idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年3月)

執筆日: 2026-05-18(2025 年 3 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。2025 年 3 月時点の共同議長は Michael B. Jones、Nat Sakimura、John Bradley の 3 名。議事録は ML 公開アーカイブには本文として残らず、Bitbucket wiki(Connect_Meeting_Notes_*)への配布と ML 添付による配信が標準運用となっている。

2025 年 3 月は、4 月末に控えた OpenID Federation interop イベント(4 月 28〜30 日・Stockholm/SUNET) に向けた仕様凍結と、新規仕様 OpenID Provider Commands の WG 採択を巡る議論が活動の中心となった。

  • OpenID Federation draft 42 が 3 月 5 日に公開され、Michael Jones から「Stockholm interop 前の最後の規範的変更となる見込み」と位置付けられた。メタデータポリシー演算子の組合せ簡素化、Trust Chain ループ禁止、Trust Mark 識別子のリネーム(idtrust_mark_id)等が含まれる
  • 2 月 20 日に開始された OpenID Provider Commands の WG 採択コール(〜3 月 6 日)が、Aaron Parecki/Brian Campbell 等からの強い反対意見を経つつも 3 月 6 日のコールで議長判断により採択成立。3 月 27 日に OpenID Provider Commands 1.0 - draft 00 が公開された
  • 3 月 13 日 Atlantic コールおよび 3 月 17 日週のコール(Pacific/Atlantic 双方)は IETF 122(3 月 15〜21 日 Bangkok) 渡航および参加のため中止
  • 3 月 27 日 Atlantic コールでは Filip Skokan による Web Crypto API ドラフトの WICG 移行報告、Fully-Specified Algorithms ドラフトの IESG レビュー進捗、phishing-resistant authentication の ACR 値(phr / phrh)の IANA 登録等、OAuth/JOSE 周辺との接続的トピックが扱われた
  • ML 投稿は 95 通(pipermail カウント)と通常月(30〜40 通)の倍以上に達し、Provider Commands を巡る議論が一気に加速した月となった

なお 2025 年 3 月時点では OpenID Federation 1.0 自体が Final 化前(Implementer's Draft 5 が公開済み、Stockholm interop を Final 化前の最終検証と位置付け)であり、後年(2026 年)の OpenID Federation 1.1 / OpenID Federation for OpenID Connect 1.1 分割路線はまだ着手されていない。

2. 公開された仕様・ドラフト改訂

OpenID Federation draft 42 — Stockholm interop 前の最終規範改訂

Michael Jones は 3 月 5 日、OpenID Federation draft 42 を公開した(ML #010650)。Jones は「4 月 28〜30 日 Stockholm/SUNET での Federation interop イベント前に予定される最後の規範的変更」と位置付け、interop 参加実装はこの版で凍結することを示唆した。

主な変更点:

  • メタデータポリシー演算子の組合せ整理: add + superset_of を無条件許可化、default + one_of / default + subset_of / default + superset_of を条件付きから無条件へ、value + essential を無条件から条件付きへ変更
  • subset_of の挙動修正: subset_of 適用結果が空集合となる場合、メタデータ自体を削除するのではなく空にする(policy override 防止)
  • Trust Chain 改良: resolve リクエストで複数の Trust Anchor 値を渡せるよう拡張、Trust Chain 内のループを禁止、レスポンスでの trust_chain クレームを必須化
  • Trust Mark 識別子のリネーム: idtrust_mark_id
  • 登録手続きの明確化: Automatic Registration / Explicit Registration および Request Object 取り扱いに関する記述を強化

draft 42 で取り込まれた変更は GitHub 上でも以下の PR にひも付く:

  • openid/federation#177 - Adjust and simplify policy operator combinations(vdzhuvinov、3 月 5 日マージ)。Issue #11 / #129 / #180 / #182 を一括処理。Nimbus OIDC/OAuth SDK に組み込んだ数千件の test vector で検証
  • openid/federation#183 - Contributed metadata policies must be logically sound and consistent with one another(vdzhuvinov、3 月 5 日マージ)。Issue #181 への対応で、新原則を追加せず既存の「Equal Opportunity」原則を強化する形でまとめた

