idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年6月)

執筆日: 2026-04-29(遡及執筆)

1. 概要

AB/Connect WG(Artifact Binding / Connect Working Group、通称「Connect WG」)は、OpenID Connect Core を中心とする OIDC 系仕様、OpenID Federation、Native SSO、RP Metadata Choices ほか各種拡張仕様を策定する OpenID Foundation の中核 WG である。共同議長は Michael B. Jones(Self-Issued Consulting)、Nat Sakimura(NAT Consulting)、Frederik Krogsdal Jacobsen(Criipto)の 3 名で、コール議事録は ML 上で投稿される運用(議事録自体は non-public)。

2025 年 6 月の AB/Connect WG は、「複数の新規仕様が adoption フェーズを通過し、夏の Implementer's Draft / Final 投票を準備する助走月」 であった。月初の 6 月 5 日 Atlantic コールでは OpenID Connect Enterprise Extensions の Call for Adoption が成功 したことが確認され、同コール直後に Michael Jones が OpenID Connect Ephemeral Subject Identifier(Nat Sakimura 寄贈)の 2 週間 Call for Adoption を開始した。Ephemeral Subject Identifier には Ralph Bragg、Dick Hardt、Michael Jones、Michael Fraser、Alex Chalmers、Lukasz Jaromin、Andy Barlow、George Fletcher、Andrii Deinega、Dima Postnikov の 10 名が支持表明し、6 月 19 日コールで全会一致による adoption 成立、6 月 24 日に Edmund Jay が openid-connect-ephemeral-subject-identifier-1_0 draft -00 を公開、github.com/openid/connect-ephemeral-sub リポジトリが新設された。

並行して EAP ACR Values 仕様の Final Specification 投票 が 6 月 2 日に Michael Jones から告知され、6 月 17 日に賛成 87、反対 1、棄権 22 で Final 承認。これは「phishing-resistant authentication(phr)および hardware-protected key(phrh)」の 2 つの ACR 値を定義する短い仕様で、FIDO・W3C scoped credentials を念頭に置く。続いて OpenID Connect Relying Party Metadata Choices の Implementer's Draft 投票通知 が 6 月 14 日に発出され、6 月 21 日(早期)/ 6 月 28 日〜7 月 5 日(正規期間)でメンバー投票が走るスケジュールが確定した(実際の承認は 7 月 7 日、賛成 74、反対 0、棄権 12)。OpenID Federation も 6 月 3 日に draft 43 が公開され、SUNET interop イベントの結論を反映、open issues が 40 から 17 へ削減された。

技術議論面では、Nick Watson(Google)が 6 月 18 日に 「無限長 token lifetime / session lifetime をどう表現すべきか」 という根本的な設計問題を提起したスレッドが活発化。Michael Jones は 「omit the claim」(claim を省略する)を推す一方、Andrii Deinega は OP メタデータでサポート広告を、David Waite は 「session_lifetime は単なる説明ではなく『RP がそれ以上アクセスを許してはならない』という条件 claim である」 と意味論を整理した。月末の 6 月 26 日には Filip Skokan(panva)が Issue #2180(Discovery 1.0 の追加メタデータ取り扱い明確化) を起票し、PR #750 へつながる。George Fletcher は 6 月 11 日に Native SSO for Mobile Apps の id_token 依存解消 に関する仕様改訂提案を投稿し、6 月 23 日コールでは「現状ドラフトを Implementer's Draft に進めるか、改訂してから進めるか」という選択肢を WG に提示した。これは翌 7 月 3 日の WGLC 開始(現状ドラフトでの Implementer's Draft 前進路線)への直接の伏線となる。

2. 公開された仕様・ドラフト改訂

EAP ACR Values - Final Specification 承認(2025 年 6 月 17 日)

  • 承認日: 2025 年 6 月 17 日
  • 投票結果: 賛成 87、反対 1、棄権 22(合計 110 票)
  • 告知: EAP ACR Values Final Specification Approved(6 月 17 日)
  • 投票開始通知: Michael Jones による Vote to Approve Final EAP ACR Values Specification(6 月 2 日、ML 投稿、ballot URL: https://openid.net/foundation/members/polls/358
  • 位置付け: OpenID Connect Relying Party が認証コンテキストクラスを要求する際に使う 2 つの値を標準化:
    • phr(Phishing-Resistant): RP の制御下にある主体が End User として認証するに足る情報を入手できない認証
    • phrh(Phishing-Resistant Hardware-protected): 認証情報がハードウェア保護されたデバイス/コンポーネントに保持されることを追加要件とする
  • 想定実装: W3C scoped credentials、FIDO オーセンティケータ
  • 6 月 19 日コールでの確認: Frederik Krogsdal Jacobsen の議事録に「This specification reached final status. It introduces two new acr_values for phishing-resistant authentication」と記載(議事録 2025-06-19)

