OpenID Foundation AB/Connect WG 活動レポート (2025年4月)

執筆日: 2026-04-28（遡及執筆）

1. 概要

AB/Connect WG（Artifact Binding / Connect Working Group、通称「Connect WG」）は、OpenID Connect Core を中心とする OIDC 系仕様、OpenID Federation、Native SSO、RP Metadata Choices などの拡張仕様を策定する OpenID Foundation の中核 WG である。共同議長は Michael B. Jones（Self-Issued Consulting）と Nat Sakimura（NAT Consulting）で、コール議事録は ML 上で投稿される運用（議事録自体は non-public）。

2025 年 4 月の AB/Connect WG は、「IIW Spring 2025（4 月 8〜10 日、Mountain View）と SUNET ホストの OpenID Federation Interop（4 月 28〜30 日、Stockholm）という 2 つの対面イベントを軸に、複数の派生仕様を Implementer's Draft / Final Specification の手前まで押し出した月」 であった。月初の 4 月 9 日には OpenID Connect EAP ACR Values 1.0 の 60 日間 Foundation-wide Public Review が開始（Final Specification 化に向けた手続き）し、4 月 24 日には OpenID Connect Relying Party Metadata Choices 1.0 の 2 週間 Working Group Last Call が開始（締切は 5 月 8 日）された。月末の 4 月 27 日には OpenID Federation Extended Subordinate Listing draft -02 が公開された。

技術議論面では、Dick Hardt が中心となって OpenID Provider Commands の設計を集中的に揉んだ。具体的には、(1) aud 値を client_id から command_endpoint URL に変更し、コマンドトークンと ID トークンを混同させない という変更提案（10757 起点のスレッド、George Fletcher / Nat Sakimura / Andrii Deinega が支持）、(2) async コマンド（HTTP 202）と RP→OP notification の追加（10749、10777）、(3) テナンシーとバルク転送の代替アプローチ（10771）、(4) roles claim の追加（PR #14）が並行して走った。月末には Stuttgart 大学の Ralf Küsters 教授らがこのスレッドへ参戦し、「URI ベースの client_id（OpenID Federation 想定）と Command Endpoint URL が同じ値を持つ可能性を OIDC 系仕様は保証していない」 という構造的な攻撃面を指摘して 5 月以降の議論を牽引した。

並行して Native SSO for Mobile Apps に関しては、Authlete の川崎貴彦が Bitbucket Issue #2176 / #2177 / #2178 を相次いで起票し、offline_scope の語義、/token endpoint 表記、token exchange 時の openid scope 必須化条件など、ドラフト 07 の文言曖昧性を細部にわたって洗い出した。OpenID Federation では Wallet Architectures、Trust Mark ID（#194）、Issuer Identifier 正規化（#202）、Entity Declaration（#193）等が議題として整理され、4 月末の SUNET interop に向けた論点出しが進んだ。

定例コールは月 4 回開催（Atlantic 4 月 3 日・4 月 17 日・4 月 24 日、Pacific 4 月 14 日）。Atlantic 4 月 10 日コールは IIW 出張のため、Pacific 4 月 28 日コールは SUNET interop 出張と日本のゴールデンウィーク（昭和の日）が重なったため、それぞれキャンセルされた。

2. 公開された仕様・ドラフト改訂

OpenID Connect EAP ACR Values 1.0 - Public Review 開始（2025 年 4 月 9 日）

• Public Review 期間: 2025 年 4 月 9 日〜6 月 8 日（60 日間）
• 位置付け: Final Specification に向けた Public Review（Implementer's Draft ではない）。当該仕様は phr / phrh の 2 つの ACR 値を定義する短い仕様で、FIDO や W3C の scoped credentials を想定したフィッシング耐性表明手段を提供する
• 告知: Public Review Period for Proposed Final EAP ACR Values Specification（OpenID Foundation Board Secretary Marie Jordan、4 月 9 日付）
• 手続きの先（4 月時点で見えていたスケジュール）: 60 日 Public Review 終了後に Notice of Vote、その後 7 日間の正規投票期間。実際には Notice of Vote は 5 月 26 日に発出、投票期間は 6 月 9〜16 日

OpenID Connect Relying Party Metadata Choices - Working Group Last Call（2025 年 4 月 24 日開始）

• WGLC 期間: 2025 年 4 月 24 日〜5 月 8 日（2 週間）
• 対象ドラフト: openid-connect-rp-metadata-choices-1_0-02.html
• 告知: Michael Jones の Working Group Last Call for Proposed Implementer's Draft of RP Metadata Choices
• WG の動機: Mike Jones が「OpenID Federation がこの仕様を normatively 参照しており、Federation 自体が Final 承認に近づいているため、Implementer's Draft 化により実装者向けの IPR 保護を確定 させる必要がある」と説明
• コミュニティ反応: Giuseppe De Marco（Italian OIDC profile 実装者）が 010769 で「3 年前に存在していれば Italian profile で確実に使っていた」と 100% 支持を表明
• 位置付け: 単一値ではなく 複数の許容値の集合を RP メタデータに表現することで、OpenID Federation の Automatic Registration（OP からの登録レスポンスがないフロー）でも RP の選好を事前に表明できるようにする First Implementer's Draft

