parameter 定義は本仕様から削除済み。Joseph・Brian の双方が「WG への正式 contribute に進める」と承認
  • Federation Extended Listing: 8 月に採択済み。実装と implementer feedback の募集を確認
  • Federation と PAR 連携: editors は「PAR 利用時に private_key_jwt 認証と self-signed certificate のサポートを enable する」方針に合意。Mike Jones が対応 PR を準備中(後の PR #99)
  • OpenID4VP 進捗: Joseph Heenan が DCP WG として「年内に Implementer's Draft を出す」「3 月末までに Final publication を目指す」目標を共有。「翌週に Working Group Last Call を開始予定」と明言(10 月 24 日 WGLC 起動の根拠)
  • Fully-Specified Algorithms: IETF 121 提出締切が月曜(10 月 21 日)。Mike Jones が 2 回目の WG last call フィードバックを反映して間に合わせる予定
  • SD-JWT WGLC 結着: Brian Campbell が月曜までに更新ドラフトを publish 予定。Brian は議事録投稿直後の同日(ML #010463)に「breaking changes は 発生していない」と訂正し、大規模 editorial revision である旨を明確化した

10 月 21 日 Atlantic Spec Call

参加者: Nat Sakimura、Mike Jones、Tom Jones の 3 名のみ(議事録 ML #010466)。当日が IETF 121 ドラフト提出締切に重なっていたため、参加者の多くが IETF 提出作業に注力していたことが伺える。Mike Jones は会議冒頭で次の通り発言している。

We suspect that some of the usual suspects are still working on updates to drafts, which can still be submitted for the next 45 minutes.

実質的な技術討議は行われず、IETF への提出状況のモニタリングが中心。

10 月 29 日 Pacific コール(中止)

10 月 28 日に Nat Sakimura から事前キャンセル告知 ML #010492、当日にもリマインド ML #010493(「We are cancelling the AB/Connect call today due to the OpenID Foundation Workshop and Board meeting.」)が投稿された。同日は OIDF Workshop 翌日(10 月 28 日開催)かつ IIW 39 初日であり、Board Meeting も並行で実施されていたため Pacific コールは中止扱いに。

4. メーリングリストの主要スレッド

openid-specs-ab ML 10 月アーカイブは合計 50 通。技術討議の中心となった主要スレッドは以下のとおり。

Contributing OpenID Connect Relying Party Metadata Choices 1.0 spec to the working group - 2024-10-09 投稿(Michael Jones)

RP Metadata Choices 1.0 の AB/Connect WG への正式 contribute 表明スレッド。Bitbucket issue #2158(OIDC Core)と GitHub federation #12 の 2 件への対処を目的とすることが明示された。Michael Jones が IANA OAuth Client Metadata registry を事前レビュー済みで、追加パラメータの必要性なしと判断した旨も併記された。

主要返信:

  • Filip SkokanML #010454、10/9): 「これらのパラメータは request 専用、response では使うべきでない」点を強く主張
  • Vladimir DzhuvinovML #010455、10/9): OpenID Federation 文脈での具体的価値を Federation A(RS256 のみ)/ Federation B(FAPI 2.0 要件)の例で説明。「RP が複数 federation 横断で動作するための policy 表明手段」と位置付け
  • Michael JonesML #010456、10/9): Vladimir のユースケース説明に同意
  • Joseph HeenanML #010478、10/22): 「Filip と同じく request 専用化に賛成。本仕様は federation #12 解決の一歩だが、完全解決にはさらに作業が必要」と次の論点を予告

このスレッドは 10 月 29 日の WG 正式採択告知(ML #010495 Nat Sakimura「The RP Metadata Choices draft is now adopted as the starting point.」)で結着した(initial working group version の publication は翌 10 月 30 日)。

Call for adoption: New OpenID Federation Wallet Architectures Draft Contribution - 2024-10-21 起動(Nat Sakimura)

Giuseppe De Marco の draft 03 提出(ML #010465、10/20)を受けた third Call for Adoption。Nat は次のように位置付けた。

adoption does not mean a document is finished, only that it is an acceptable starting point.

