idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年1月)

執筆日: 2026-05-19(2025 年 1 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。2025 年 1 月時点の共同議長は Michael B. Jones、Nat Sakimura、John Bradley の 3 名。議事録は ML 公開アーカイブには独立した HTML としては残らず、議事録担当者が Draft Meeting Notes として ML に投稿する運用が定着している。

2025 年 1 月は、年初の Spec Call(短時間ベース)と隔週・毎週の Connect WG コールを通じて、次の 3 つの大きな流れが並行して進行した月となった。

  • Dick Hardt と Karl McGuinness による新規寄稿「OpenID Provider Commands」の WG 提示(1 月 15 日 ML 投稿)と、それに続く設計レビュー議論。Vladimir Dzhuvinov による「pull 型 RESTful resource」代替案を巡る往復が月内最大の技術論となった
  • Michael Jones による OpenID Federation 認定試験(Certification)の次セット提案(1 月 1 日 ML 投稿、3 つのテストモード)と、Joseph Heenan・Giuseppe De Marco・Marcus Almgren を交えた範囲・運用に関する議論
  • Native SSO for Mobile Apps draft 7 の公開(1 月 21 日、George Fletcher)。同時に、Final 化と「ID Token 依存の解消」を含む再設計のいずれを優先するかが論点として浮上
  • 月末には Michael Jones が OpenID Federation interop イベントの開催計画を ML に投げかけ(1 月 29 日)、欧州 Federation 実装者が次々と参加意思と会場希望を表明。本格化は翌 2 月だが、機運の口火はこの月に切られた
  • OpenID Connect Core 1.0 incorporating errata set 3 の初版ドラフトが 1 月 30 日に公開され、OAuth Interim ミーティング(1 月)で議論された private_key_jwt の audience 問題に対する対応が始まった

ML 投稿は 45 通(pipermail カウント、010538010582)。Provider Commands、Federation Certification、Federation interop の 3 本に議論が集中する典型的な月となった。

なお 2025 年 1 月時点では、OpenID Provider Commands 用の独立リポジトリ(openid/openid-provider-commands)はまだ存在せず、Dick Hardt 個人の GitHub Pages 上で dickhardt.github.io/openid-provider-commands/ としてホストされる段階だった(同リポジトリの GitHub 上での作成は 2025-03-07)。OpenID Federation 本体も Implementer's Draft 5 から次版(draft 42)公開前の整理期で、後年(2026 年)の OpenID Federation 1.1 / OpenID Federation for OpenID Connect 1.1 分割路線にはまだ着手していない。

2. 公開された仕様・ドラフト改訂

OpenID Connect Native SSO for Mobile Apps - draft 7 公開(1 月 21 日)

George Fletcher が 1 月 21 日に ML #010558 で draft 7 の公開を告知。「This closes all open issues」と述べ、すべての open issue がクローズされたことを明示した。本人の問題提起として、以下の 2 つの選択肢が議題化された:

  • 現版を Final として受容するか
  • ID Token 依存を解消し、仕様策定後に登場した新しいセキュリティアプローチ(DPoP 等)を取り込んだ大幅改訂を行うか

Vladimir Dzhuvinov(Connect2id)は ML #010559 で「Token Exchange での ID Token 依存を外して device_secret 用のスロットを 1 つ空ける方向の再訪」を支持しつつも、「いったん現在の進捗を認めた上で、時間を置いて再検討する」というペース感を提案した。

直前の流れとして、George Fletcher は 2024 年 12 月 31 日付で Bitbucket 上の PR #744(Issues #2172/#2170/#2169/#2168 への対応、editorial 修正、experimental URN を openid.net ドメインに揃える修正)を提示しており、1 月 9 日に Vladimir Dzhuvinov が approve(ML #010542)、George が御礼返信を行っている(ML #010543)。これが draft 7 の実体である。

OpenID Connect Core 1.0 incorporating errata 3 - 初版ドラフト公開(1 月 30 日)

Michael Jones が 1 月 30 日付で「Initial OpenID Connect Core errata 3 draft published」を ML に投稿(ML #010578)。OAuth Interim Meeting で Joseph Heenan と Michael Jones が提示した修正を取り込んだ初版で、private_key_jwt の audience 値に関する文言が変更対象となった。Mike Jones は「private_key_jwt の audience は AS の issuer identifier でなければならない」と意味するべきであるとの方向性を 1 月 30 日 AB/C コールで共有しており(ML #010577 議事録より)、これに併せて FAPI 1、FAPI 2、CIBA Core 等の関連仕様の対応版、および OAuth 側の Internet-Draft 修正案も並行して提出された。