OpenID Federation Extended Subordinate Listing - draft -02 公開（2025 年 4 月 27 日）

• 公開日: 2025 年 4 月 27 日
• 告知: Michael Jones の OpenID Federation Extended Subordinate Listing -02 published
• draft -02 の主な変更点（告知本文より）:
  1. typo / フォーマットの editorial 整備
  2. 例文の修正（draft -01 で改名された entity_statement クエリパラメータが古いまま残っていた箇所）
  3. revoked パラメータへの参照削除
  4. OIDF specification content validation を通すための修正

OpenID Provider Commands - PR #12 / PR #14（草稿レベル、未リリース）

• 4 月の PR #12（Major PR、4 月 14 日コールで議論）には複数の編集が集約:
  • 用語整理: 「commands URI」→「commands endpoint」
  • 新機能: audit command、SSE クリティカル障害向け error event
  • レスポンス改善: command レスポンスへの sub および tenant 追加
  • HTTP 1.1 非依存性の明確化、未認識 RP ストリームに対するエラーメッセージ追加
• PR #14（4 月 17 日告知）: Issue #11 対応、RP が支持する roles を OP に表明 できるよう拡張（IPSIE IL3 の要請を踏まえた措置）
• これらは draft -00 の累積編集として進行中であり、draft -01 として ML に正式公開されるのは 5 月 22 日以降

OpenID Connect Claims Aggregation - PR #745（Bitbucket）

• 4 月 3 日コールの直後、Nat Sakimura が ML 投稿で「Claims Aggregation には 5 日間放置されている PR がある」と進捗遅延を指摘（010727）
• 4 月 17 日コールで PR #745（VP 関連要素を取り除いて簡素化する変更）の存在が確認され、Mike Jones が「フィードバックを返すかマージするかを速やかに行う」と表明
• 4 月 25 日コールでは「inactive 候補ではあるが PR #745 がアクティブ」として整理し、Edmund Jay が OIDF spec tooling のフィードバックを担当することに

Native SSO for Mobile Apps - Bitbucket Issues 起票

• 4 月 24〜26 日にかけて、Authlete の川崎貴彦が立て続けに 3 件の Issue を起票（draft 07 への詳細レビュー）:
  • Issue #2176: §4.3 における offline_scope という用語が offline_access scope を指すのか不明、ds_hash という claim が sid のタイポではないか
  • Issue #2177: ドラフト中で /token endpoint と token endpoint が混在しており、スラッシュに技術的意味があるかどうかが不明
  • Issue #2178（4/25 起票）: 「scope パラメータが存在する場合は openid を含まなければならない」という文言が、AS が default scope を適用する場合をカバーしていない、そもそも交換後 access token に openid を要求する技術的根拠が不明

3. ミーティングと議論

AB/Connect WG は 2025 年 4 月時点で週次（Atlantic 木曜）と隔週（Pacific 月曜）で定例コールを運営している。4 月の開催状況:

日付 (2025 年)	曜日	状態	議事録 / 関連投稿
4 月 3 日	木	開催（Atlantic）	Meeting Minutes for April 3rd（Joe DeCock 記録）
4 月 10 日	木	キャンセル（Atlantic、IIW のため）	Canceled event with note
4 月 14 日	月	開催（Pacific）	OpenID Connect WG Call (Atlantic) Meeting Notes (2025-04-14)（David Waite 記録）
4 月 17 日	木	開催（Atlantic）	Minutes for April 17th（Joe DeCock 記録）
4 月 24 日	木	開催（Atlantic）	WG Meeting notes 25th April 2025（Andy Barlow 記録、議事録投稿は 4 月 28 日）
4 月 28 日	月	キャンセル（Pacific、SUNET interop 出張＋祝日）	Canceled event with note: AB/Connect WG (Pacific)

