idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2024年12月)

執筆日: 2026-05-19(2024 年 12 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。2024 年 12 月時点の共同議長は Michael B. Jones、Nat Sakimura、John Bradley の 3 名。議事録は ML 公開アーカイブには独立した HTML としては残らず、議事録担当者が Draft Meeting Notes を ML に投稿する運用が定着している。

2024 年 12 月は、年末ホリデーシーズンを挟んで開催コール数こそ少なかったものの、**OpenID Federation 周辺の仕様整理が一気に進んだ「Federation の月」**となった。具体的には次の流れが並行して動いた。

  • OpenID Federation 1.0 draft 41 が 12 月 4 日に公開された。anchortrust_anchor / typeentity_type などのパラメータ名統一、複数 Trust Anchor を resolve 要求で許容、Federation Topologies 節の新設、trust_chain 必須化など、Implementer's Draft 4(7 月公開)以降の積み残しを大量に取り込む節目の改訂となった
  • 同月、**Vladimir Dzhuvinov が「Integrity Properties for Federations」**を公表し(Mike Jones も自身のブログで 12 月 6 日に紹介)、Federation Topologies 節新設に至る理論的整理が共有された
  • Trust Mark JWT の typ / id 周りの再設計が peppelinux(Giuseppe De Marco)から提起され(Issue #162)、idtrust_mark_id への改名と typ の柔軟化を含む PR #163 が 12 月 18 日にマージ。trust mark を verifiable credential や他種類の JWT として発行できるよう開いた
  • 12 月 19 日に OpenID Federation Extended Subordinate Listing draft 01 が公開され、entity_statementsubordinate_statement への改名、entity_statement のオプション化、Federation 本体への normative reference 化など、Extended Subordinate Listing 仕様の早期段階の整理が進んだ
  • OpenID for Verifiable Presentations(OpenID4VP)の 3rd Implementer's Draft 投票が 12 月 3 日告知・12 月 17〜24 日実施され、12 月 24 日に 賛成 91 / 反対 3 / 棄権 19 で承認された(事務局アナウンスは 12 月 24 日)
  • Native SSO for Mobile Apps では Vladimir Dzhuvinov による Issue #2172(confidential / public client 双方の client_id 取得手順を明示すべき)と、これを含む 4 件の issue 対応 PR #744 が 12 月 31 日付で George Fletcher から提出され、翌 1 月の draft 7 公開につながる土台が整った
  • WG コール運用の刷新が決定し、12 月 16 日以降、欧州フレンドリーな木曜 7am PT(毎週)/ 太平洋向け月曜・火曜(隔週)の体制へ移行。Federation 系の欧州実装者参加を最大化する狙い

ML 投稿は 010515010537(カレンダー招待の再送 5 通を含めれば 010732010735 の重複番号も発生しているが、本体投稿は 23 通前後)と、Connect WG 単独としては静かな月だが、その内訳は規範ドラフト公開・投票・大型 PR マージに集中している。なお 2024 年 12 月時点では、OpenID Provider Commands はまだ AB/Connect WG への寄稿として提示されておらず(提示は 2025 年 1 月 15 日)、openid/openid-provider-commands 等の独立リポジトリも存在しない。Federation 1.1 / Federation for OpenID Connect 1.1 への分割路線(2026 年)も当然まだ着手前である。

2. 公開された仕様・ドラフト改訂

OpenID Federation 1.0 - draft 41 公開(12 月 4 日)

Michael Jones が 12 月 4 日 17:55 UTC(ML #010517)で draft 41 の公開を告知。共同エディタは R. Hedberg(Ed.)、M. B. Jones、A. Å. Solberg(Sikt)、J. Bradley(Yubico)、G. De Marco、V. Dzhuvinov。Mike Jones は recent contributors として Michael Fraser、Pedram Hosseyni、Marko Ivančić、Łukasz Jaromin、Niels van Dijk、Tim Würtele、Gabriel Zachmann を明示的にクレジットした。

draft 41 はパラメータ名統一・記述明確化・新節追加を一括で取り込んだ大改訂で、本体への取り込みは GitHub 上の PR #150/#154/#155/#156/#157/#158/#160/#163/#164/#168 として連続マージされている(§5 で詳述)。主な変更点:

  • パラメータ名の正規化: anchortrust_anchortypeentity_type への統一(PR #154)
  • Federation Topologies 節の新設: フェデレーション・トポロジーごとの実装上の考慮事項(PR #150)。Vladimir Dzhuvinov 公表の「Integrity Properties for Federations」整理を反映
  • 複数 Trust Anchor の許容: resolve リクエストで複数 Trust Anchor 値を許容(PR #155)。これに伴い trust_chain クレームを resolve レスポンス JWT に 必須化
  • Trust Chain 選択の明確化: Explicit Registration(PR #157)と Automatic Registration(PR #158)における Trust Chain 選択ロジックの記述を整理
  • Trust Chain ループ防止: 第 10.1 節の「SHOULD NOT」だったループ防止を、より強い表現に書き直し(PR #164)
  • base64url 例の修正: trust mark JWT 等の base64url エンコード例で typ ヘッダの欠落を訂正(PR #156)
  • Trust Mark の typ 柔軟化と trust_mark_id 導入: 既存の id クレームを trust_mark_id に改名し、typtrust-mark+jwt を SHOULD として開いた構造に(PR #163)
  • Metadata Policy の interoperable JSON 要件追加: 重複メンバ名等の非相互運用性 JSON が JSONPath 評価で不予測動作を起こす旨を記述し、RFC 9535 を根拠に「interoperable JSON 限定」と明文化(PR #168)

Implementer's Draft 4(7 月公開、draft 31 が ID4 ベース)以降の最初の本格的な規範改訂であり、Mike Jones は 12 月 19 日のコールで「次の Implementer's Draft を見据えた整理」と位置付けている(議事録 ML #010535 より)。

OpenID Federation Extended Subordinate Listing - draft 01 公開(12 月 19 日)

Michael Jones が 12 月 19 日 21:22 UTC(ML #010536)で draft 01 の公開を告知。前版 draft 00 からの変更点:

  • Extended Subordinate Listing Response サブセクションの章立てを修正
  • OpenID Federation 本体を normative reference に
  • レスポンスのクレーム名を entity_statement から subordinate_statement に変更
  • レスポンス構造において、entity_statement を「明示要求がない限り必須」から オプション に変更
  • 用語の整合性を本文全体で揃え、Acknowledgements 節を追加

Extended Subordinate Listing は、フェデレーション内の subordinate listing をページネーション付きで提供するための拡張仕様で、SPID CIE 等の大規模フェデレーション運用を念頭に置く。draft 01 はまだ早期段階だが、本体側 draft 41 公開と同日にリリースされたことで、Federation 関連仕様群の整理進行が可視化された。

OpenID4VP 3rd Implementer's Draft 投票(12 月 17〜24 日、12 月 24 日承認)

DCP WG 主管の OpenID4VP の 3rd Implementer's Draft 投票が、AB/Connect の関連事項として ML 周知されている。

  • 12 月 3 日: 公的告知が OIDF 事務局から発出(45 日間のパブリックレビュー期間完了に基づく)
  • 12 月 10 日 22:01 UTC: Michael Jones が ML #010520 で「Please vote now at https://openid.net/foundation/members/polls/346」と早期投票開始を周知
  • 12 月 17 日〜12 月 24 日 12:00 PT: 正式投票期間
  • 12 月 24 日: OIDF が承認結果を公表(Approve 91 / Object 3 / Abstain 19、投票率 27%)。承認版は ID3 として openid-4-verifiable-presentations-1_0-ID3.html に固定

OpenID4VP は仕様としては DCP WG に所属するが、Implementer's Draft の投票運用が AB/Connect の月内議題に乗っていた点が当月の特徴である。

Native SSO for Mobile Apps - 残 issue 対応 PR #744 提出(12 月 31 日)