OpenID Provider Commands - 寄稿提示(1 月 15 日、WG draft 化前)

Dick Hardt が 1 月 15 日 12:29 UTC、Karl McGuinness との連名で「OpenID Provider Commands」を AB/Connect WG への寄稿として ML に提示(ML #010548)。仕様の狙いは「SSO 確立後の事後セキュリティ制御(セッション失効・アカウントライフサイクル制御)を、同じ RP→OP 関係を用いて OP から RP に push する」もので、Unauthorize コマンド(過去の OpenID Connect ログインで RP が取った処理を取り消し、セッションとトークンを失効させる)を中核に据える。著者らは差別化点として以下を挙げた:

  • SCIM との違い: SCIM はディレクトリ同期を前提とするが、OP Commands は OpenID Connect 経由で作られたアカウントを同じ ID/トークンクレームで延長する。private_key_jwt 同様、認証は ID Token と同じ署名鍵・同じ JWKS を再利用するため、別途認証設定が不要
  • Shared Signals/RISC との違い: Shared Signals/RISC はイベント共有のみで受信側の必須アクションを規定しない。OP Commands は OP が RP アカウントに対する具体的アクションを指定する
  • 置き換えではない: SCIM、Shared Signals、RISC のような重量級スタックを必要としない、より単純なデプロイ向け

この時点では WG draft 化はされておらず、Dick Hardt 個人の GitHub Pages 上で openid-provider-commands-1_0-00.html としてホストされていた。1 月内では「コミュニティレビュー期間」と位置付けられ、ML 上で活発な往復が始まった(採択コール開始は翌 2 月 20 日)。

OpenID Federation - 規範ドラフト公開はなし、PR / Issue の活発化

2025 年 1 月内に Federation 本体の規範改訂は公開されていない。次版(draft 42、3 月公開)に向けた整理として、openid/federation リポジトリ上で複数の PR / Issue が動いた(§5 で詳述):

  • Issue #174(Trust Mark の logo_uri のセキュリティ懸念)が 1 月 8 日に jcmelati から起票され、Razumain、peppelinux、Vladimir Dzhuvinov、jcmelati の間で「Trust Mark 検証と外部リソース取得の信頼境界」を巡る議論が展開
  • Issue #176(Federation 内エンティティのアクセス制御)が 1 月 12 日に eduperottoni から起票され、logo_uri 議論と並行する形でフェデレーションのプライベート・パブリック境界の扱いが論点化
  • PR #177(policy operator combinations の整理)が 1 月 15 日に Vladimir Dzhuvinov から起案。Issues #11/#129/#180 への対応で、複数 Trust Anchor を持つフェデレーションでのメタデータポリシー設計を容易にすることを狙う

これらは 1 月内のマージには至らず、3 月以降の draft 42 / 5 月以降の整理に持ち越された。

その他、WG 配下の active specifications

1 月 9 日 Connect WG コールアジェンダ(ML #010541)に列挙された active specifications:

  • OpenID Connect Native SSO for Mobile Apps
  • OpenID Federation
  • OpenID Federation Extended Subordinate Listing
  • OpenID Federation Wallet Architectures
  • OpenID Connect Relying Party Metadata Choices

このうち月内に新たな規範ドラフトとして公開されたのは Native SSO の draft 7 と Core errata 3 初版のみである。

3. ミーティングと議論

AB/Connect WG は、毎週木曜の Atlantic コールと隔週月曜の Pacific コールを基本運用とする。年初は「Spec Call」と呼ばれる短時間の整理コール(議長中心の少人数)も並行して開かれている。

開催日種別状態議事録/告知
1 月 2 日(木)Spec Call開催ML #010539(Michael Jones)
1 月 6 日(月)Spec Call開催ML #010540(Michael Jones)
1 月 9 日(木)Atlantic コール開催アジェンダ ML #010541、議事録 ML #010544(Michael Fraser 投稿)
1 月 16 日(木)Atlantic コール開催アジェンダ ML #010550、議事録 ML #010553(Aaron Parecki 投稿)
1 月 20 日(月)Pacific コール中止(議長全員 unavailable)ML #010556
1 月 21 日(火)Pacific コール(CET)中止ML #010557
1 月 23 日(木)Atlantic コール中止(議長全員 unavailable)ML #010561
1 月 30 日(木)Atlantic コール開催アジェンダ ML #010575、議事録 ML #010577(Aaron Parecki 投稿)