4 月 3 日コール（Atlantic、Joe DeCock 記録）

• 参加者: Michael Jones（議長）、Nat Sakimura（議長）、Joe DeCock（記録）、Aaron Parecki、Andy Barlow、Brian Campbell、Chris Phillips、Daniel Fett、Dick Hardt、Filip Skokan、Joseph Heenan、Łukasz Jaromin、Marcus Almgren、Samuel Rinnetmäki、Stefan Santesson、Tim Cappalli（計 16 名）
• 主要議題: DCP WG と Connect WG の Client ID 表現コーディネーション
  • 背景: OpenID4VP では client_id にプレフィックスを付与する PR が走っており、これが OpenID Federation の URL ベース client_id と互換性を壊す可能性が議論された
  • Mike Jones: 「コンテキストごとに異なる client_id 構文を使い分けることは、開発者にミスを誘発させ、それは標準化の失敗である」とプレフィックス導入に否定的見解
  • Aaron Parecki: ウォレットと Federation はユーザー層が異なるため混乱リスクは低いと指摘し、「VP 側でプレフィックスを必須にし、Federation 側の https ベース ID は変更しない」 という妥協案を提示
  • Brian Campbell: 元 PR の手続き面に懸念を示しつつ Aaron 案を支持
  • Dick Hardt: 「OAuth では client_id は元々 opaque だった」と原点に戻り、暗黙の意味付けを必要とするのか問題提起
  • Joseph Heenan: 「一貫性のために Federation 側を変更すべきか」と論点を整理
• 未決のまま終了: コールは別 WG の Zoom スロット衝突で 強制終了（OIDF Zoom アカウントの自動切断仕様）。Mike Jones が Mike Leszcz に Zoom 設定の見直しを依頼すると ML フォロー
• 後日 ML 補足: 4 月 6〜7 日に Samuel Rinnetmäki が「スペック内でプレフィックス付き / 無しが混在することのほうが、スペック間の不整合より開発者体験を悪化させる。同一スペック内で揃えるべき」と Aaron 案を支持する立場を表明（010723）

4 月 14 日コール（Pacific、David Waite 記録）

• 参加者: Michael Jones（議長）、David Waite（記録）、Dick Hardt、Aaron Parecki、Andrii Deinega、John Melati、Michael Fraser、Tom Jones（計 8 名）
• イベント振り返り:
  • OpenID Workshop / IIW Spring 2025（4 月 7〜10 日、Mountain View）: Cloudflare が OpenID と SSH の連携を実演、OpenPubKey が ID Token 内の nonce および cnf claim を使って DPoP をサポートする実装を紹介
  • SUNET Federation Interop（4 月 28〜30 日）: 最終調整中、参加者に食事制限の確認を依頼
• Inactive Specifications 整理: 直近更新が無い 3 仕様（Claims Aggregation: 2021 年 9 月、UserInfo VC: 2023 年 5 月、SIOPv2: 2023 年 11 月）について、Mike Jones が著者に inactive 化の意向を確認することに（ただし Nat Sakimura が後刻 ML で「Claims Aggregation は PR #745 が走っているので不正確」と訂正、010751）
• OpenID Provider Commands - PR #12 集中議論: 用語整理、audit command、SSE error event、sub / tenant の応答追加、HTTP 1.1 非依存化、未認識 RP ストリームのエラーメッセージ追加が一括レビュー
• Open Issues:
  • Issue #4（client_id / aud）: client_id を claim とするか endpoint アドレスとするかの議論。FAPI の audience mismatch issue との関連性が指摘される
  • Issue #5（async）: 削除や suspension など async に処理されるオペレーションでの 202 応答利用
  • Issue #7（RP→OP notifications）: 新データ発生時の RP からの通知方法。Polling（202 location）か push かの選択肢。Dick は「実装複雑性の差はあれども、機能はオプショナルに保つ」と方針表明
  • Issue #11（roles）: Aaron が「IPSIE はまだ commands の adoption を確定させていないため、本文に書き込むのは時期尚早」と注意喚起

4 月 17 日コール（Atlantic、Joe DeCock 記録）

• 参加者: Mike Jones（議長）、Nat Sakimura（議長）、Joe DeCock（記録）、Aaron Parecki、Andy Barlow、Dick Hardt、Filip Skokan、George Fletcher、Marcus Almgren、Samuel Rinnetmäki（計 10 名）
• Federation Interop 準備: 参加登録および認定テスト走行を呼びかけ
• Claims Aggregation: PR #745（VP 特化要素の除去による簡素化）について、Mike が「フィードバックかマージのいずれかを速やかに行う」と表明
• RP Metadata Choices:
  • Issue #4: missing choice parameters、PR が作成中
  • Issue #2: 旧デプロイメントとの後方互換性懸念、単一値併記を許容するガイダンスを起草中
• OP Commands - notifications 議論（重点）:
  • Dick Hardt: notifications を同期 / 非同期に分割する設計を提案
  • George Fletcher: 「async は SSF（Shared Signals Framework）と類似または重複しているように見える」とスコープ重複を提起
  • Aaron Parecki: 「スコープを広げると commands の価値そのものを毀損しかねない」とシンプルさ維持を主張
  • George / Aaron: 新しい認証メカニズムを導入するのではなく、既存の client credentials を使うべきと合流。George は「運用簡素化のために confidential client を必須にする案」を提示
• Federation editorial レビュー対象: PR #197、#198、#200。対面で議論したい issue: #194（Trust Mark ID）、#193（Entity Declaration）