10 月 22 日に欧州勢を中心に支持表明が連続:

「新規パラメータの導入なし・既存パラメータの変更なし」という保守的な設計方針が採択への抵抗感を最小化した形となった。10 月 29 日に Michael Jones が initial working group version の publication を ML #010496 で告知。

Working group last call for proposed OpenID4VP Implementer's Draft - 2024-10-23 起動(Michael Jones)

OpenID4VP の Implementer's Draft 承認プロセス開始に向けた WGLC。応答締切は 10 月 30 日 EOB PT。Michael Jones は「IPR commitment 獲得」「DCP WG での採択 → 3 月末 Final → EUDI implementing acts 組み込み」という戦略的タイムラインを明示した。

10 月 23 〜 24 日の支持表明(簡潔な「I support starting...」型応答):

  • Oliver TerbuML #010483、10/23)、ML #010490
  • Joseph HeenanML #010484、10/23): 「I support starting the Implementer's draft approval process.」
  • Giuseppe De MarcoML #010485、10/23)
  • Brian CampbellML #010486、10/23、Ping Identity): 「I support commencing the Implementer's draft approval process.」
  • David ChadwickML #010487、10/23): 「yes proceed」
  • chris.bormann at gmx.deML #010488、10/23)
  • Nakamura Kenichi(中村健一)ML #010489、10/23)
  • George FletcherML #010491、10/24、Capital One): 「I also support beginning the Implementer's Draft approval process.」

支持の連鎖は途切れることなく続き、明確な反対意見は確認できない。これは前月までの OpenID4VP 議論で根本論点が一通り片付いていた状況を反映している。本 WGLC の正式結論および Implementer's Draft 投票(45 日 review + 7 日 vote)は翌 11 月に持ち越された。

Guidelines for using OpenID Federations in research infrastructures - 2024-10-13 投稿(Diana Gudu, KIT/SCC)

Karlsruhe Institute of Technology の Scientific Computing Center に所属する Diana Gudu からの AARC TREE プロジェクト紹介スレッド。AARC TREE は research collaboration 文脈での AuthN/AuthZ ガイドライン策定を進めており、OpenID Federation を「one strategy」として位置付けつつ、現状の federation 実装要求の重さを踏まえて「partially rely on OID-Fed」な代替アプローチも研究中であると述べた。「研究領域における短期的に現実的な選択肢」という観点での評価を共有し、AARC-I058 ラベル付き GitHub issue・Google document を通じた WG への feedback を依頼。OpenID Federation の研究系トラストフレームワークへの適用可能性を WG にフィードバックする一次情報として記録される。

OpenID Connect specifications published as ISO standards - 2024-10-01 投稿(Michael Jones)

OpenID Connect 9 仕様の ISO/IEC 26131〜26139:2024 標準化告知(§2 参照)。本月最大の公式マイルストーンのひとつで、ML 上での議論は短いものの、Jones の self-issued.info でも詳細解説が連動して投稿された。

5. GitHub 上の議論

2024 年 10 月の AB/Connect 周辺 GitHub 活動は、openid/federation リポジトリでの規範改訂と、openid/federation-wallet(peppelinux ホスト → 月末に openid/ Organization へ移管)の Wallet 採択準備に集中している。openid/connect リポジトリは当時 issue/PR 運用に使われておらず、OpenID Connect Core 本体および Native SSO は Bitbucket Issue Tracker(bitbucket.org/openid/connect)で管理されていた。

openid/federation - 10 月内マージ PR

PRタイトル著者マージ日
#82Define successful and error responses for Automatic Registrationselfissued10 月 23 日
#99Simplified use of PAR for request authenticationselfissued10 月 23 日
#102fix: issuer must match the federation entity idpeppelinux10 月 22 日
#103Audience for Endpoint Client Authentication is Entity Identifierselfissued10 月 9 日
#109remove iat and trust_mark parameters from trust mark status endpoint; #24zachmann10 月 23 日
#110clarify merging of essential policy operatorszachmann10 月 23 日
#113Have Explicit Registration sections start and stop in right placesselfissued10 月 23 日