OpenID Connect Relying Party Metadata Choices - Implementer's Draft 投票通知(2025 年 6 月 14 日)

  • 通知日: 2025 年 6 月 14 日
  • 告知: Notice of Vote for Proposed Implementer's Draft of OpenID Connect Relying Party Metadata Choices
  • 投票期間: 早期投票 6 月 21 日(土)〜、正規期間 6 月 28 日(土)〜 7 月 5 日(土)。ballot URL: https://openid.net/foundation/members/polls/367
  • 位置付け: OpenID Connect Dynamic Client Registration 1.0 を拡張し、RP メタデータパラメータについて単一値ではなく 複数の許容値の集合を表現可能 にする。OpenID Federation 1.0 の Automatic Registration では OP からの登録レスポンスがないため、RP が自身の選好を事前に表現できる手段が必要であり、その不足を埋める仕様
  • 6 月期間中のステータス: 「In 45-day review for Implementer's Draft status」として WG コール冒頭の active spec 一覧に固定掲載(6 月 5 日・9 日・12 日・19 日アジェンダ)。6 月 23 日 Pacific コールでは 「member vote phase」 として議事録(Nat Sakimura 記録)に記載
  • 承認: 7 月 7 日(賛成 74、反対 0、棄権 12)。これは 6 月時点の予定どおり

OpenID Federation - draft 43 公開(2025 年 6 月 3 日)

  • 公開日: 2025 年 6 月 3 日
  • 告知: Michael Jones の OpenID Federation draft 43 Incorporating Feedback from Interop Event
  • 仕様 URL: openid-federation-1_0-43.html
  • 背景: SUNET(スウェーデン国立大学ネットワーク)主催の OpenID Federation interop イベント で議論された draft 42 のフィードバックを反映
  • Open issues: interop 前 40 件 → draft 43 で 17 件。残 17 件のうち 9 件が拡張仕様・post-final 作業・テキストレビューに関連
  • Mike Jones コメント(ML 投稿より): 「a number of features in draft 42 were discussed during the recent OpenID Federation interop event and the changes made in draft 43 are largely a result of conclusions reached there」
  • Federation Issue #100: 6 月 19 日コール議事録によると、「RP と OP で異なる trust anchor を選んだ場合に federation integrity が損なわれる」 セキュリティ懸念に対し、trust path verification の提案を継続審議

OpenID Connect Claims Aggregation 1.0 - Draft 03 公開(2025 年 6 月 5 日)

  • 告知: Edmund Jay の OpenID Connect Claims Aggregation 1.0 Draft 03
  • 仕様 URL: openid-connect-claims-aggregation-1_0-03.html
  • draft 03 の主要変更: Edmund Jay 発言「Draft 03 is a much more simplified way to do claims aggregation reusing the Userinfo endpoint at a claims provider」
    • draft 02 で導入されていた Verifiable Credentials / Decentralized Identifiers (DIDs) サポートおよび関連用語を削除
    • 専用の claims aggregation エンドポイントを廃止し、既存の userinfo エンドポイントを再利用
  • 意義: 新規エンドポイントを導入せず既存インフラに乗せることで実装負担を低減

OpenID Connect Ephemeral Subject Identifier 1.0 - Draft 00 公開(2025 年 6 月 24 日)

OpenID Connect Enterprise Extensions - Draft 公開(adoption 成立後)

  • adoption 成立: 6 月 5 日コール議事録に「The adoption call succeeded. Dick Hardt will prepare a working group draft for publication」(議事録 2025-06-05、Michael Jones 記録)
  • draft 公開: 6 月 19 日コール議事録に「Now published, featuring a tenant claim relevant for IPSIE and OP commands」と確認(議事録 2025-06-19)
  • tenant claim: マルチテナント環境でのテナント識別子。IPSIE WG および OpenID Provider Commands(OPC)との統合が次の課題 と整理された
  • 6 月 23 日 Dick Hardt コメント (010855): 「OPC 仕様に Enterprise Extensions の tenant claim を参照する PR を出す予定」「Aaron が IPSIE 側でも Enterprise Extensions への cross-reference PR を準備中」