4 月 24 日コール（Atlantic、Andy Barlow 記録、ML 投稿は 4 月 28 日）

• 参加者: Michael Jones、George Fletcher、Aaron Parecki、Marcus Almgren、Andy Barlow、John Melati、Filip Skokan、Edmund Jay、Chris Phillips、Brian Campbell（短時間参加）（計 10 名）
• OAuth 2.0 Protected Resource Metadata の RFC 9728 公表: 「Aaron の初の RFC publication」を WG が祝意表明
• Claims Aggregation: dormant 認定だが PR #745 がアクティブ。Edmund が OIDF spec tooling のフィードバックを担当する旨整理
• RP Metadata Choices: GitHub PR #6（Implementation Considerations 追加）を中心に議論。Filip の修正案を採用しつつ WG 内検討を継続
• OpenID Federation Issues:
  • #202（Issuer Identifier 正規化）: 「google.com と google.com/ を同一 well-known エンドポイントへ解決すべきか」→ 同一性に合意、ただしパス含み URL での正規化複雑性が課題として残る
  • #194（Trust Mark ID）: 「従来 URL のように振る舞わない箇所がある」、Mike が issue スレッドで trust mark の解釈を明確化することに
  • #192（test 更新）: Marcus が早期版テストを更新
  • #193（Entity Declaration の挙動）: 「メタデータが継承されている場合でも entity を宣言すべき」と整理、Mike が SUNET interop で Swedish 実装者に追加コンテキストを聞き取る
• Native SSO: George が Mark H. と Bitbucket → GitHub への migration を相談する方向

4. メーリングリストの主要スレッド

openid-specs-ab ML（2025 年 4 月アーカイブ、総投稿数 48 件）から、技術議論性の高い 4 本を選定する。

4.1 security implications of client_id or endpoint as 'aud' in OpenID - 4 月 17 日開始（8 件、月内最大規模）

• 発端: Dick Hardt が OpenID Provider Commands における 「コマンドトークンと ID トークンの混同を防ぐ」 ためのトークン形状変更を提案（010757）
  • 現状: command_token は ID Token と同じ aud 値（=client_id）を使う
  • 提案: aud を command_endpoint URL に変更し、client_id は別 claim として持たせる
• George Fletcher（4/22） (010759): 提案を支持。「ただし command_endpoint_url は RP のものであって IDP のものではない」点を確認したい
• Nat Sakimura（4/22） (010761): 強い支持。「That goes with BCM principles, per of ISO/IEC 9798」（Basin / Cremers / Meier の Provably Repairing the ISO/IEC 9798 Standard for Entity Authentication を引用）。「設計理由を明示し、その理由が妥当である限り遵守すべき」
• Andrii Deinega（4/22） (010762): 提案を支持しつつ、「この変更は OP Commands を sub plain claim から subject identifiers (RFC 9493) に移行させる契機にすべき」 と発展提案。sub_id_formats_supported 配列でメタデータ negotiation を行う設計を提示
• Dick Hardt（4/22 / 4/29） (010763) / (010775): Andrii の RFC 9493 化提案には強く反対。「Ambiguous does not seem like a good goal. Why would we want that, Andrii?」。ID Token と subject identifier syntax を揃えること、optionality は RP に価値を与えないこと、OP Commands が「general purpose command mechanism」になるのは scope creep であることを主張
• Andrii Deinega（4/30） (010778): 議論を GitHub Issue #17 に移管
• Dick Hardt（4/30） (010779) - 重要な追加: Stuttgart 大学の Ralf Küsters 教授らによる形式分析チームからのレビューを fwd。指摘内容:
  1. 「OP Commands draft は RP がコマンドトークンをどう検証するかを詳述していない」。Abstract は ID Token の verification を参照するが、typ ヘッダ確認は OIDC では不要であり、コマンドトークンには ID Token と異なる検証ルールが必要
  2. 「OIDC 系仕様のいずれも、RP の Command Endpoint と client_id が異なる値であることを保証していない」。OpenID Federation のような URI ベース client_id では、Command Endpoint URL と同値となる可能性があり、4.1 スレッドで議論されている aud 変更を行ってもなお攻撃面が残る
  • チームのコメント: 「単純な攻撃パターンを見逃しやすいことを我々は経験から知っている」。詳細レビューには時間が必要
• 対立軸: (a) RP / OP どちらの URL を aud に置くか（合意済み: RP の command_endpoint）、(b) subject identifier 形式の柔軟性 vs ID Token との一貫性（未決、Issue #17 で継続）、(c) URI-based client_id との衝突（未決、Stuttgart チームの形式分析待ち）