1 月 2 日/6 日 Spec Call

少人数(2 日: Michael Jones、Michael Fraser、Victor Lu/6 日: Mike Jones、George Fletcher、Sam Goto)での年明け立て付けコール。1 月 2 日には Federation Extended Subordinate Listing のページネーション追加可否、Federation Certification の次テストセットレビュー依頼、Native SSO の残 issue クローズが議題化。「There is a code complexity cost to adding these things」(議事録 ML #010539 より)として、拡張を加える際のコード複雑度のコストを意識する姿勢が共有された。

1 月 6 日 Spec Call では、OpenID4VP 第 3 Implementer's Draft の承認確認(「Call for adoption by DCP WG under way」)と、Native SSO の次ステップが議論された。George Fletcher は「残 issue 対応 PR をマージしてから draft 7 を publish する」計画を提示し、「ID Token 依存の解消」と「DPoP との関係」を Native SSO の今後の主要論点として明示した(ML #010540)。

1 月 9 日 Atlantic コール

参加者 18 名(議事録 ML #010544、Michael Fraser 投稿)。年初最初の本格コールで、Active specifications 一覧の確認と複数の重要トピックが扱われた:

  • OpenID for Verifiable Presentations: 3rd Implementer's Draft が承認され、DCP WG 採択コール進行中であることを確認
  • OpenID Federation Certification: Mike Jones が新規 conformance テスト案(3 テストモード)を提示。Marcus Almgren が「フェデレーション全体をテストする際の膨大なログ管理の懸念」を提起
  • Native SSO: George Fletcher が「現ドラフトで open issues すべて解決済み、draft 07 公開準備中」と報告。Vladimir Dzhuvinov・Mike Jones・Bjorn Hjelm から追加レビューを依頼
  • Federation Core: Stefan Santesson が「仕様が一度に多くを試みすぎ。プロトコル相互作用ごとにプロファイル分割すべき」と懸念を表明。仕様成熟度と実装要求を巡る議論に発展
  • OpenID Provider Commands: Dick Hardt が新規寄稿を予告。「WG 採択前に ML でのコミュニティレビューを要する」との手順を明示

イベント告知として FIDO Member Plenary(2/4〜6 Melbourne)、OAuth Security Workshop(2/26〜28 Reykjavik)、IETF 122(3/15〜21 Bangkok)が周知された。

1 月 16 日 Atlantic コール

参加者 11 名(議事録 ML #010553、Aaron Parecki 投稿)。Provider Commands の初回ライブ討議が中心:

  • OpenID Provider Commands: Dick Hardt が新ドラフトをエンタープライズ向け ID 管理の文脈で紹介。Unauthorize 等のコマンドで refresh token 失効・アカウントライフサイクル制御・メタデータ交換をカバーし、SAML/SCIM の置き換えを狙う B2B SaaS シナリオが想定例として提示された
  • Native SSO: 残 1 件の PR(2 名 approve 済み)のマージが推奨され、George が次 draft を publish する流れが確認された
  • OpenID Federation: Vladimir Dzhuvinov が PR #177(policy operator combinations の整理)を紹介。「value 演算子側を優先する形に整理する」案を提示したが、Mike Jones が「これは『同等権威(equal authority)』原則と相反する」と指摘し、書面での明確化を求めた。実際 Vladimir は同日 GitHub 上でも「Roland と話したうえで value 演算子が常に優先する代替案も検討したい、当面 PR は ignore してほしい」とコメントしており(PR #177 コメント、2025-01-16 15:48 UTC)、議論の方向性転換が ML とコードレビュー両面で同期している
  • Federation Wallet Architecture: Issue #19(endpoint randomization)をクローズし、Issue #42/#41 を Trust Mark documentation 用の PR へ進める方針

1 月 20 日/21 日/23 日 中止

1 月 20 日(Pacific)と 1 月 23 日(Atlantic)はいずれも「議長全員が不在」を理由に中止(ML #010556ML #010561)。1 月 23 日のキャンセル告知では Michael Jones が「I hate to have to do this again」と立て続けの中止を遺憾と述べている。1 月 21 日の Pacific コール(CET 区分)も Nat Sakimura による Google Calendar キャンセル通知が出ている(ML #010557)。

1 月 30 日 Atlantic コール

議事録は Aaron Parecki が投稿(ML #010577)。本コールでは月内最大の技術的決定が複数下された:

  • Private Key JWT セキュリティアップデート: OAuth Interim Meeting で議論された private_key_jwt の audience 値の曖昧性を解消するため、「PKJWT の audience は AS の issuer identifier でなければならない」と定める方向で合意。これに合わせて OpenID Connect Core errata 3 の初版ドラフト(同日公開)に該当変更が取り込まれることが確認された
  • OpenID Provider Commands: Dick Hardt が寄稿仕様を紹介。Brian Campbell は「SCIM/SCIM Events/RISC/CAEP は的を射ていないという問題意識には同感」と前置きしつつ、「混雑したランドスケープにさらに別のプロトコルを加えるだけになる懸念」を表明(後に ML #010582 で詳述)
  • Native SSO の進化: George Fletcher が「Native SSO の再検討、特に ID Token 依存からの脱却の可能性」を提示し、「サブグループでブレインストーミングし WG に改善提案を戻す」案を提案
  • OpenID Federation: Dynamic Client Registration 関連の文言整理、privacy considerations 完成に向けた作業継続を共有

アジェンダ(ML #010575)には「private_key_jwt Security Vulnerability」と「Publication of OpenID Connect Core errata 3 draft」が明示されており、Core errata 3 初版公開がこのコールに合わせて行われたことがわかる。

4. メーリングリストの主要スレッド

openid-specs-ab ML の 2025 年 1 月アーカイブには合計 45 通(010538010582)が収録されている。技術討議の中心となった主要スレッドは以下のとおり。

Proposed next set of Certification tests for OpenID Federation - 2025-01-01 開始(Michael Jones)

Michael Jones が新年元日付で投稿した、Federation 認定試験の次セット提案。certification.openid.net 経由でのプロトコルメッセージ交換テストを Automatic/Explicit Registration の両方に対して提供することを狙う。3 つのテストモードを提示:

  1. Deployed Single Entity Testing: フェデレーション配下の単一エンティティの性質を検査
  2. Deployed Entire Federation Testing: ログ量管理を考慮しつつ完全なフェデレーショングラフの性質を評価
  3. Entity Joined to Test Federation: テスト用フェデレーションに参加させて positive/negative テストを実施

イタリアの SPID CIE チーム、欧州・豪州デプロイ、Connect WG、Certification チームのフィードバックを反映済みと付記。スプレッドシート添付に「Test Modes」列を加えて、どのテストがどのモード組合せで適用されるかを示した。

応答は議論性が高く、月内に 6 通の返信が積み重なった:

  • Joseph Heenan(Authlete、ML #010545、1/9): 4 つの論点を提起。(1) Automatic Registration の仕様自体が「キャッシュ可否」「trust chain 検証ステップ」等で曖昧、(2) Request Object の取り扱いが redirect/POST/request_uri/PAR と複数許容されており interop テストの一貫性を阻害、(3) 3 モードのどれを優先すべきか、(4) OpenBanking で実績のある「conformance suite を本番フェデレーションの leaf node として一時的に参加させる」アプローチを第 4 モードとして提案
  • Giuseppe De MarcoML #010546、1/10): 「trust chain は expiration を持つ。AS は fresh な trust chain を保持するだけでよい」と Heenan のキャッシュ懸念に応答。POST または PAR の利用は trust chain サイズの観点から必須。イタリア SPID CIE 本番では現状 draft 24 を使用しており、正式標準化までは変更に消極的との運用実態も共有
  • Michael JonesML #010547、1/14): Heenan の 4 論点を順次受容。「Automatic Registration が仕様面で under-specified」との指摘も認め、明確なテストから始めて仕様ギャップを並行で埋める提案。Heenan 提案の第 4 モード(本番フェデレーションへの一時参加)の検討意思も表明し、Marcus・Mike・Joseph の 3 名コール設定を呼びかけ
  • Marcus AlmgrenML #010549、1/15): 3 名コールに賛同

このスレッドは Federation 認定の「3 モード vs 4 モード」「キャッシュ可否」「Request Object 形式統一」といった interop の根幹に関わる論点を 1 月内に整理した重要な議論である。

OpenID Provider Commands - proposed WG specification - 2025-01-15 開始(Dick Hardt)

Dick Hardt と Karl McGuinness による正式寄稿スレッド。月内に 9 通の往復、その大半は Vladimir Dzhuvinov との「push(command)型 vs pull(RESTful resource)型」の設計論に費やされた。

第 1 ラウンド(1/16):