Vladimir Dzhuvinov はあわせて、対応する test vectors を connect2id.com のブログで公開している。

OpenID Provider Commands 1.0 - draft 00 — WG 採択直後の初版公開

Dick Hardt と Karl McGuinness が起案した OpenID Provider Commands 仕様は、2 月 20 日に開始された 2 週間の WG 採択コール(ML #010634、〜3 月 6 日)を経て、3 月 6 日 Atlantic コールで議長判断により採択された。Michael Jones は 3 月 27 日に OpenID Provider Commands 1.0 - draft 00 を公開した(ML #010711)。

仕様の狙いは「SSO 確立後の事後セキュリティ制御(セッション/アカウントの失効など)を、同じ RP→OP 関係を用いて OP から RP に push する」もので、Unauthorize コマンド(過去の OpenID Connect ログインで RP が行った処理を取り消す)等を含む。コマンドの認証は ID Token と同じ署名鍵・同じ JWKS を再利用する設計で、SCIM や Shared Signals/RISC とは別軸の「軽量な OIDC 拡張」として位置付けられている。

採択コール過程は §4 で詳述するが、Aaron Parecki と Brian Campbell からの強い反対(特に tenancy 概念と Server-Sent Events 利用)にもかかわらず議長団が採択判断を下した経緯は、当 WG にとってもやや異例の展開となった。

その他の active 仕様

3 月 3 日/3 月 31 日のコールで議長スライドに掲載された active specifications には以下が含まれる:

  • OpenID Connect Native SSO for Mobile Apps(draft 7、3 月 27 日コールで再構成計画が共有)
  • OpenID Federation
  • OpenID Federation Extended Subordinate Listing
  • OpenID Federation Wallet Architectures
  • OpenID Connect Relying Party Metadata Choices

これらは月内に新規ドラフトの公開はなかったが、後述のミーティングおよび関連 issue で継続議論されている。

3. ミーティングと議論

AB/Connect WG は通常、隔週月曜の Pacific コール と毎週木曜の Atlantic コール を運用している。2025 年 3 月の開催実績:

開催日種別状態議事録 / アジェンダ
3 月 3 日 (Pac)Pacific コール開催アジェンダ ML #010638、議事録 ML #010640 (Nat Sakimura 投稿、Bitbucket wiki)
3 月 6 日 (Atl)Atlantic コール開催アジェンダ ML #010653、議事録 ML #010662 (Joe DeCock 投稿)
3 月 13 日 (Atl)Atlantic コール中止(IETF 122 渡航のため)ML #010678
3 月 17 日週Pacific/Atlantic中止(IETF 122 開催週のため)ML #010703
3 月 27 日 (Atl)Atlantic コール開催議事録 ML #010715 (Nat Sakimura 投稿)
3 月 31 日 (Pac)Pacific コール開催アジェンダ ML #010719、議事録 ML #010720 (Michael Jones 投稿)

3 月 3 日 Pacific コール

事前アジェンダ(ML #010638)の主要議題:

  • 関連イベント告知: OAuth Security Workshop(2/26〜2/28 Reykjavik、終了直後)、IETF 122(3/15〜21 Bangkok)、OpenID Workshop + IIW(4/7〜10 Mountain View)、Federation Interop(4/28〜30 Stockholm)
  • Active specs(OpenID Connect / Federation 系 5 本)の状況
  • OpenID Provider Commands 寄稿議論(採択コール締切 3 月 6 日)
  • Native SSO for Mobile Apps の状況
  • OpenID Federation の GitHub issue(trust chain loops、access control 関連)
  • OpenID Federation Wallet Architectures

議事録は Nat Sakimura が Bitbucket wiki にドラフト投稿し、ML 上でフィードバックを募った(ML #010640)。

3 月 6 日 Atlantic コール

参加者は議長 Michael Jones、議事録担当 Joe DeCock のほか、Brock Allen、Axel Nennker、Aaron Parecki、Alex B Chalmers、Andy Barlow、Brian Campbell、Dick Hardt、Karl McGuinness、Lukasz Jarowin、Elizabeth Garber、Andrii Deinega、Filip Skokan の計 14 名(ML #010662)。