4.2 Working Group Last Call for Proposed Implementer's Draft of RP Metadata Choices - 4 月 24 日開始（2 件）

• 発端: Michael Jones が 2 週間 WGLC を発出（締切 5 月 8 日）。「WG 外の OpenID Federation が当該仕様を normatively 参照しており、Federation の Final 承認に近づいているため、Implementer's Draft 取得による IPR 保護確定が必要」と動機を説明
• Giuseppe De Marco（4/24） (010769): 100% 支持。「3 年前にこれが存在していれば、Italian OIDC profile で確実に採用していた」とコメント
• 5 月への接続: 4 月内には反対意見ゼロ。WGLC は予定通り 5 月 8 日に「only support」状態で終了し、5 月 13 日付で 45 日間 Foundation-wide Public Review に移行する

4.3 OP Commands Notification ideas - 4 月 16 日（1 件、後続コール集中議論）

• 発端: Dick Hardt が OP Commands に async バリアント を追加する設計を ML で提案
  • activate_async、maintain_async、suspend_async、delete_async、reactivate_async、archive_async、restore_async を新設
  • async コマンド呼び出し時、OP は notification パラメータを追加で送り、RP は完了時にそれを使って OP に通知
  • notification パラメータの形式: (a) OP コンテキストを含む opaque URL、(b) 固定の notification_endpoint に返す opaque token
  • 「one time use にしてリーク時のリスクを抑える」「RP は通常 sync か async のいずれかのみ実装する（activate か activate_async）」
• メタデータ通知: 同様の仕組みを metadata commands にも適用し、新メタデータが利用可能になった際に RP から OP に通知できるようにする
• 後続スレッド notifications and async responses 4/29:
  • 「If the Command is processed asynchronous, then the RP provides a 202 response」
  • 「an RP SHOULD respond asynchronously if it can」 という SHOULD レベルの normative 言語を提案
  • スコープ制限: 「Drupal のように同期削除ができない RP は delete_tenant をサポートせず、個別アカウント削除のみ提供」
  • 未決事項: 「固定 OP endpoint + opaque access token」 vs 「opaque URL」 のどちらを採るか。この問いが 5 月の ID Pro Seattle Meetup / Tailscale Meetup での非公式ヒアリングに直結し、5 月 9 日の Hardt 投稿で「opaque token + 固定エンドポイントが overwhelmingly preferred」という結論で決着する

4.4 RP Metadata Choices Interoperability と Missing choices in RP Metadata Choices 1.0 draft - 4 月 16 日（3 件）

• Michael Fraser の問題提起（4/16、010750）: 「RP Metadata Choices を理解しない / サポートしない OP デプロイメントが混在するエコシステムでの相互運用性懸念」。Issue #2 / PR #3 で text を提案
• Filip Skokan の応答（4/16、010752）: 懸念は妥当だが、ドラフトには「choice parameter と関連する従来の単一値メタデータが両方存在し、かつ choice 側がサポートされない場合に AS がどう振る舞うべきか」のガイダンスが必要。具体的には:
  1. 「choice メタデータ配列の未認識 / 未サポートメンバーは ignore する」
  2. 「choice 配列のメンバーがいずれもサポートされない場合は error を返す」 という normative ガイダンスを推奨
• Filip による missing choices 一覧（4/16、010753）: 仕様で choice 化されていないが同様の扱いが必要なクライアントメタデータを RFC 9701（introspection 関連）、JARM、CIBA から列挙:
  • RFC 9701: introspection_signed_response_alg、introspection_encrypted_response_alg、introspection_encrypted_response_enc
  • JARM: authorization_signed_response_alg、authorization_encrypted_response_alg、authorization_encrypted_response_enc
  • CIBA: backchannel_authentication_request_signing_alg
• 議論の意義: WGLC 直前に発見された相互運用性ギャップ。Filip 提案の missing choices は WGLC 期間中（4/24〜5/8）に扱う実装上の論点として残された

その他の補助投稿として、Nat Sakimura の Claims Aggregation and SIOPv2（4/7、Claims Aggregation の停滞批判 / OpenID4VP に SIOPv2 への参照が 19 か所）、MCP and OAuth（4/8、Model Context Protocol の authorization が「super fast」に進行中という警告、modelcontextprotocol/modelcontextprotocol#284 紹介）、Ephemeral Identifier ドラフト（4/8 議論、4/10 に Mischa Sallé / Tom Jones が agency / 非同意データ交換の観点で議論）、Brian Campbell の Publishing FAPI 1.0 Advanced Errata（4/22）などが投稿された。

5. GitHub / Bitbucket 上の議論

AB/Connect WG の仕様ソースは Bitbucket（bitbucket.org/openid/connect/）と GitHub の複数リポジトリ（OpenID Federation、Native SSO、OPC、RP Metadata Choices 等）に分散している。Bitbucket 本体は SPA で WebFetch では HTML 取得不可なため、ML スレッドおよびコール議事録から再構成する。