  • Vladimir DzhuvinovML #010551、1/16): 「command + data の JWT」ではなく「state changed の JWT」に簡略化することを提案。アカウントと tenant の情報を「OP 上の protected resource」として扱い、status 変化時にのみ通知トークンを送る方が、状態履歴・キャッシュヒント・整合性回復で優れるとの主張
  • Aaron PareckiML #010552、1/16): Vladimir 案に反対。「RP はすでに ID Token を検証する設定を持っており、追加の credential 管理は不要」「RP に access token 維持・API リクエスト/レスポンス語彙定義・API 用 endpoint discovery を強いるのは大きな負担」として、push 型のシンプルさを擁護
  • Dick HardtML #010554、1/16): 「OP がデータ変化を知っているのだから、push する方が効率的。なぜ pull が望ましいのか具体例が欲しい」と Vladimir に再質問

第 2 ラウンド(1/23):

  • Vladimir DzhuvinovML #010560、1/23): 「state 変化を OP リソースの GET で常に取得できれば、コマンド到達失敗があっても回復できる。signed JWT が OP リソースへのアクセス認可として使えないか」と pull の堅牢性を強調。「account/tenant データ構造は OIDC の UserInfo に似ており、state 遷移通知が決定的な追加点」とまとめた
  • Dick HardtML #010562、1/23): 「内部アプリと B2B SaaS のどちらの想定か」を確認したうえで、tenant_audit コマンドを定期的に送って RP の保有データを OP と再同期させる運用案を提示し、push アーキテクチャの堅牢性を補強

第 3 ラウンド(1/30):

  • Vladimir DzhuvinovML #010572、1/30): 内部アプリ・B2B SaaS の双方が想定範囲と回答。「Commands は GDPR 準拠を OIDC 層に集約することで簡素化できる」と OP Commands の意義を認めつつ、「アプリ開発者は RESTful resource の方が馴染みがある。incoming RPC ベースよりも、永続的なユーザデータ提供を REST endpoint で行い、JWT 通知は更新トリガとして残す方が良い」と REST 寄りの構造を再提案
  • Dick HardtML #010576、1/30): 「内部と外部で同じ仕組みを使うのが clean separation of concerns に資するというのには同意」と部分的に受容。「Vladimir が言っているのは要するに SCIM である」と整理し、OP Commands の差別化点として「webhook デプロイモデルは開発者に馴染みがある」「ID Token と同じ仕組みで認証が再利用できる(SCIM はこの認証設定を仕様化していない)」を改めて強調

第 4 ラウンド(1/31、最終投稿):

  • Brian Campbell(Ping Identity、ML #010582、1/31): コール議事録(Aaron 投稿)への補足。「SCIM/SCIM Events/RISC/CAEP は的を射ていないと思う点では sympathetic」と前置きしつつ、「ランドスケープを混雑させるだけの懸念」「Dick が OIDC と SAML の関係に例えるのは equivalent ではない」「『RISC/CAEP がすべてを解決する』という常設の hype よりも、人が実際に使うものを見たい」と批判的スタンスを表明。「note of support and pushback」と本人が形容する複雑な立場で月を締めくくった

このスレッドは Provider Commands の設計議論の出発点であり、翌 2 月の WG 採択コール(2/20 開始)で表面化する「scope を絞れ・SSE を外せ」(Aaron)/「正式な機能要望が確認できない」(Brian)という賛否の構図は、すでに本スレッドの第 4 ラウンドで芽を見せている。

Planning for an OpenID Federation interop event - 2025-01-29 開始(Michael Jones)

Michael Jones が「OpenID Foundation として OpenID Federation 実装の対面 interop テストイベントを今後数ヶ月で開催したい。参加意思と会場希望を聞かせてほしい」と投げかけたスレッド。候補会場として TIIME Unconference(3/31〜4/3 Reading)、EIC(5/6〜9 Berlin)、TNC(6/9〜13 Brighton)、NORDUnet(9/9〜11 Copenhagen)の 4 会場、または SUNET/SURF/GARR のいずれかでの独立ホスティングを提示。

月内の応答:

  • Davide Vaghetti(GARR、ML #010567、1/29): TIIME/TNC/NORDUnet を支持。GARR としてローマでのホスティングも可能だが、Jubilee(聖年)行事のため 4〜10 月は避けたいと付記
  • Yann Bouan(Idakto、ML #010568、1/29): Forum InCyber(4/1〜3 Lille、ID Forum を含む、無料)を新提案
  • Roland HedbergML #010569、1/29): EIC/NORDUnet/SUNET/SURF のいずれかを支持
  • Niels van Dijk(SURF、ML #010570、1/30): TNC25 はアジェンダが既に埋まっており聴衆も技術志向が低いため除外を推奨。TIIME を最適候補とし、EIC は「multi sector engagement」が期待できる点で推す。SURF が standalone でホストする選択肢も提示
  • Lukasz Jaromin(Raidiam、ML #010574、1/30): EIC > TIIME > NORDUnet > TNC の優先順位
  • Vladimir Dzhuvinov(Connect2id、ML #010573、1/30): 「春の TIIME を最初の interop に、2025 年後半に follow-up」という 2 段構えを提案。最新ドラフト未実装でも「早めに問題を捕捉・議論できる」ことが利点
  • Gabriel Zachmann(KIT、ML #010579、1/31): TIIME 支持、ただし NORDUnet(9 月)は遅すぎるため初回には不向きと指摘
  • Marcus Almgren(OIDF、ML #010580、1/31): TIIME または EIC に賛同
  • Giuseppe De MarcoML #010581、1/31): SURF/SUNET/GARR いずれも可。EIC/NORDUnet を距離面で優先

月末時点では「TIIME(4 月)/EIC(5 月)」が二大候補に絞られつつあった。翌 2 月に Michael Jones が「4 月 14〜16 日/4 月 28〜30 日」の 2 案に集約し、最終的に SUNET ホストでの 4 月 28〜30 日 Stockholm 開催に確定する流れ(2025 年 2 月号で詳述)が、この月にその助走を見せた。

How to authenticate mobile apps with private-key-jwt without issuing ClientIDs or managing public keys - 2025-01-28 開始(KDDI 田中翔真)

KDDI の田中翔真(Shoma Tanaka)が、private_key_jwt をモバイルアプリで採用する際のスケーラビリティ問題を提起。デバイスごとに鍵ペアを生成すると Client ID を大量発行する負担が大きく、サーバ側で各デバイスの公開鍵を保管せずに認証する方法を求めた。RFC 7515 §4.1.6 の JWT ヘッダ証明書の適用可能性も問うた。

応答:

  • Joseph HeenanML #010564、1/28): IETF の draft-ietf-oauth-attestation-based-client-auth(Attestation-Based Client Authentication, ABC)を紹介。Apple DeviceCheck/Google Safety Net 等のデバイス attestation を用いてアプリと公開鍵の紐付けを assertion 化し、AS に提示する 3 ステップを説明
  • Michael Schwartz(Gluu、ML #010565、1/28): ABC は「一度限りの認証で済むウォレットユースケース等に適する」と整理。原理的にデバイス・メタデータの保管自体は「private key 認証を導入できる組織にとって過大ではない」とし、定期的な未使用クライアント登録の expiration による DB 整理を推奨
  • Shoma TanakaML #010571、1/30): ABC では「Client Instance が Client Attestation JWT を受け取るまでの手順は scope 外」のため、KDDI としては AS 側で attestation を発行することを検討中。DeviceCheck/SafetyNet 結果を AS で検証する案で、(1) サーバ側 attestation 生成は許容されるか、(2) Client Attestation JWT 発行プロトコル仕様はあるか、を問うた

これは MODRNA WG にもクロスポストされたスレッドで、モバイル/ウォレットユースケースにおけるクライアント認証の標準化空白を示す具体例として、AB/Connect ↔ MODRNA の境界課題を可視化した議論である。

5. GitHub 上の議論

2025 年 1 月時点では、AB/Connect 周辺の GitHub 議論はほぼ openid/federation に集中している。OpenID Connect Core 本体の issue は依然として Bitbucket Issue Tracker openid/connect で管理されており、openid/openid-provider-commands リポジトリは未作成(GitHub 上の作成は 2025-03-07)、Native SSO の独立リポジトリも当時存在しない。

openid/federation - 1 月の主要 issue/PR

種別番号タイトル作成者状態
Issue#174Potential risks of using logo_uri in Trust Marksjcmelati2025-01-08 起票 / 2025-04-29 クローズ
Issue#175[brand new draft proposal] federation_subordinate_events_endpointpeppelinux2025-01-09 起票(open のまま月跨ぎ)
Issue#176Access control of entities in the federationeduperottoni2025-01-12 起票 / 2025-05-08 クローズ
PR#177Adjust and simplify policy operator combinationsvdzhuvinov2025-01-15 起案 / 2025-03-05 マージ

openid/federation#174 - Potential risks of using logo_uri in Trust Marks

João Melati(jcmelati)が「Trust Mark 内の logo_uri は任意 URL を指せるため、(1) 検証不能なコンテンツが signed statement に紛れ込む、(2) RCE/XSS の足場になる、(3) リソース提供の経時不整合」のリスクを指摘。解決策として (a) logo_uri 削除、(b) base64 画像/SVG の埋め込み、(c) logo_hash フィールド追加のいずれかを提案。