これらの PR が 10 月 24 日 publish の draft 40 本体に取り込まれた。10 月 23 日に 5 件が連続マージされている点が特徴的で、draft 40 publication への駆け込み統合の様相を呈する。

openid/federation - 10 月内に起票された主要 Issue

Issueタイトル起票者起票日コメント数状態
#107Verifying a trust markzachmann2024-10-092closed
#108Trust Mark Delegation Revocation?zachmann2024-10-092closed
#114Disallow request_uri in OpenID authentication requests with automatic registrationvdzhuvinov2024-10-242closed
#115Clarify audience requirements for senders and receiversselfissued2024-10-250closed
#116Inconsistent description of 'delegation' claimcicnavi2024-10-252closed
#120Is the kid header parameter required for Signed JWK Set JWS?cicnavi2024-10-280closed
#123trust_mark_owners and trust_mark_issuers with delegationzachmann2024-10-303closed
#127Incomplete statement about validating Trust Mark Issuerselfissued2024-10-313closed

openid/federation#99 - Simplified use of PAR for request authentication

10 月 17 日 Atlantic Spec Call での「Federation と PAR 連携」議論を受けて Michael Jones が起こした PR。Issue #34・#98 への対処を兼ねる。設計思想は次の通り。

  • Federation 固有 metadata request_authentication_methods_supported全面撤廃
  • 既存 OIDC Discovery metadata(request_parameter_supportedtoken_endpoint_auth_methods_supported)から RP が methods を推論可能にする
  • private_key_jwt を使う場合、JWT の aud は Authorization Server の Entity Identifier であることを要件化

Vladimir Dzhuvinov はレビュー中に「RP が request_uri を automatic registration で使うと、OP は外部リソースを盲信して取得することになり DoS リスクが生まれる」「JWT が trust chain を持たない場合に取得停止すべきか継続すべきか曖昧」と指摘。この指摘が後述 Issue #114 の起票につながり、最終的に翌 11 月の PR #119(「Describe why and how to not support request_uri」)でフォローアップされる。

openid/federation#114 - Disallow request_uri in OpenID authentication requests with automatic registration

vdzhuvinov(Vladimir Dzhuvinov)が 10 月 24 日(draft 40 公開当日)起票。問題提起の核心:

  • RP が automatic registration で request_uri を使うと、OP は外部 URI からのコンテンツを盲信取得することになる
  • 取得した JWT が Trust Chain を持たない場合、追加リソースを連鎖的に fetch するか中止するかが曖昧
  • これは federation operator に対する DoS リスクの源泉

提案: request_uri の利用を禁止または強く非推奨化し、大きな authentication request には HTTP POST または PAR を使うべき。先行例として OIDC が request_uri_parameter_supportedrequire_request_uri_registration といった metadata field で事前 screening を要求している点を参照。

本 issue は 11 月初頭の PR #119 でクローズされる短期サイクルの議論となった。

openid/federation#123 - trust_mark_ownerstrust_mark_issuers の delegation

zachmann(Gabriel Zachmann)が 10 月 30 日起票。Section 7.3「Validating a Trust Mark」内に Trust Mark issuer delegation の段落があるが、本来この内容は「Trust Anchor が claim を publish する時の要件」に属するため、構造的に misplaced であると主張。

要求事項:

  • Section 7.2 は trust_mark_owners を扱うが trust_mark_issuers を欠く。両者の関係は 7.3 にしか説明がない
  • Trust Anchor が delegated issuers を逐一 enumerate せずに済むようにすべき。「TA は trust mark を trust_mark_owners で publish し、issuer 列挙は delegation chain に委ねる」モデルが運用上望ましい
  • 現行の「MUST publish」要件は「delegated issuers の最新リストを TA が常に維持しなければならない」という運用負担と衝突する

本論点は当時クローズに至らず、後の PR #208 で対処される長期 issue となった。

openid/federation#127 - Incomplete statement about validating Trust Mark Issuer

selfissued(Michael Jones)が 10 月 31 日起票。Section 7.3 の「Trust Mark issuer の validation は Section 10 の procedure に従う」という記述に対し、「Section 10 は Trust Chain と Metadata の resolve を扱うのみで、Trust Mark issuer の validation 自体を説明していない」と指摘。記述が actionable guidance を欠くため、実装者が混乱すると主張した。本 issue は後の PR #153 で対処される。

openid/federation-wallet#39 - Authorized Credential within OpenID4VP metadata using Duckle

peppelinux が 10 月 31 日起票(Wallet Architectures が openid/ 配下に移管された直後)。OpenID4VP metadata 内に「authorized credential data」を DCQL(Duckle) を使って表現する提案。RP Entity Configuration の subordinate statements で openid_credential_verifier metadata を扱い、Trust Anchor 側の subordinate statement に intended_usage フィールドを導入して DCQL 仕様を内包させる構造を例示。具体例として「loan」「kyc」用途で vc+sd-jwt 形式の credential を要求し、last_namefirst_name・address 等の claim path と metadata type を表現するパターンが提示された。

本 issue は最終的に「wontfix」としてクローズされたが、Wallet Architectures × OpenID4VP × DCQL の交点を仕様レベルで結合しようとする初期提案として、後の DCQL 統合議論の出発点になった。

openid/federation-wallet - 10 月内 PRs / Issues

peppelinux/federation-wallet(月末に openid/federation-wallet へ移管)では、Draft 03 採択準備のための editorial PR が連続マージされた。

番号種別タイトル著者日付
#33PRfix: Third-Party Trust -> Trusted Third Partypeppelinux10/2
#34PRClarifications about end-users using wallet on behalf of an orgpeppelinux10/3
#35PRfix: four party model sectionpeppelinux10/3
#36PREditorials for Draft 03peppelinux10/3
#38PRfix: Figure 4 sequence diagram resize to fit the max line lengthpeppelinux10/4
#37IssueStatus List for trust mark revocation checkspeppelinux10/3
#39IssueAuthorized Credential within OpenID4VP metadata using Ducklepeppelinux10/31
#40Issue[Policy] Trust Marks examplespeppelinux10/31
#41Issue[Policies] Complex Trust Marks examplespeppelinux10/31

openid/rp-metadata-choices リポジトリは月末に新規作成された段階で、月内の issue/PR は確認できない(initial commit のみ)。

6. 関連イベント

OpenID Foundation Workshop @ Microsoft Mountain View(10 月 28 日)

OpenID Foundation Workshop が 10 月 28 日 12:30 〜 15:45 PT に Microsoft 1045 La Avenida Street, Mountain View, CA 94043(Room FOX)で hybrid 形式で開催された。事前案内は openid.net/registration-oidf-workshop-cisco-october-28-2024/(URL slug に "cisco" が含まれるが、本体は Microsoft 開催)。

Mike Jones は「OpenID Connect Working Group Update」セッションを担当し、後日 self-issued.info で PowerPoint・PDF 版を公開。新規 2 仕様(Wallet Architectures、RP Metadata Choices)の採択準備と、Federation 1.0 draft 40 公開のタイミングを WG 全体に共有する内容であった。Board Meeting も並行で実施されたため、AB/Connect WG Pacific コール(翌 10 月 29 日)は中止された。

IIW 39 / Internet Identity Workshop XXXIX @ Computer History Museum(10 月 29 〜 31 日)