5.1 openid/openid-provider-commands - PR #12 / PR #14 / Issue #11

• PR #12（Major PR）: 4 月 14 日コールでまとめてレビュー。用語整理（commands URI → endpoint）、audit command 追加、SSE エラー event、sub / tenant のレスポンス追加、HTTP 1.1 非依存化、未認識ストリームのエラーメッセージなどを集約。「expected to be non-controversial normative changes」と Mike Jones がアジェンダ説明
• PR #14（4 月 17 日告知、010755）: Issue #11 対応。RP が支持する roles を OP に表明 できるよう拡張。IPSIE IL3 の roles 要件を踏まえた措置だが、4 月 14 日コールで Aaron が「IPSIE が commands の adoption をまだ確定させていないため時期尚早」と注意喚起済み。レビュー期限は 4 月 24 日
• 「misc changes to -00」PR（4 月 11 日告知、010746）: Andrii Deinega の corrections を反映する小規模な PR。「次回のコールで他の issues を議論したい」と Hardt
• Issue #17（subject identifier object）: 4 月 30 日に Andrii Deinega が aud スレッドから議論を移管して起票。RFC 9493 化を継続検討する場として位置付け
• 「old issues from dickhardt/openid-provider-commands/issues」（4/15、010756）: 旧個人リポジトリ（dickhardt/openid-provider-commands）から OIDF 配下リポジトリへ未移行の issue を再確認する整理作業
• 「OP Commands - alternative approaches for tenancy and bulk transfer」（4/24、010771）: Hardt が「現状 OP テナントを claim with a tenant identifier or type of tenant としてモデル化しているが、より良いモデルがあり得る」とし、IPSIE で出てきた enterprise 関連項目を含む文書を WG に adoption 提案する方針を表明。bulk response については SSE による proof-of-concept を作成して共有予定。この投稿が 5 月 13 日の Enterprise Extensions 寄贈、5 月 22 日の CFA 開始へと直結する

5.2 Bitbucket - Native SSO Issues

bitbucket.org/openid/connect/ の Issues は Bitbucket Cloud SPA のため WebFetch で本文取得不可だが、ML スレッドから問題提起内容は完全に把握できる。

• Issue #2176（4/24、010766）: Native SSO §4.3 の 「offline_scope で発行された refresh_token の場合、sid 値は offline 'session' を表現すべき (SHOULD)」 という記述について、offline_scope が offline_access scope と同義かどうかの確認。さらに「ds_hash が id_token 内で無効化される」という記述の ds_hash が sid のタイポではないかの指摘
• Issue #2177（4/24、010767）: 仕様中 5 か所で /token endpoint と表記されているが、スラッシュに技術的意味がないなら除去すべきという editorial 提案。具体箇所は §2（Abstract Flow）、§3.2（Device Secret、2 箇所）、§3.3（Token Request）、§4.2（Token Exchange Request）
• Issue #2178（4/25、010772）: 「scope パラメータ提供時は openid を含まなければならない」 という制約が、AS が default scope を適用するケース（RFC 6749 6 節）を捕捉できていないという論点。さらに「token exchange 後の access token に openid scope を要求する技術的根拠は何か」という根本的問い
• これらの issues は draft 07 への詳細レビューであり、その後の Native SSO 仕様改訂の出発点となる

5.3 OpenID Federation - SUNET Interop 直前の論点整理

4 月 24 日コール議事録で整理された Federation の主要 issues:

• #202（Issuer Identifier 正規化）: google.com と google.com/ の同一性。well-known エンドポイントへの解決は同一とすべきで合意したが、パス含み URL の正規化は課題
• #194（Trust Mark ID）: 従来 URL のように振る舞わない箇所がある問題。Mike が issue で interpretation を明確化
• #193（Entity Declaration）: 「メタデータが継承されている場合でも entity は宣言すべき」と整理
• #192: Marcus が早期版テストを更新
• PR #194 / #193: SUNET interop で対面議論する候補としてマーク
• PR #197 / #198 / #200: editorial レビュー必要

これらは月末の SUNET interop（4/28〜30）に向けた論点出しであり、interop 直後（5 月）には open issues 数の段階的縮小（40 → 24 → 16）として実を結ぶ。

5.4 openid/oidc-claims-aggregation - PR #745

• 4 月 3 日時点で 5 日間放置されていたが、4 月 17 日コールで Mike Jones がレビュー対応を表明
• 内容: 「VP（Verifiable Presentation）特化の要素を取り除き、既存パラメータの再利用に戻す」 簡素化変更
• 4 月 25 日コールでは「dormant 候補としてマークされたが、PR #745 がアクティブな更新候補」として位置付け、Edmund Jay が OIDF spec tooling のフィードバック担当に

5.5 openid/federation-extended-subordinate-listing - draft -02 公開

• 4 月 27 日に draft -02 公開。changelog（typo / format 整備、entity_statement → 新名称への例文修正、revoked パラメータ参照削除、OIDF content validation 通過）
• SUNET interop で実装間相互運用テストの対象として用いられる予定