George Fletcher が 12 月 31 日 16:04 UTC(ML #010537)で、Bitbucket Issue Tracker 上の 4 件(#2172、#2170、#2169、#2168)に対応する PR #744 の提出を告知。editorial 修正と、experimental URN 文字列を openid.net ドメインに揃える修正を含む。本 PR が翌 2025 年 1 月 9 日に Vladimir Dzhuvinov によって approve され、1 月 21 日に Native SSO for Mobile Apps draft 7 として公開される実体となる。

OpenID Connect Core 系の規範改訂

OpenID Connect Core 1.0 本体および incorporating errata 系の新規ドラフト公開は当月内には行われていない。OAuth Interim Meeting で議論された private_key_jwt audience 問題への対応は、翌 2025 年 1 月 30 日の Core errata 3 初版ドラフト公開まで待つことになる。

3. ミーティングと議論

AB/Connect WG は、長年にわたって毎週木曜の Atlantic コールと隔週月曜の Pacific コールを基本運用としてきたが、2024 年 12 月は欧州 Federation 実装者の参加を最大化するためのコール運用刷新が決定された月でもある。

開催日種別状態議事録/告知
12 月 2 日(月)Pacific コール開催議事録 ML #010515(Nat Sakimura 投稿)、補足 ML #010516(Michael Jones)
12 月 10 日(火)Pacific コール(CET)中止ML #010518(Nat Sakimura)
12 月 12 日(木)Atlantic コール開催議事録 ML #010522(Michael Fraser 投稿)
12 月 16 日(月)Pacific コール中止(運用刷新発表に合わせて)ML #010531(Michael Jones)
12 月 19 日(木)Atlantic コール開催(新運用初回)アジェンダ ML #010533、議事録 ML #010535(George Fletcher 投稿)
12 月 24 日(火)Pacific コール中止(年末)ML #010519(Nat Sakimura)
12 月 26 日(木)Atlantic コール中止(年末)ML #010735(Mike Leszcz)

12 月 2 日 Pacific コール

参加者は 5 名: Michael Jones、Nat Sakimura、Brian Campbell、Tom Jones、Adam Bradley(Mastercard 初参加)(議事録 ML #010515)。

主要議題:

  • Mastercard の payment standards convergence 関心の確認: Adam Bradley が初参加し、「FAPI と VC を中心とした payments standards convergence」への関心を表明。これに対し Brian Campbell は「FAPI is API security focused, not payment functionality per se」と整理し、transaction data 機能は現状「basic placeholder」に留まることを明示した。W3C Web Payments および DCP の活動との関係についても触れられた
  • コール運用の刷新案: 欧州 Federation 参加者を取り込むため、Atlantic(木曜 7am PT)を 毎週 に、Pacific を 隔週 に再編する提案が承認された。実施は翌週(12 月 16 日週)から
  • Federation Wallet 関連 GitHub Issue レビュー: openid/federation の Issue #22/#20/#44 等、wallet discovery 機構と metadata パラメータに関する論点を確認

Michael Jones は当日 01:18 UTC に追補(ML #010516)で「新スケジュールは 12 月 16 日週から開始。12 月 16 日(月)3pm を落とし、12 月 19 日(木)7am を追加する(いずれも Pacific)」と具体的な切替日を提示した。

12 月 12 日 Atlantic コール

参加者 5 名: Mike Jones、Brian Campbell、Bjorn Hjelm、Victor Lu、Michael Fraser(議事録 ML #010522)。短時間ながら Federation 系の進行確認が中心。