論争は「Trust Mark の検証境界はどこまでか」を焦点に展開:

  • Razumain(Stefan Santesson、1/9): 「Trust Mark は常に検証してから使う。logo URL は voluntary な情報。外部リソース dereference のリスクは常に伴うものであり、特別な脅威とは考えない」と反対
  • peppelinux(Giuseppe De Marco、1/9): 関連先として OpenID4VCI §11.2.3 と openid/OpenID4VCI#170#141 を引用
  • Vladimir Dzhuvinov(1/11): 「logo_uri が悪意あるコンテンツを参照していたとしても、それは federation の運営問題。badly run federation は同様に悪意ある subordinate を入れることもできる」と運用層に切り分け
  • jcmelati(1/13): 上記反応自体が逆に「logo_uri がない方が良い」根拠だと主張。「Trust Mark を検証することが logo URL の内容まで信頼することを意味しているような議論が出る時点で、設計が誤解を招く」
  • Razumain(1/14): 「Web アプリ設計者として強く反対する。すべての外部データは untrusted として扱うのが原則」と反論
  • Vladimir(1/17): 「logo_uri が (1) Trust Mark 発行者のドメイン下にあるか (2) 第三者がホストするか、どちらの懸念か」と論点を切り分け
  • jcmelati(1/17): 「Trust Mark は寿命を通じて信頼できる検証可能な声明として設計されているのに、外部の変動コンテンツを埋め込むのは設計矛盾」とまとめ

本 issue は最終的に「logo_uri は汎用 JWT クレームのリストに追加する」方針で 4 月 29 日にクローズされる(議論自体は 1 月内にほぼ出揃った)。

openid/federation#176 - Access control of entities in the federation

Eduardo Perottoni(eduperottoni)が、複雑なフェデレーショントポロジでの「プライベートなエンティティ」の取り扱いを問う issue。Intermediate B 配下にしか見えてはならない RP 3OP 3 を仕様レベルでどう扱うか、というユースケースを図示して提示。

応答:

  • cicnavi(Marko Ivančić、1/13): 既存の #135 と類似/重複の可能性を指摘
  • peppelinux(1/13): 「(a) Intermediate B を Trust Anchor として扱えば解決、(b) 例外的な可視性制御は trust framework と trust mark で扱える」と回答
  • eduperottoni(1/13): 「自分は仕様に詳しくなかった、既存ツールで対応可能と理解した」とクローズ意思を示すが、「Implementation Considerations 節に『trust mark/listing endpoint/regex マッチによる解決』の説明を入れるべき」と注文
  • Razumain(1/14): スウェーデンの国別プロファイルでは resolver にオプションの discovery endpoint を持たせる構成で対応していると共有(oidc-sweden/specifications の Swedish OIDC Federation Profile を引用)
  • zachmann(Gabriel Zachmann、1/16): 「複数 intermediate で private/public を分けるのは小規模ならよいが、多層フェデレーションでは複雑性が爆発する。Trust Mark で部分フェデレーション参加を表現する方が良い」と整理
  • jcmelati(1/18): 「OpenID Federation の信頼関係は bilateral かつ公的に宣言される。trust chain が成立すれば、信頼されていない方が悪く、見える方が良いとも言える。trust mark や max_path_length 等の制約を使わない discovery point は単に trust を評価しているだけ」と整理

本 issue は 5 月 8 日に selfissued(Michael Jones)が「2 つのエンティティが互いのリソースを見られないなら相互動作はそもそも不可能。ネットワーク層(ファイアウォール/専用 DNS)等で隠す運用は可能だが、本仕様の scope 外」としてクローズ。1 月内に主要論点はほぼ出揃った。

openid/federation#175 - federation_subordinate_events_endpoint 新ドラフト提案

Giuseppe De Marco(peppelinux)が、過去の Bitbucket pull-request 議論を踏襲する形で、Federation core 外の新ドラフトとして federation_subordinate_events_endpoint の起案を予告。コンセンサス形成のための窓として issue を立てたもので、1 月中の規範文書化には至らず、open のまま月跨ぎとなった。

openid/federation#177 - Adjust and simplify policy operator combinations

Vladimir Dzhuvinov 起案(1/15)。Issues #11/#129/#180 への対応 PR で、複数 Trust Anchor を持つフェデレーションでのメタデータポリシー設計を容易にすることが主目的。