IIW 39 が Computer History Museum(1401 N Shoreline Blvd, Mountain View, CA)で 3 日間開催。IIW は 2005 年以来年 2 回開催されている Open Space unConference 形式のイベントで、参加者全員がセッションを起案・運営できる特徴を持つ。

AB/Connect WG 関連の主要セッション:

  • Mike Jones「Introduction to OpenID Connect」(10 月 29 日、招待 "101" セッション)。資料は self-issued.info に PPTX/PDF で公開

IIW 39 は OIDF Workshop(10 月 28 日)から直接の連続日程となっており、欧州・北米の identity 関係者の West Coast 集中をもたらした。

Chilean Open Finance System Standards Workshop(10 月 2 日)

10 月 1 日に Mike Leszcz から ML #010449 で告知された OpenID Foundation × Comisión para el Mercado Financiero (CMF) Chile の共催ワークショップ。本イベント自体は FAPI 領域の話題が中心で、AB/Connect WG 直接の成果物議論は含まれないが、Foundation 全体としての global outreach 活動の一環として ML 周知された。

Mike Jones「OpenID Presentations at October 2024 OpenID Workshop and IIW plus New Specifications」公表(10 月 29 日)

self-issued.info #2584 で 10 月 29 日付投稿。OIDF Workshop / IIW 39 での発表資料公開、Wallet Architectures と RP Metadata Choices 2 仕様の WG 採択準備状況、そして「OpenID Connect WG 立ち上げ以来最高の活況」という現状認識が明示された。本投稿は翌 11 月 30 日付の self-issued #2592(Federation 拡張 3 仕様採択告知)への伏線となる。

7. 今後の予定(2024 年 10 月末時点の視点)

  • OpenID Federation 1.0 draft 40: 10 月 24 日公開済み。Fourth Implementer's Draft 候補としての位置付け。次の改訂(後の draft 41)に向けて、月末段階で openid/federation 上に Issue #114・#115・#116・#120・#123・#127 が残されている。特に Vladimir Dzhuvinov の request_uri 禁止提案(#114)の対処が直近の優先事項
  • OpenID Federation Wallet Architectures 1.0: 10 月 29 日に initial working group version 公開告知。今後は openid/federation-wallet リポジトリでの継続改訂と、関連トラストフレームワーク連携シナリオへの拡張議論が予定される
  • OpenID Connect Relying Party Metadata Choices 1.0: 10 月 29 日に WG 採択告知、10 月 30 日に initial working group version 公開告知。次版(draft 01)では Filip Skokan・Joseph Heenan のフィードバック(「multi-valued パラメータは request 専用、response 不用」)の正式反映が必要
  • OpenID4VP: 10 月 23 日 WGLC 起動済み、10 月 30 日締切で支持表明が連続。45 日 Foundation-wide review および 7 日投票期間を経て、12 月 16 日に投票開始予定
  • ISO 標準化の次フェーズ: Mike Jones は FAPI 1.0、eKYC-IDA、FAPI 2.0 を次の ISO submission ターゲットとして予告
  • Process Document / IPR Policy 改訂: 10 月 19 日に承認済み。本月以降の WG 採択プロセスは改訂版に基づき運用
  • WG コール運用: 月初の Pacific コール打ち切り(出席 2 名)を受け、Nat Sakimura が「weekly → bi-weekly/fortnightly」変更案を翌週議題化する意向を示した。コール頻度の本格的な見直しはまだ未着手
  • AI ノートテイカーの取り扱い: 10 月 14 日 Pacific コールで「AI 自動議事録の有用性」と「言語的制約」が話題に。Foundation 全体としての bot 参加ポリシーは未確立

8. 参考情報源

Connect WG コール議事録

仕様採択・公開関連 ML スレッド

OpenID4VP WGLC 関連 ML スレッド

関連 ML スレッド

GitHub Issues / PRs(10 月内)

仕様ドキュメント

公式アナウンス・関連記事