  • コール cadence 切替確認: Atlantic 毎週木曜 7am PT、Pacific 隔週火曜 8am JST(=月曜 4pm PT)への切替を確定
  • Extended Subordinate Listing: 2 つの approve を獲得した PR について、「1 週間以内に新たな懸念が出なければマージ」の方針を確認
  • Federation Core 進行中 PR:
    • trust_mark identifiers の用語統一(後の PR #163 に相当)
    • Trust Chain の循環パターン禁止 PR(3 approve、後の PR #164)
    • resolve リクエストでの複数 Trust Anchor 識別子許容(後の PR #155)
    • trust mark issuer 検証ドキュメントの拡充(DMV 検査委任の実例を含む)
  • Certification チーム協業: entity data structures の初期テスト完了。今後はプロトコル層の検証と Automatic Registration 対応に広げる計画
  • オープン issue: trust mark ID 重複の扱い、有効期限なしクレームの扱い、プライバシー考慮、複数認証値からの client registration の曖昧性、など複数の論点が継続中
  • Federation Wallet: issuer federation discovery と entity identifier aliasing(integrity 影響)が議題化
  • イベント告知: OAuth Security Workshop 2025 と IETF 122(Bangkok)の登録開始

12 月 19 日 Atlantic コール(新運用初回)

参加者は議事録に列挙されている 13 名: Mike Jones、Vladimir Dzhuvinov、Joe DeCock、Samuel Rinnetmaki、Roland Hedberg、Lukasz Jaromin、Marcus Almgren、Brock Allen、Oliver Terbu、Michael Fraser、Joseph Heenan、Steffen Allner、George Fletcher(議事録 ML #010535)。欧州時間帯フレンドリーな新運用初回として、Roland Hedberg・Lukasz Jaromin・Marcus Almgren・Steffen Allner といった欧州 Federation 実装者の参加が一気に増えた点が運用刷新の成果として目に見える。

主要議題(アジェンダは ML #010533):

  • OpenID4VP 投票呼びかけ: Proposed Third Implementer's Draft への投票呼びかけ(投票期間は 12 月 17〜24 日)
  • 次回コール: 1 月 2 日(Atlantic)/1 月 6 日(Pacific)
  • Federation Certification 進捗: Marcus Almgren が「初期 certification テストはフェデレーション内単一エンティティの metadata validation に焦点」と報告。本番エンドポイント(数千エンティティを含む)からの大量結果セット処理が課題と提起
  • Policy Operators と形式分析: Vladimir Dzhuvinov が、テュービンゲン大学の研究者が Prolog ベースのフレームワーク でフェデレーションの metadata policy 言語を形式的に解析し、policy operator の正しさを検証する活動を紹介。「policy operator の組合せに関する未整理 issue が複数残っている」点を共有(後の 2025 年 1 月 PR #177 へつながる議論)
  • Native SSO for Mobile Apps: George Fletcher が「現在の実装を反映したドラフトを公開し、年明けに ID Token 依存解消等のクリーンアップ作業を進める」方針を提示
  • Extended Subordinate Listing: 同日の draft 01 公開のアナウンス
  • Wallet Architectures: 次の優先事項を WG で議論
  • イベント告知: FIDO Plenary(2/4〜6 Melbourne)、OAuth Security Workshop(2/26〜28 Reykjavik)、IETF 122(3/15〜21 Bangkok)、OpenID Workshop / IIW(4/7〜10 Mountain View)

12 月 16 日 Pacific コール中止と運用刷新発表

Michael Jones が 12 月 16 日 20:04 UTC(ML #010531)で「today's previously scheduled working group is cancelled and an EU-friendly call on Thursday has been added」と告知。EU フレンドリーな木曜(毎週)/太平洋向け月曜・火曜(隔週)への移行と、次回は 12 月 19 日(木)/その後は年末を挟んで 1 月 2 日(木)であることを明示した。同日 23:03 UTC には新運用に対応した recurring Zoom 招待(ML #010532)が再送されている。

なお Pacific コール側の年末取り扱いは、Nat Sakimura が 12 月 10 日と 12 月 24 日の中止を Google Calendar 経由で通知(ML #010518ML #010519)、Atlantic 側の 12 月 26 日中止は Mike Leszcz から(ML #010735)アナウンスされた。

4. メーリングリストの主要スレッド

openid-specs-ab ML の 2024 年 12 月アーカイブには、本体投稿として 010515010537 の連番を中心に Mike Leszcz による Calendar 招待再送(010732010735)が混在する形で収録されている。技術討議の中心となった主要スレッドは以下のとおり。