PR には Zachmann の過去 PR #111/#112 の貢献を取り込み、value + essential 組合せ(#180)の修正と、その他複数の組合せ変更を一括で扱う。Connect2id 側で Nimbus OIDC/OAuth SDK に実装し、数千件の生成済みテストベクトルで検証済みであることもアピールされた。

1 月のコメント:

  • zachmann(1/16): 「new テーブルの value + add の文言が逆。add の値が value の subset でなければならない」と誤記を指摘。Vladimir が即日修正(1/16)
  • Vladimir(1/16): 「Roland と話したうえで、value 演算子が常に優先する代替変更も検討したい。当面この PR は ignore してほしい」とコメント。これは同日の 1 月 16 日 Atlantic コールで Mike Jones から「value 優先は equal authority 原則と相反するため書面での明確化が必要」と指摘された方向転換と同期している

本 PR は当月内ではマージされず、2 月以降にもう一度組み立て直しを経て、最終的に 3 月 5 日(draft 42 公開直前)にマージされた。

openid/connect リポジトリの状況

openid/connect GitHub リポジトリ自体は当時 issue/PR の運用に使われておらず、OpenID Connect Core 本体の改訂は Bitbucket Issue Tracker(openid/connect Bitbucket)上で管理されていた。1 月 9 日コール議事録でも Native SSO の PR #744 への approve が報告されており(Bitbucket 上の PR を指す)、GitHub 検索では 1 月内の活動はカウントされない。

6. 関連イベント

OAuth Interim Meeting(1 月、IETF OAuth WG 開催)

正確な日時は本 ML 上では明示されないが、Michael Jones は「This includes the changes discussed at the OAuth interim meeting」と Core errata 3 初版告知(ML #010578)で言及している。Joseph Heenan と Mike Jones が private_key_jwt の audience 値曖昧性に関する変更を提示し、これが OpenID Connect Core errata 3 / FAPI 1/FAPI 2/CIBA Core / OAuth Internet-Drafts への一連の連動修正に展開した。

月内に告知された 2 〜 4 月のイベント

1 月の各コールで繰り返し告知された 2 〜 4 月のイベント:

  • FIDO Member Plenary - 2025 年 2 月 4〜6 日(Melbourne)
  • OAuth Security Workshop 2025 - 2025 年 2 月 26〜28 日(Reykjavik)
  • IETF 122 - 2025 年 3 月 15〜21 日(Bangkok)
  • OpenID Workshop & IIW - 2025 年 4 月 7〜10 日(Mountain View、Computer History Museum)

7. 今後の予定(2025 年 1 月末時点の視点)

  • OpenID Provider Commands: コミュニティレビュー継続。1 月末時点では Brian Campbell が「note of support and pushback」の立場、Vladimir Dzhuvinov が「pull 型代替案」を提示中、Aaron Parecki が push 型支持。翌 2 月の WG コール(2/13・2/17・2/20)で議論を集約し、議長判断で WG 採択コール開始の可否を決める見込み
  • OpenID Federation Certification: Marcus Almgren/Mike Jones/Joseph Heenan の 3 名で次セットテストのスコープ詰めコールを設定予定。Automatic Registration の仕様面ギャップを並行で整理
  • OpenID Federation 規範改訂: PR #177(policy operator combinations)の方向性再検討、Issues #174/#176 の継続議論、subordination 関連 issue(#175 等)整理を経て、次版(後の draft 42)公開へ
  • Native SSO for Mobile Apps: draft 7 を起点に、Final 化か「ID Token 依存解消+DPoP との関係整理」を含む大改訂かの方向性を WG で議論。サブグループ形成案あり
  • OpenID Connect Core errata 3: 初版ドラフト公開を受けてレビュー継続、FAPI 1/FAPI 2/CIBA Core/OAuth 側 Internet-Drafts と並行で改訂
  • OpenID Federation interop イベント: 1 月末時点では TIIME(4 月)と EIC(5 月)が二大候補。SUNET/SURF/GARR のホスト意思も表明済み。翌 2 月に日程・会場が確定する見込み

8. 参考情報源

Spec Call / Connect WG コール議事録

Federation Certification 関連 ML スレッド

Provider Commands 関連 ML スレッド

Native SSO for Mobile Apps 関連 ML スレッド

Federation interop イベント関連 ML スレッド

モバイル/private_key_jwt 関連 ML スレッド

OpenID Connect Core errata 3 関連 ML スレッド

GitHub Issues / PRs