6. 関連イベント

OpenID Foundation Hybrid Workshop（4 月 7 日、Sunnyvale Google）

• 形式: ハイブリッド（対面 + Zoom）、12:30〜16:00 PST
• 議題:
  1. OIDF の 2025 年戦略アップデート
  2. WG アップデート
  3. 新興デジタル ID トレンドの議論
• 告知: Attend the OIDF Workshop prior to IIW Spring 2025 on 7th April 2025
• IIW の前日に開催される恒例の OIDF コミュニティイベント

Internet Identity Workshop XL（IIW #40、4 月 8〜10 日、Mountain View Computer History Museum）

• IIW 40 周年記念回。アンカンファレンス形式
• 4 月 14 日コール議事録で言及された具体的成果:
  • Cloudflare: OpenID と SSH の連携を実演
  • OpenPubKey: ID Token の nonce および cnf claim を使用した DPoP サポート実装の紹介
• AB/Connect WG メンバーは出張ローテーションのため 4 月 10 日 Atlantic コールがキャンセル

OpenID Federation Interop Event（4 月 28〜30 日、Stockholm SUNET）

• 告知: OpenID Federation Interop Event, April 28-30, 2025
• 会場: SUNET（Tulegatan 11, Third Floor, 113 53 Stockholm）
• テスト範囲: automatic / explicit registration profiles、メタデータ resolution、trust marks、federation トポロジー、trust chains、resolvers
• 参加要件: 完全実装でなくても参加可。リモート参加もオプション
• 目標: Federation 仕様の Final 化前提となる相互運用検証、開発中の認定テストフレームワーク評価
• 4 月 28 日 Pacific コールはこの出張＋日本のゴールデンウィーク（昭和の日 4 月 29 日）でキャンセル
• 事後成果（4 月 30 日終了時点での速報）: 30 名・15 か国・14 実装が参加、open issues は 40 から減少傾向、test federations を up したまま継続検証可能とする方針が確認された

EAP ACR Values Public Review 開始（4 月 9 日）

• Public Review Period for Proposed Final EAP ACR Values Specification
• 60 日 Public Review（4/9〜6/8）→ Notice of Vote → 7 日投票期間（実際には 6/9〜16）

7. 今後の予定（2025 年 4 月末時点の視点）

4 月末時点で公開情報および議事録から確認できる 5 月以降の予定:

• OpenID Connect Relying Party Metadata Choices: 5 月 8 日 WGLC 終了、その後 Foundation-wide Public Review（45 日）→ 投票へ
• EAP ACR Values: 6 月 8 日まで Public Review、その後 Notice of Vote と 7 日間投票
• OpenID Provider Commands:
  • aud 変更（client_id → command_endpoint URL）の Issue 化と PR 化
  • notifications / async responses の 「opaque URL vs opaque token + 固定エンドポイント」 の決着
  • subject identifier 形式の議論（Issue #17）継続
  • tenant claim と enterprise 関連項目を切り出した新規仕様の WG adoption 提案準備（Hardt が 4/29 に明言）
  • Stuttgart 大学チーム（Ralf Küsters ら）の形式分析結果を待ち、コマンドトークン検証ルールおよび Command Endpoint と client_id の衝突対応を整備
• OpenID Connect Claims Aggregation: PR #745（VP 特化要素除去）のマージとそれに続く draft 公開
• OpenID Federation:
  • SUNET interop で発見された specification gaps / ambiguities の継続的取り込み
  • test federations を up したまま維持し、参加できなかった実装者にも相互運用検証の機会を提供
  • PR #194（Trust Mark ID）、#193（Entity Declaration）の対面議論結果反映
• OpenID Federation Wallet Architectures: editorial pass のレビュー継続
• Native SSO: 川崎貴彦 起票の Issue #2176 / #2177 / #2178 への回答、Bitbucket → GitHub 移行検討（George Fletcher が Mark H. と相談）
• Ephemeral Subject Identifier: Nat Sakimura が 4 月に再投入したドラフトについて、後続コールで議論継続
• MCP and OAuth: Model Context Protocol の authorization 動向への OpenID コミュニティ参画