OpenID Connect Native SSO for Mobile Apps - 改訂提案(George Fletcher)

  • 提案投稿: 6 月 11 日、George Fletcher(Practical Identity)の Updating the Native SSO for Mobile Apps specification
  • 問題提起: 現行仕様は device_secret を device instance token として、複数ユーザセッションをまたいで状態管理に使用 しているが、id_token への依存に技術的問題がある
    • 同一開発者の新規アプリインストール時にログイン済みユーザ一覧を維持する手段として id_token を使う構造
    • §4 の token exchange では subject_token として id_token を使うことが要求される
  • Fletcher の提案:
    1. id_token 依存を解消する代替ユーザ追跡メカニズム
    2. ユーザ指定方法を別途定める token exchange の再設計
    3. DPoP 統合や client instance registration 機構 の追加検討
    4. 仕様ベースを Bitbucket から GitHub に移行、最新ドラフトを Implementer's Draft へ前進
  • 6 月 23 日コールでの整理: Fletcher は欠席のため 事前メールで「(a) 改訂版を進める / (b) 現状ドラフトを Implementer's Draft に進めてから後続改訂」の二択を WG に提示。Implementer's Draft 段階前進への 2 週間 Working Last Call は 6 月 12 日コール時点で「prior to advancement に承認」と記録(議事録 2025-06-12、Chris Phillips)。実際の WGLC は 7 月 3 日に Michael Jones が ML へ発出

3. ミーティングと議論

AB/Connect WG は週次(Atlantic 木曜)と隔週(Pacific 月曜)で定例コールを開催している。6 月の開催状況は以下のとおり:

日付 (2025 年)曜日状態議事録
6 月 5 日開催(Atlantic)Spec Call Notes 5-Jun-25(Michael Jones)
6 月 9 日開催(Pacific)A/B Connect WG - Pacific Call - Week Commencing 9th June 2025(Michael Fraser)
6 月 12 日開催(Atlantic)Mtg Notes: Re: Proposed agenda for 12-Jun-25 Connect WG call(Chris Phillips)
6 月 19 日開催(Atlantic)Meeting notes from 19-Jun-25 Connect WG call(Frederik Krogsdal Jacobsen)
6 月 23 日開催(Pacific)AB/Connect WG (Pacific) Notes - 2025-06-23(Nat Sakimura)
6 月 26 日アジェンダ通知ありProposed agenda for 26-Jun-25 Connect WG call。議事録 ML 投稿は 6 月内に確認できず

6 月 5 日コール(Atlantic、Michael Jones 記録)

  • 参加者: Mike Jones、Tal Skverer、Frederik Krogsdal Jacobsen、Chris Phillips(計 4 名)
  • EAP ACR Values: foundation members portal でのコミュニティ投票実施を周知
  • OpenID Connect Enterprise Extensions: Call for Adoption 成立。Dick Hardt が WG draft 発行を準備
  • OpenID Connect Ephemeral Subject Identifier: Call for Adoption 開始。Chris Phillips が「SAML Transient NameID と類似のコンセプト」と整理。一方 Frederik は「具体的なユースケースが見えにくい」と指摘し、ML へのフィードバック募集を要請
  • OpenID Connect with Deferred Token Response: 議論継続が必要。Frederik がユースケース文書の整備にコミット
  • OpenID Federation: 1.0-43 公開済み
  • HPKE WGLC: draft-ietf-jose-hpke-encrypt-08 および draft-ietf-cose-hpke-13 の WGLC が 6 月 20 日締切と告知(OIDC が将来 HPKE を採用する可能性を見据えた周知)

6 月 9 日コール(Pacific、Michael Fraser 記録)

  • 参加者: 9 名(Aaron Parecki ほか)
  • Identiverse 振り返り: 「AI / Workload identity along with Continuous Identity」が会場の中心話題と Aaron Parecki が報告。AI エージェントの identity 管理に関する議論への注目が高まっている
  • OAuth 2.1 への対応: 「OpenID Connect は OAuth 2.1 リリースを受けて改訂が必要か」という論点に対し、Mike Jones は「OAuth 2.1 設計時点で OpenID Connect を破壊しないよう配慮された」 と説明。WG として response_type=token 言及の OIDC からの削除 を検討
  • Ephemeral Subject Identifier: rationale 拡張が予告される
  • Subject identifier type の RP 側選択: 「RP / クライアントが authentication request で希望する subject identifier type(public / pairwise / ephemeral)を指定できるようにすべきか」という論点が浮上。「adoption 後に議論する価値あり」 と整理(後の Andrii Deinega の ML 投稿で具体化)