OpenID Connect Working Group Meeting Notes (2024-12-02) - 2024-12-03 投稿(Nat Sakimura)

12 月 2 日 Pacific コール議事録の Draft Meeting Notes 投稿。Mastercard 初参加と payments standards convergence の論点、コール cadence 刷新の合意、Federation Wallet 関連 issue レビューが記録されている。Michael Jones が同日中に追補(ML #010516)で「新運用は 12 月 16 日週から、12 月 16 日(月)3pm を落として 12 月 19 日(木)7am を追加」と切替日を確定。AB/Connect の運用構造を変える宣言として位置付けられる。

OpenID Federation -41 published - 2024-12-04 投稿(Michael Jones)

draft 41 公開の通知。recent contributors(Michael Fraser、Pedram Hosseyni、Marko Ivančić、Łukasz Jaromin、Niels van Dijk、Tim Würtele、Gabriel Zachmann)を列挙し、変更履歴の概要を ML 本文に記述。返信スレッドは ML 上では大きく伸びていないが、対応する GitHub 上の議論(§5 で詳述)が当月活動の本体となる。

Vote for 3rd proposed OpenID4VP Implementer's Draft open - 2024-12-10 投稿(Michael Jones)

3rd Implementer's Draft 投票の早期開始周知。本文は短く「Please vote now at https://openid.net/foundation/members/polls/346.」のみだが、本投票は 12 月 24 日に Approve 91 / Object 3 / Abstain 19 で承認され、ID3 として固定化された。AB/Connect WG 配下から離れた OpenID4VP(DCP WG 所管)であっても、Implementer's Draft 投票運用の事務連絡はこちらの ML を継続使用している点が当時の運用実態として読み取れる。

A/B Connect Atlantic Call Notes 12/12/2024 - 2024-12-12 投稿(Michael Fraser)

12 月 12 日コールの議事録投稿。5 名出席、Federation 系の進行中 PR を網羅的に列挙する内容で、当月内の GitHub マージ活動の見取り図として機能した。trust_mark_id 改名議論、loop 防止 PR、複数 Trust Anchor PR、trust mark issuer 検証の DMV 例示などを含む。

New working group call schedule - 2024-12-16 投稿(Michael Jones)

新コール運用の正式アナウンス。EU フレンドリー木曜(毎週)/Pacific 隔週月曜・火曜の構造へ移行し、12 月 19 日(木)を新運用初回、1 月 2 日(木)を年明け再開とする旨を通知。これに伴う Calendar 再送(Mike Leszcz 投稿の 010523010530010732010735)が ML を埋めるが、内容自体は Zoom 招待・recurring 設定の更新であり技術討議は含まない。

Proposed agenda for 19-Dec-24 Connect WG call - 2024-12-19 投稿(Michael Jones)

新運用初回コールのアジェンダ。OpenID4VP 投票、Federation Certification、Federation Policy Operators(Vladimir の formal analysis)、Privacy considerations、Trust Mark validation、Federation integrity、Extended Subordinate Listing の次版公開予告、Wallet Architectures など、Federation 系議題を中心に 12 項目を列挙する充実したアジェンダで、新運用への移行が「議題を絞らず欧州実装者に開く」方向であることが明示されている。

Issue #2172: Native SSO - Confidential and public clients support - 2024-12-19 投稿(Vladimir Dzhuvinov)

Vladimir Dzhuvinov が Bitbucket Issue #2172 へ提起した内容を ML にも展開。Native SSO 仕様 §4.1 の現状記述「The client authenticates using its registered token endpoint client authentication method.」は confidential client を主用例として暗示してしまうが、public client も同等に動作可能であると指摘。AS が client_id を取得する手順を「public client では client_id token request パラメータから、confidential client では検証済み client authentication から」と分けて明示する書き換えを提案した。本提案は George Fletcher が 12 月 31 日提出した PR #744 で正式に取り込まれ、翌 1 月の draft 7 公開へ反映される。

OpenID Connect WG meeting notes - 12/19/24 - 2024-12-19 投稿(George Fletcher)