このコールの中心議題は OpenID Provider Commands 採択コールの結論。議事録には以下の論点が記録されている:

  • Tenant 概念の扱い: Karl McGuinness は「大手ベンダーは tenancy サポートを必須要件としている」と採用を主張。Brian Campbell は「proprietary extension として out of scope に留めるべき」と反対。Aaron Parecki は「tenant は OIDC Core で議論すべき問題」との立場
  • Server-Sent Events (SSE) の妥当性: 実験的技術である SSE を bulk transfer に使うことが「well-understood problem に対する simple solution」という Provider Commands のセールスポイントと矛盾するのではないかとの懸念
  • 採択判断: 議長団は反対意見を踏まえつつも、寄稿側に十分な支持があると判断し採択を承認。Authors(Hardt、McGuinness)に WG draft の作成を依頼

また Elizabeth Garber(OpenID Foundation 事務局側)から「OpenID Connect 開発者向けコンテンツ」をどこまで OIDF として整備するかという議題が提起され、「vendor agnostic getting started content for simple scenarios」を OIDF が用意しつつ、深い実装は certified implementations へ誘導するという方針が議論された。

3 月 27 日 Atlantic コール

参加者は Michael Jones、Nat Sakimura、Dick Hardt、Filip Skokan、Łukasz Jaromin(Raidiam)、George Fletcher(議事録 ML #010715)。IETF 122 直後ということもあり、IETF 由来トピックが多く扱われた:

  • RFC 7523bis の進捗: OAuth WG が private_key_jwt の audience に関する脆弱性に対応する。Mike Jones と Brian Campbell が draft を推進
  • Web Crypto API / アルゴリズム: Filip Skokan が、Web Crypto update draft の WICG 移行 を報告。JWS/JWE 新規アルゴリズム登録は避け、必要な JWK 登録に集中する方針が確認された。Dilithium の鍵フォーマットでは LAMPS WG が seed と expanded の両方をサポート決定した経緯が共有
  • Fully-Specified Algorithms ドラフト: IESG レビュー進行中。5 月 8 日 telechat 予定。FAPI 2 は Ed448 のアルゴリズム登録のため本ドラフト承認に依存
  • Phishing-Resistant Authentication: IANA の LoA Profiles registry に phr(phishing resistant)と phrh(phishing resistant hardware backed)の 2 つの ACR 値が登録完了
  • Native SSO: draft 7 のまま、再構成計画あり
  • Provider Commands: format 確認後に公開予定(実際には同日 3/27 に draft 00 が公開)
  • Federation interop(4 月末 Stockholm): 開催確認
  • Connect と DCP の連携: OpenID4VP と Federation 統合における client_id 利用のアライメントが必要

3 月 31 日 Pacific コール

参加者は Aaron Parecki、Michael Fraser、Mike Jones の少人数開催(議事録 ML #010720)。IETF 122 の振り返りが中心となった:

  • Client ID prefix 議論: Aaron Parecki は「各当事者が必要とする結果に到達できる落とし所が見えてきた(I think we'll find a way for everyone to get what they need)」と評価
  • rfc7523bis: Mike Jones と Brian Campbell が推進する方向で合意
  • ML-DSA 秘密鍵表現: NIST が seed / expanded 両形式をサポート、COSE/JOSE は当初 seed のみだったが、既存 HSM 実装の事情から LAMPS WG が両形式サポートを決定
  • Federation Issue #193: 全 entity type identifier への空 JSON object 要求の実用性を巡る議論。Michael Fraser の提案を受けて、Resolved Metadata では空オブジェクトでも entity type の存在を許容する案を Mike Jones が GitHub issue へ反映するよう依頼
  • Federation interop: Michael Fraser と Łukasz Jaromin が現地参加予定。Michael Fraser はテストフェデレーションのホストを志願、Mike Jones は「複数 Trust Anchor を跨ぐテストフェデレーションが少なくとも 1 つ必要」と要請

4. メーリングリストの主要スレッド

openid-specs-ab ML の 2025 年 3 月アーカイブには合計 95 通 が収録されており、これは AB/Connect WG として通常月の倍を超える投稿数となる。