6 月 12 日コール(Atlantic、Chris Phillips 記録、10:05〜11:55 UTC)

  • 参加者: Andy Barlow、Mike Jones、George Fletcher、Frederik Jacobsen、Brian Campbell、Chris Phillips、Aaron Parecki、Lukasz Jaromin、Andrii Deinega(計 9 名)
  • Identiverse 振り返り(拡張): AI / non-human identity と「AI エージェントへの identity 委任」「SPIFFE / WIMSE token の使い方」がホットトピックと整理
  • Enterprise vs Cross-Domain Trust の論点: Chris Phillips が 「企業内ユースケースは既存標準で間に合うが、trust domain 跨ぎでは意見が大きく分かれる」「具体ユースケースの取りまとめが必要」と問題提起
  • IETF Madrid 提出締切: 7 月 7 日。早めの提出を奨励
  • Native SSO for Mobile Apps: 「draft 7 を Implementer's Draft に進める方向で合意。追加トークン付与の是非、id_token 利用からの脱却の是非を議論。前進前に 2 週間の WGLC 実施を承認」(実際の WGLC は 7 月 3 日に開始)
  • Federation with Model Context Protocol: Chris Phillips が OIDC Federation と MCP(Model Context Protocol)を統合する作業 をデモ動画で紹介、コミュニティフィードバックを募集

6 月 19 日コール(Atlantic、Frederik Krogsdal Jacobsen 記録)

  • 参加者: Mike Jones、Avalur Venkata Monika、Frederik Krogsdal Jacobsen、Chris Phillips、Brian Campbell、Joseph Heenan(計 6 名)
  • EAP ACR Values: 「reached final status」Final 承認確定 を確認。phr / phrh の 2 つの ACR 値で、proof-of-possession を示す fresh authentication method を定義
  • Ephemeral Subject Identifier: adoption call が unanimously positive で同日締切。Nat が adoption 後に「ISO 仕様(27551)への参照を含む motivation 強化」を行うことに合意
  • Enterprise Extensions: 公開、tenant claim を含み、IPSIE / OP commands と統合検討中
  • RP Metadata Choices: 「8 日間の implementer's draft レビュー残期間 の後に投票へ」と確認
  • Connect Claims Aggregation: 再公開後の next steps が「uncertain」状態と整理
  • Deferred Token Response: ユースケース議論を offline 継続。関心者は Frederik まで
  • OpenID Federation Issue #100: 「RP と OP で異なる trust anchor を選んだ場合に federation integrity が損なわれる」 セキュリティ懸念。trust path verification 提案を継続
  • IETF 123(Madrid、7 月 19〜25 日): 7 月 7 日提出締切

6 月 23 日コール(Pacific、Nat Sakimura 記録、23:00 UTC〜)

  • 参加者: Michael Jones(共同議長)、Nat Sakimura(共同議長・記録)、Nick Watson(Google)、Agus Lie(PlayStation/Sony)、Edmund Jay、Tom Jones、Andrii Deinega(計 7 名)
  • Infinite Duration Representation の議論:
    • Nick Watson が前週の ML 投稿(6 月 18 日)を踏まえて当該論点を提起
    • Mike Jones は「expiration claim を完全に省略し、仕様文面で『omitted claim means no lifetime bound』と明示すべき」 との立場を維持
  • Active Specifications ステータス:
    1. Relying Party Metadata Choices - member vote phase
    2. Claims Aggregation - 公開、コミュニティレビュー募集
    3. Ephemeral Subject Identifier - 採用済み、リポジトリ確立
    4. Enterprise Extensions - 公開、統合作業計画中
    5. Native SSO for Mobile Apps - 実装者フィードバック待ち
    6. OpenID Provider Commands - PR レビュー待ち
    7. OpenID Federation - 新規 issue なし、PR 提出予定
    8. Federation Extended Subordinate Listing & Wallet Architectures
  • Ephemeral Identifier ユースケース: ISO/IEC 27551:2021 を念頭に 年齢検証(merchant への追跡なし)、トランザクション固有の一時 identity が議論
  • Critical Deadlines: 7 月 7 日(新規仕様提出締切)、7 月 19〜25 日(IETF 123 Madrid)

4. メーリングリストの主要スレッド

openid-specs-ab ML(2025 年 6 月アーカイブ、総投稿数 41 件、19 スレッド)から技術議論性の高い 4 本を選定する。6 月は adoption フェーズの「全員返信形式」スレッドが目立つが、Nick Watson の infinite duration 提起と George Fletcher の Native SSO 改訂提案が技術的に深い議論を呼んだ。