新運用初回コールの議事録投稿。13 名出席という Atlantic コールとしては比較的大規模な参加が実現したことが記録されており、運用刷新の即効性が読み取れる。テュービンゲン大学の Prolog ベース formal analysis に関する Vladimir からの紹介、Marcus による「数千エンティティを含む本番エンドポイントからの大量結果セット」課題提起、George による「Native SSO は現状実装を反映したドラフトを公開し、id_token 依存解消はクリーンアップとして年明けに」方針提示など、月内最大の技術討議が集約されている。

OpenID Federation Extended Subordinate Listing draft 01 published - 2024-12-19 投稿(Michael Jones)

draft 01 公開通知。entity_statementsubordinate_statement 改名、entity_statement のオプション化、Federation 本体への normative reference 化、Acknowledgements 節追加などを列挙。Subordinate Listing 仕様自体は早期段階だが、Federation 本体 draft 41 と Extended Subordinate Listing draft 01 を同日に公開した点に、Federation 関連仕様群の整理を一体で進める意図が見える。

New PR for the Native SSO for Mobile Apps spec - 2024-12-31 投稿(George Fletcher)

年末ホリデーシーズン最終日の投稿。Bitbucket PR #744 として、Issues #2172/#2170/#2169/#2168 への対応、editorial 修正、experimental URN を openid.net ドメインに整列させる修正を一括で含む。コミュニティレビュー依頼と「Happy New Year!!」で締めくくられている。本 PR が 2025 年 1 月 9 日に Vladimir Dzhuvinov によって approve され、1 月 21 日の draft 7 公開へつながる実体となる。

5. GitHub 上の議論

2024 年 12 月の AB/Connect 周辺 GitHub 議論は、ほぼ openid/federation リポジトリに集中している。OpenID Connect Core 本体および Native SSO は依然として Bitbucket Issue Tracker(bitbucket.org/openid/connect)で管理されており、当時 GitHub には Connect 系の active issue/PR はほぼない。

openid/federation - 12 月にマージされた主要 PR

PRタイトル著者コメント数マージ日
#150Provide implementation considerations on Federation topologiesselfissued112 月 4 日
#154Use consistent parameter and claim namesselfissued212 月 4 日
#155Allow multiple Trust Anchor values in resolve requestsselfissued612 月 18 日
#156Correct base64url-encoded examplesselfissued612 月 4 日
#157Clarify Trust Chain selection during Explicit Registrationselfissued412 月 10 日
#158Described using and not using a provided Trust Chain during Automatic Registrationselfissued112 月 10 日
#160Fix lowercase letter typo at beginning of sentencecicnavi112 月 8 日
#163trust mark typ value and id moved to trust_mark_idpeppelinux1112 月 18 日
#164Prohibit loops in Trust Chainsselfissued112 月 18 日
#168Using non-interoperable JSON may result in unpredictable metadata and metadata policies (iss #35)vdzhuvinov112 月 18 日

主要な Issue:

Issueタイトル起票者起票日状態
#159Lowercase at beginning of sentence typocicnavi2024-12-05クローズ
#161Consider being more strict in a note regarding trust chain loopscicnavi2024-12-09クローズ
#162Trust Mark jwt typ value, semantic and flexibilitypeppelinux2024-12-10クローズ
#169Removed parameters still listed in IANA registryMichaelFraser19992024-12-19open(月跨ぎ)

openid/federation#163 - trust mark typ value and id moved to trust_mark_id

12 月の最大コメント数(11 コメント)を集めた PR。peppelinux(Giuseppe De Marco)が Issue #162 で提起した「trust mark claim の id は generic すぎて曖昧、trust_mark_id に改名すべき」「typtrust-mark+jwt を SHOULD とし、trust framework が他種類の JWT(verifiable credential 等)を使えるよう開くべき」という 2 つの設計変更を実装する。

主要なやり取り:

  • peppelinux: 既存の id クレームを trust_mark_id に改名する 破壊的変更 を提案し、「他種類の typ を持つ trust mark の存在余地を開く」狙いを説明
  • selfissued(Michael Jones): 複数ラウンドの suggestion を提示し、本文整合性のための細かい編集を寄稿
  • vdzhuvinov: 改変後の trust mark JWT 群を実装側で検証し、「all modified TM JWTs - look good」と確認コメント
  • rohe(Roland Hedberg): 微調整提案を加えつつ approve

trust mark を verifiable credential 等の別形式に乗せられるよう仕様面を開いたことは、後の OpenID Federation × Wallet 系統の統合議論に大きな影響を与える前提整備となった。12 月 18 日にマージ。

openid/federation#155 - Allow multiple Trust Anchor values in resolve requests

Issue #130 への対応 PR。resolve リクエストに複数 Trust Anchor 値を許容する変更を入れ、これに伴って trust_chain クレームを resolve レスポンス JWT で 必須 とする。

論点:

  • peppelinux: 「trust_chain を resolve レスポンスで必須にすべき。整合性確保のため」と主張。PR に取り込まれた
  • zachmann(Gabriel Zachmann): 「Resolver は『任意の』Trust Anchor で応答すべきか、それとも『最初に成功した』Trust Anchor を使うべきか」を提起し、「SHOULD return ... for the first」という記述を推奨。「リクエスタによる順序付けの意図を反映できる」と擁護
  • peppelinux(反論): 「『any』の方が resolver に Trust Anchor 選択の自由を残す。『first』はリクエスタが順序を押し付ける形になる」と反論

最終的に rohe・peppelinux・vdzhuvinov の approve を得て 12 月 18 日にマージ。複数 Trust Anchor を持つフェデレーションでの resolve 設計に大きな柔軟性を導入する変更となった。

openid/federation#168 - Using non-interoperable JSON may result in unpredictable metadata and metadata policies

Vladimir Dzhuvinov が Issue #35 に対応する PR。重複メンバ名等を含む non-interoperable JSON が metadata policy 評価で予測不能な挙動を引き起こす旨を仕様に追記する。

根拠として RFC 9535(JSONPath) の「This document does not attempt to define predictable behavior for JSONPath queries in these situations」を引用。metadata policy 機構が JSONPath メカニズムに依存するため、JSON 入力が interoperability 標準に準拠していることを保証する必要があると整理した。

selfissued・peppelinux・rohe が approve。Giuseppe De Marco が editorial refinement を寄稿。12 月 18 日にマージ。Federation の実装間相互運用性に関する明文化として重要な追加である。

openid/federation#164 - Prohibit loops in Trust Chains

cicnavi(Marko Ivančić)が起票した Issue #161(「『SHOULD NOT』では loop 検出が optional に読めてしまうが、loop 検出は実装上ほぼ必須」)への対応 PR。selfissued が起案し、vdzhuvinov・cicnavi・peppelinux・rohe が approve。12 月 18 日にマージ。

cicnavi が #161 で具体例として示した「LE → IM1 → IM2 → IM1 という loop だけは reject し、それ以外の正当な多経路は許容する」というシナリオを念頭に、§10.1 のループ防止規定を強化した。

openid/federation#157 - Clarify Trust Chain selection during Explicit Registration

Issue #85 への対応 PR。Explicit Registration 処理における Trust Chain 選択ロジックを明確化し、authority_hints を RP の Immediate Superior と整合させる修正を含む。peppelinux(12/1)・SECtim(12/2)・rohe(12/9)が approve。12 月 10 日マージ。

openid/federation#156 - Correct base64url-encoded examples

trust mark delegation、trust mark response、Automatic Registration request object、OAuth authorization request object の各 base64url 例で typ ヘッダの欠落を訂正。vdzhuvinov が base64url ヘッダをデコードして {"typ":"trust-mark+jwt","alg":"RS256"...} 等を確認するレビュー手法を採用したことが特徴的。rohe・peppelinux・vdzhuvinov が approve。12 月 4 日マージ。

openid/connect リポジトリの状況

openid/connect GitHub リポジトリは当時 issue/PR 運用に使われておらず、OpenID Connect Core 本体や Native SSO の改訂は Bitbucket Issue Tracker(bitbucket.org/openid/connect)上で管理されていた。12 月内に GitHub 側に新規 issue/PR が立てられた事実は確認できない。Native SSO 関連の議論はすべて Bitbucket Issues #2168〜#2172 と PR #744、および ML 上で行われていた。