Call for Adoption of the OpenID Provider Commands Specification - 2025-02-20 開始(Karl McGuinness)、3 月内に集中議論

採択コールは 2 月 20 日に Karl McGuinness が開始したが、賛否表明の中心は 3 月最初の週に集中した。

  • Michael Schwartz(Gluu、ML #010633): 当初は批判的だったが human-readable 版を読んで方針を支持に転じた。ただし「pull 型(OAuth Status Lists 利用)の方が軽量」との代替案を提示
  • Aaron PareckiML #010644): 採択に反対。仕様を 3 本に分割すべきと提案 — (1) OpenID Connect Tenants(tenant claim 標準化)、(2) OP Commands(コマンド req/res、トークン、アカウントライフサイクル)、(3) OP Tenant Management(テナント単位コマンド、SSE ストリーミング API)。tenant は OIDC Core で扱うべきとの立場
  • Brian Campbell(Ping Identity、ML #010647): Aaron に同調。「OIDF の名義性を考えると landscape をさらに crowding/confusing するリスクがある」と懸念表明し、tenancy 概念と Server-Sent Events 利用を含む包括採択には「強く反対(strongly object)」。また SSE という略称が、過去の Shared Signals 系 WG(CAEP/RISC を産んだ "SSE WG")の略称と紛らわしいとも指摘
  • Dick HardtML #010632): 採用支持の立場で、コマンドが「ID Token と同じ方式で署名される」点を強調。SCIM はセキュリティを意図的に空白にしたが、本仕様は OpenID の署名機構を再利用することで利点を出すと主張
  • その他 Dean Saxe、Andrii Deinega、Andy Barlow、Brock Allen も応答

3 月 6 日 Atlantic コールで議長団判断により採択成立。これは「コール参加者の声を踏まえつつも、寄稿が成熟しており WG 内で詰める価値がある」との議長判断と読み取れる。

OP Commands - alternative approaches for tenancy and bulk transfer - 2025-03-07 開始(Dick Hardt)

採択直後、Dick Hardt は「採択時に問題視された 2 点(tenancy モデリングと bulk response 転送)について、代替アプローチをコミュニティから募集する」スレッドを開始した。

  • Tenancy モデリング: 現在は tenant ID/tenant type のクレームで表現しているが、これがベストかは確信がない。draft 不要、文章説明レベルで提案歓迎
  • Bulk Response 転送: 検討してきた代替方式を文書化予定。SSE による PoC を共有予定

このスレッドは月末まで続き、Brian Campbell との往復、Dean Saxe からの反応など計 11 通超に発展。Provider Commands 採択直後の WG 内議論の中心スレッドとなった。

Review of OpenID Provider Commands (draft 00) - 2025-03-12 開始(Andrii Deinega)

Deinega は draft 00 公開(3/27)に先行する形で、当時の編集版に対し以下のレビュー指摘を投稿:

  1. Section 4(Command Token)に client_id クレームを必須化 すべき(RFC 9068「JWT Profile for OAuth 2.0 Access Tokens」とのアライメント、悪用防止)
  2. Client Metadata に encryption key があれば、OP はコマンドを暗号化すべき
  3. Metadata Command 節で nested groups をサポートし、権限管理を簡素化すべき
  4. domains クレームの目的が不明瞭、vendor-specific 要素は外すべき
  5. activate 等のコマンドでは "group" よりも member_of の語を推奨
  6. Section 6.2 の OP→RP メタデータ交換フローの明確化を要求
  7. RP Metadata の部分更新(JSON Merge Patch、RFC 7386)対応を期待

このレビューから派生して、client_id vs aud claimML #010680)、domains claimML #010681)、nested groupsML #010683)の 3 本の独立スレッドに分岐。Dick Hardt、Joseph Heenan、Karl McGuinness、George Fletcher(practicalidentity)、Andrii Deinega が活発に応答する大規模議論となった。

JWT Header for signed id tokens - 2025-03-13 開始(George Fletcher)

Fletcher(Practical Identity LLC)からの問題提起: OP Commands は ID Token と同じ鍵で署名されるが、ID Token と OP Command JWT を区別する手段が「クレームの有無(nonce 等)」に依存している。explicit JWT typingtyp ヘッダ)を導入して両者を構造的に区別すべきではないか、という設計問題。