4.1 Call for Adoption of the OpenID Connect Ephemeral Subject Identifier Specification - 6 月 5 日開始(14 件、月内最大スレッド)

  • 発端: Michael Jones が WG 共同議長として、Nat Sakimura 寄贈の Ephemeral Subject Identifier 仕様の 2 週間 Call for Adoption を開始(締切 6 月 19 日)
  • Nat Sakimura の rationale 投稿 (010827)(6 月 9 日):
    • 既存利用: Ralph 指摘どおり一部エコシステムで既に使われており、標準化で実装ばらつきを縮小
    • ISO/IEC 27551 準拠: OIDC/SIOP が Unlinkability Level (UL) 3A+ に到達するために必要。UL N の要件は (a) correctness、(b) unforgeability、(c) RP 要求の attribute assurance、(d) UL N の unlinkability 性質
    • 同 ISO 仕様の Appendix C.2 に「OIDC 実装が UL 3A+ に属することの数学的証明」が含まれており、その実装には ephemeral identifier が必須
    • ユースケース: 年齢検証、住所検証 など attribute-based unlinkable authentication
  • 支持表明:
    • Ralph Bragg(Raidiam CTO) (010823) 6/5: 「I support this. It's used anyway in some ecosystems but having a specific type would make it clear」
    • Dick Hardt (010829) 6/9
    • Michael Jones (010830) 6/10
    • Michael Fraser (010832) 6/10
    • Alex Chalmers (010833) 6/10
    • Lukasz Jaromin (010834) 6/10
    • Andy Barlow (010835) 6/10
    • George Fletcher(Practical Identity) (010837) 6/10
    • Andrii Deinega (010836) 6/10: 支持に加え、「クライアントが authentication request で希望 subject identifier type を指定可能に」「ID Token / UserInfo 応答でどの subject identifier type(public / pairwise / ephemeral)が返されたかを示す」 という具体的拡張を提案
    • Dima Postnikov (010838) 6/10
  • 対立軸: なし。全 10 名が支持表明、反対意見ゼロ
  • 決着: Michael Jones が 6 月 19 日に adoption call succeeded を宣言、Nat Sakimura が WG draft 公開にコミット、Michael Jones が github.com/openid/connect-ephemeral-sub 設置を併せて準備、6 月 24 日に Edmund Jay が draft -00 を公開

4.2 Representation of infinite duration/timestamp - 6 月 18 日開始(6 件)

  • 発端: Nick Watson(Google ソフトウェアエンジニア)が、IPSIE OIDC SL1 プロファイルの session_lifetime claim および将来の refresh token expiration 仕様 で、「無限長の duration / timestamp」 をどう表現すべきかを提起
  • Nick の 4 案:
    1. フィールドを完全省略(「未対応」と「無期限」の区別がつかない曖昧性)
    2. ISO 8601 に "infinite" キーワードを追加(明示的だがパーサ改修必須)
    3. 数値 -1 を sentinel として使用(数値型を保つが美しくない)
    4. 任意の大きな値(cookie 流儀。クライアントがヒューリスティックに無限と解釈するリスク)
  • 主要参加者と立場:
    • Michael Jones (010843) 6/19: 「Omit the claim.」(claim を省略する)と一行で明確な立場
    • Aaron Parecki (010844) 6/19: Mike に対し「Nick が指摘したその選択肢の欠点をどう緩和するか recommendation はあるか」と切り返し
    • Andrii Deinega (010845) 6/19: 「OP がメタデータで IPSIE OIDC SL1 対応を広告すれば、claim 省略時の曖昧性は解消できる」と提案。あわせて session_lifetime という名前自体が誤解を招く(「OP が想定する RP セッション lifetime」を表すため)と意味論的問題を指摘。OAuth WG 側 oauth-v2-1 issue #187(refresh_token_expires_in)にも誘導
    • David Waite (010846) 6/19: 「無限 duration の本質的な必要性に疑義」。session timeout の意味が partial reauthentication(週次)か token refresh(分単位)かが未整理。「infinite duration と session_lifetime 非サポートは behaviorally 等価」と整理。postscript で「AS は単に新規 token 発行を拒否すればよく refresh token 期限の advance notification は不要」と refresh token expiration 仕様自体への疑問も提示
    • David Waite 続報 (010847) 6/19: 「session_lifetime は RP must not allow continued access for longer than 230 minutes based on this id_token という条件 claim であり、単なる説明 metadata ではない」 と意味論を整理。「JWT は subject 情報、メタデータ、セキュリティ条件を区別しない」というフォーマット上の限界も指摘
  • 対立軸:
    • シンプルさ重視(claim 省略)vs 曖昧性回避(メタデータ広告 / sentinel 値)
    • claim の意味論: 単なる事実記述か、RP behavior を制約する条件か
  • 未決: 月内に確定的合意に至らず、6 月 23 日 Pacific コールで再度議論。Mike Jones は「omit + 仕様文面で『omitted = no lifetime bound』を明示」を推した(議事録 2025-06-23)