6. 関連イベント

Vladimir Dzhuvinov「Integrity Properties for Federations」公表(11 月末〜12 月)

Vladimir Dzhuvinov が、application protocol(OpenID Connect、wallet 系プロトコル等)を OpenID Federation の trust layer に紐付ける際の整合性プロパティを整理した記事を公表。Michael Jones が 12 月 6 日に self-issued.info で紹介し、「Federation Integrity(相互信頼が常に共通の trust anchor に起源を持つこと)」と「Metadata Integrity(trust anchor までの trust chain が一貫した metadata / policy を返すこと)」を 2 つの中核概念として整理した。この理論的整理が Federation draft 41 に新設された Federation Topologies 節(PR #150)に直接反映されている。

OAuth Security Workshop 2025 登録開始(12 月 3 日)

Daniel Fett が ML #010521 で 2025 年 2 月 26〜28 日 Reykjavik 開催の OAuth Security Workshop 登録開始を周知。Connect WG / Federation 実装者の翌年初頭の主要集合ポイントとして 12 月 12 日・19 日コールでも繰り返し告知された。

月内に告知された 2 〜 4 月のイベント

12 月 19 日コール議事録で列挙された 2 〜 4 月のイベント:

  • FIDO Plenary - 2025 年 2 月 4〜6 日(Melbourne)
  • OAuth Security Workshop 2025 - 2025 年 2 月 26〜28 日(Reykjavik)
  • IETF 122 - 2025 年 3 月 15〜21 日(Bangkok)
  • OpenID Workshop / IIW - 2025 年 4 月 7〜10 日(Mountain View、Computer History Museum)

7. 今後の予定(2024 年 12 月末時点の視点)

  • OpenID Federation 規範改訂: draft 41 公開を起点に、IANA registry 整理(Issue #169)、policy operator 形式分析(テュービンゲン大の Prolog ベース研究)、trust mark validation、privacy considerations 整理、Wallet Architectures との接続を継続。年明け 1 月の WG コールから次セット Certification テスト議論(Mike Jones、Joseph Heenan、Marcus Almgren)を本格化する見込み
  • OpenID Federation Extended Subordinate Listing: draft 01 公開を起点に、ページネーション機構と subordinate statement のオプション化に関する継続レビュー
  • OpenID4VP: 3rd Implementer's Draft 承認(12 月 24 日)を踏まえ、Final 化に向けた次の整理サイクル
  • Native SSO for Mobile Apps: George Fletcher 提出の PR #744 を起点に、12 月 19 日コールで確認された「現状実装を反映した draft をまず公開」方針のもと、年明けに draft 7 を publish する見込み。その後、ID Token 依存解消等のクリーンアップを WG で議論
  • OpenID Connect Core 系: OAuth Interim Meeting で議論された private_key_jwt audience 問題への対応(Core errata 3 / FAPI 1/FAPI 2/CIBA Core / OAuth 側 Internet-Drafts への連動修正)が年明け 1 月以降に展開予定
  • WG コール運用: 新運用(Atlantic 毎週木曜 7am PT/Pacific 隔週月曜・火曜)を 12 月 19 日の初回開催で実証済み。1 月 2 日(Atlantic)/1 月 6 日(Pacific)から本格運用継続
  • OpenID Provider Commands: 当月時点では未提示。Dick Hardt と Karl McGuinness による寄稿提示は翌 2025 年 1 月 15 日

8. 参考情報源

Connect WG コール議事録・アジェンダ

コール中止告知

規範ドラフト公開・投票関連 ML スレッド

イベント告知

GitHub Issues / PRs

仕様ドキュメント

公式アナウンス・関連記事