Brian Campbell、Joseph Heenan、Karl McGuinness、Fletcher が応答。「同一鍵を用途違いの JWT 署名に使う場合の typing の重要性」が論点となり、Provider Commands の採用設計に影響を与えうる論点として残った。

OpenID Federation interop イベント計画 - 2025-03-05(Michael Jones)

Federation draft 42 公開と同日に告知された 4 月 28〜30 日 Stockholm/SUNET interop イベントの呼びかけ。会場は Tulegatan 11, 113 53 Stockholm、SUNET オフィス。Jones は参加者管理スプレッドシートのリンクを共有し、参加意向の更新を依頼した。

テスト対象範囲:

  • Topologies(multiple trust anchors、inter-federation シナリオ)
  • Profiles(automatic registration、explicit registration、federation wallet)
  • Metadata validation、computed metadata 利用
  • Certification tests
  • Trust marks、delegated trust marks
  • Resolvers、trust chains
  • Error scenario 処理

これに合わせて draft 42 を最後の規範改訂と位置付けた構造。

OWASP ASVS 5.0 OAuth/OIDC セクションへのフィードバック募集 - 2025-03-03(Mark Haine)

OpenID Foundation の Mark Haine から、OWASP が ASVS(Application Security Verification Standard)5.0 で新規に追加する「OAuth and OIDC」セクションへのフィードバック呼びかけ。リマインダ(ML #010663)も出されている。OIDF として集約レスポンスをまとめる意向で、外部仕様策定への影響行使が目的。

Issue #2173: (ed) 9. private_key_jwt Clients - 2025-03-27(Nat Sakimura)

OpenID Connect Core §9(Client Authentication)の private_key_jwt 説明にある編集ミス指摘: 「Clients that have registered a public key sign a JWT using that key」は暗号学的に不正確(公開鍵では署名できない)。「using the paired private key」への修正案。3 月 31 日 Pacific コール議題でも触れられた。

5. GitHub 上の議論

2025 年 3 月時点では、Provider Commands・Native SSO 用の独立リポジトリはまだ作成されておらず、AB/Connect 周辺の GitHub 活動は主に openid/federation で展開された(OpenID Connect Core 本体の issue は依然 Bitbucket 管理)。

openid/federation — Stockholm interop 前の集中マージ

種別番号タイトル作成者マージ/クローズ
PR#177Adjust and simplify policy operator combinationsvdzhuvinov2025-03-05 マージ
PR#183Contributed metadata policies must be logically sound and consistent with one anothervdzhuvinov2025-03-05 マージ
PR#188fix: naming constraints examplejcmelati2025-03-25 マージ
PR#191An explicit client registration may contain metadata for more than one entity_typerohe2025-03-31 マージ
Issue#189Incorrect naming constraints examplesjcmelati2025-03-26 クローズ
Issue#190Inconsistent description of delegation claim in trust markstgeoghegan2025-03-12 クローズ
Issue#192Trust Chain for Trust Anchor?zachmann2025-03-28 起票
Issue#193Concerns around the practicality of the requirement for an empty json object on present entity type identifiersMichaelFraser19992025-03-31 起票

openid/federation#177 - Adjust and simplify policy operator combinations

Vladimir Dzhuvinov による、メタデータポリシー演算子の組合せ表の大幅見直し。Issue #11 / #129 / #180 / #182 を一括処理。Nimbus OIDC/OAuth SDK 上に 数千件の test vector を実装して検証した点が特徴。論点としては:

  • zachmann が初期の組合せ表で value + add の論理に誤りを指摘 → 修正
  • vdzhuvinov が一旦取り下げ、「value 演算子が組合せで優先される」代替設計を検討
  • rohe が value+superset_of の説明文の typo(The values of 'default'The values of 'value')を指摘
  • subset_of と空配列のエッジケース(#182)を追加対応

レビュー承認は rohe、selfissued、peppelinux、zachmann から。

openid/federation#183 - Contributed metadata policies must be logically sound and consistent with one another