8. 参考情報源

• AB/Connect Working Group - OpenID Foundation - WG 概要
• openid-specs-ab ML 2025 年 4 月アーカイブ（thread） - 全スレッドインデックス（48 投稿）
• openid-specs-ab ML 2025 年 4 月アーカイブ（date） - 日付順インデックス
• Proposed agenda for 3-Apr-25 Connect WG call - 4 月 3 日 Atlantic アジェンダ（Mike Jones）
• Meeting Minutes for April 3rd - 4 月 3 日 Atlantic コール議事録（Joe DeCock）
• Samuel Rinnetmäki 補足（4/3 議事録スレッド） - Aaron 案支持表明
• Brian Campbell 補足（4/3 議事録スレッド） - Zoom 自動切断の説明
• Michael Jones 補足（4/3 議事録スレッド） - Zoom 設定の見直し依頼
• Nat Sakimura 補足（4/3 議事録スレッド） - Zoom 設定への言及
• Claims Aggregation and SIOPv2 - Nat Sakimura、4 月 7 日
• Spec Call Notes 9-May-19 / Ephemeral Subject Identifier draft - Nat Sakimura、4 月 7 日（ドラフト再提示）
• MCP and OAuth - Nat Sakimura、4 月 8 日
• Ephemeral Identifier 議論 - Nat Sakimura、4 月 8 日
• Mischa Sallé 返信（Ephemeral Identifier） - 4 月 10 日
• Tom Jones 返信（Ephemeral Identifier） - 4 月 10 日、agency / 同意視点での反対
• Canceled event with note (4 月 10 日) - IIW のためコールキャンセル
• misc changes to -00 - Dick Hardt、4 月 11 日（OP Commands PR）
• Proposed agenda for 14-Apr-25 Connect WG call - 4 月 14 日 Pacific アジェンダ
• OpenID Connect WG Call Meeting Notes (2025-04-14) - 4 月 14 日 Pacific 議事録（David Waite）
• OP Commands Notification ideas - Dick Hardt、4 月 16 日
• RP Metadata Choices Interoperability - Michael Fraser、4 月 16 日
• Nat Sakimura（4/14 議事録訂正） - Claims Aggregation PR #745 のアクティブ性指摘
• Filip Skokan 返信（RP Metadata Choices Interoperability） - 4 月 16 日
• Missing choices in RP Metadata Choices 1.0 draft - Filip Skokan、4 月 16 日
• Proposed agenda for 14-Apr-25 Connect WG call (修正) - Mike Jones フォロー
• OP Commands - PR #14 for Issue #11 Roles - Dick Hardt、4 月 17 日
• old issues from dickhardt/openid-provider-commands/issues - Dick Hardt、4 月 15 日
• security implications of client_id or endpoint as 'aud' in OpenID - Dick Hardt 起点、4 月 17 日（月内最大スレッド）
• Minutes for April 17th - 4 月 17 日 Atlantic 議事録（Joe DeCock）
• George Fletcher 返信（aud スレッド） - 4 月 22 日
• Dick Hardt 返信（aud スレッド） - 4 月 22 日
• Nat Sakimura 返信（aud スレッド） - 4 月 22 日、ISO/IEC 9798 引用
• Andrii Deinega 返信（aud スレッド） - 4 月 22 日、RFC 9493 化提案
• Dick Hardt 返信（Andrii への反論） - 4 月 22 日
• Publishing FAPI 1.0 advanced errata - Brian Campbell、4 月 22 日
• Proposed agenda for 24-Apr-25 Connect WG call - Mike Jones、4 月 23 日
• Issue #2176: [Native SSO] offline_scope? ds_hash? - 川崎貴彦、4 月 24 日
• Issue #2177: [Native SSO] /token endpoint - 川崎貴彦、4 月 24 日
• Working Group Last Call for Proposed Implementer's Draft of RP Metadata Choices - Mike Jones、4 月 24 日（WGLC 開始）
• Giuseppe De Marco 返信（WGLC） - 4 月 24 日、100% 支持
• WG Meeting notes 25th April 2025 - 4 月 24 日 Atlantic コール議事録（Andy Barlow、ML 投稿は 4 月 28 日）
• OP Commands - alternative approaches for tenancy and bulk transfer - Dick Hardt、4 月 24 日（Enterprise Extensions の伏線）
• Issue #2178: [Native SSO] the openid scope on token exchange - 川崎貴彦、4 月 25 日
• OpenID Federation Extended Subordinate Listing -02 published - Mike Jones、4 月 27 日
• Canceled event with note: AB/Connect WG (Pacific) - 4 月 28 日 Pacific キャンセル（SUNET 出張＋祝日）
• sub vs subject identifier object (Dick Hardt) - 4 月 29 日
• Dick Hardt 返信（aud スレッド） - 4 月 29 日
• notifications and async responses - Dick Hardt、4 月 29 日
• sub vs subject identifier object (Andrii Deinega) - 4 月 30 日、Issue #17 移管
• Fwd: security implications of client_id or endpoint as 'aud' - Dick Hardt fwd、4 月 30 日（Stuttgart 大 Ralf Küsters チームの形式分析）
• Public Review Period for Proposed Final EAP ACR Values Specification - OIDF 公式告知（4 月 9 日）
• Attend the OIDF Workshop prior to IIW Spring 2025 on 7th April 2025 - OIDF Workshop 4 月 7 日告知
• OpenID Federation Interop Event, April 28-30, 2025 - SUNET interop 公式告知
• openid-connect-rp-metadata-choices-1_0-02.html - RP Metadata Choices 1.0 draft -02
• openid/openid-provider-commands GitHub リポジトリ