Issue #181 への対応。新原則を導入する代わりに、既存の「Equal Opportunity」原則に要件追加する形でまとめた。承認は rohe、selfissued、peppelinux。3 月 5 日マージ。

openid/federation#192 - Trust Chain for Trust Anchor?

zachmann(Gabriel Zachmann)からの問い: Federation conformance testing で Trust Anchor 自身を entity_identifier として使う際、resolver が「Trust Anchor から自分自身への trust chain」を解決できず失敗した。Trust Chain の定義は self-referential なチェーンを許容しないと考えられ、また Trust Anchor は OOB で信頼確立済みのため論理的にも不要 — 仕様としてどう扱うべきか、という質問。

openid/federation#193 - Empty JSON object 要求の実用性

Michael Fraser からの提起。entity type identifier に対応するメタデータクレームについて、メタデータが空でも {} の必須化が「Federation がグローバルに、カスタム entity type を含めて拡大するにつれて持続不可能となり、相互運用性問題を生む」との懸念。3 月 31 日 Pacific コールでも議題化され、Resolved Metadata では空オブジェクトでなくとも entity type の存在を許容する案が検討された。

openid/connect リポジトリの状況

openid/connect リポジトリ自体は当時 issue/PR 機能が事実上未活用であり、OpenID Connect Core 本体の改訂 issue は Bitbucket Issue Tracker(openid/connect)で管理されていた。ML 上で参照されている Issue #2173private_key_jwt 編集修正)、Issue #2174("Grammatical fix to NOTE for exp attribute"、BusiPlay 起票、ML #010717)はいずれも Bitbucket Issue Tracker 上の番号である。

なお Bitbucket Cloud の Issue Tracker / Wiki は後年(2026 年 8 月 20 日)に廃止予定となっており、これら issue の GitHub 移行は将来課題として残されている。

6. 関連イベント

IETF 122(2025 年 3 月 15〜21 日、Bangkok)

OAuth WG と JOSE WG での議論が AB/Connect WG に直接波及した。3 月 13 日 Atlantic コールと 3 月 17 日週のコールは渡航および現地参加のため中止。3 月 27 日コールでは IETF 由来トピック(Web Crypto API、Fully-Specified Algorithms、ML-DSA 鍵フォーマット、phishing-resistant ACR 登録、rfc7523bis)が一気に取り上げられた。

OAuth Security Workshop(2025 年 2 月 26〜28 日、Reykjavik)

3 月初頭時点では直前の終了イベントとして 3/3 コール議題に掲載。

4 月以降のイベント案内(3 月内に共有)

  • OpenID Workshop & IIW - 2025 年 4 月 7〜10 日(Mountain View、Computer History Museum)
  • OpenID Federation interop イベント - 2025 年 4 月 28〜30 日(Stockholm、SUNET オフィス、Tulegatan 11)

7. 今後の予定(2025 年 3 月末時点の視点)

  • OpenID Federation draft 42 → interop 検証: 4 月末 Stockholm interop が draft 42 の規範部分を凍結した状態での相互運用試験となる。interop 結果を踏まえて Final Specification 化に向けた手続きへ進むか判断
  • OpenID Provider Commands 1.0 - draft 00 → 課題整理: 3 月 27 日公開された draft 00 に対する Andrii Deinega のレビュー指摘(client_id 必須化、暗号化、nested groups、domains claim 等)と、Aaron Parecki の分割提案(Tenants / OP Commands / OP Tenant Management の 3 本化)、George Fletcher の JWT typing 議論を受けた次版作業
  • Native SSO for Mobile Apps: draft 7 のまま、再構成計画進行
  • OpenID Connect Core エラッタ: Issue #2173 / #2174 等の Bitbucket Issue Tracker 残課題の処理
  • OAuth/JOSE 連携: rfc7523bis、Fully-Specified Algorithms(5 月 8 日 IESG telechat 予定、FAPI 2 依存)、Web Crypto API(WICG 移行)の進捗追跡
  • Connect ↔ DCP アライメント: OpenID4VP と Federation 統合における client_id 利用の整合化

8. 参考情報源

採択・寄稿関連 ML スレッド

Federation・コア関連 ML スレッド

ミーティングアジェンダ・議事録

GitHub PRs / Issues