4.3 Updating the Native SSO for Mobile Apps specification - 6 月 11 日(1 件、後続コール議論)

  • 発端: George Fletcher(Practical Identity)が Native SSO for Mobile Apps の id_token 依存問題 を提起し、改訂提案を投稿
  • 問題:
    • 現行仕様は device_secret を device instance token とし、複数ユーザセッション間で状態を保持
    • 同一開発者の新規アプリインストール時、ログイン済みユーザ一覧の維持に id_token を使用 しており、§4 token exchange でも subject_token として id_token を要求する設計
  • Fletcher の提案:
    1. ログイン済みユーザ追跡の代替メカニズム
    2. Token exchange の再設計(クライアントがユーザを別方法で指定可能に)
    3. DPoP 統合および client instance registration 機構 の検討
    4. ベースリポジトリの Bitbucket → GitHub 移行、最新ドラフトを Implementer's Draft へ前進
  • 6 月 12 日コールでの整理: 「現状ドラフトを Implementer's Draft に進める前に 2 週間 WGLC を行う」方針が承認(議事録 2025-06-12)
  • 6 月 23 日コールへの事前メール (010854): Fletcher は欠席する旨を伝えつつ「(a) 改訂を進めて Implementer's Draft / (b) 現状ドラフトを Implementer's Draft に進めてから後続改訂」の二択を WG に提示し、コミュニティ意見を募集
  • 6 月時点の決着: 議論継続。実際の WGLC は 7 月 3 日に Michael Jones が ML へ発出(現状ドラフトを進める路線)

4.4 Issue #2180: [Discovery 1.0] clarification on additional metadata - 6 月 26 日(0 件返信、PR #750 として実装)

  • 発端: Filip Skokan(panva)が Bitbucket Issue #2180 起票を ML に告知
  • 問題提起: OpenID Connect Discovery 1.0 の /.well-known/openid-configuration レスポンスにおいて 追加メタデータの扱いが曖昧。どのメタデータフィールドが許容/推奨されるかについて、「established metadata registry(IANA Authorization Server Metadata Registry 等)」 を参照すべきと明示する文言追加を提案
  • 対応 PR: PR #750 が同時に提出され、Discovery 仕様の文言を「IANA AS Metadata Registry 参照」に揃える方向で改訂
  • 後続展開: 7 月以降のコールおよび 8 月 4 日コールで議論継続

その他の補助的 ML 投稿として、月初の事務通知 Spec Call Notes 5-Jun-25、各回コールアジェンダ、Proposed agenda for 23-Jun-25 Connect WG call への George Fletcher 返信Dick Hardt 返信 が記録される。

5. GitHub / Bitbucket 上の議論

AB/Connect WG の仕様ソースは Bitbucket(bitbucket.org/openid/connect/)と GitHub の複数リポジトリ(OpenID Federation、Native SSO、OPC、RP Metadata Choices、Enterprise Extensions、Ephemeral Subject Identifier 等)に分散している。Bitbucket 本体は SPA で WebFetch で HTML 取得不可なため、ML スレッドおよびコール議事録から再構成する。

5.1 openid/connect-ephemeral-sub(新設)

  • 6 月 19 日 adoption 成立を受け、新規 GitHub リポジトリ openid/connect-ephemeral-sub を新設
  • 6 月 24 日に Edmund Jay が draft -00 を openid.net/specs/openid-connect-ephemeral-subject-identifier-1_0.html に公開
  • 次版 -01 に rationale 強化(ISO/IEC 27551 参照、ユースケース)

5.2 OpenID Federation - draft 43

  • 6 月 3 日に Michael Jones が ML 告知
  • SUNET interop イベント結論を反映。open issues 40 → 17
  • Federation Issue #100(trust anchor 不一致時の federation integrity)が 6 月 19 日コールで議論

5.3 Bitbucket Issue #2180([Discovery 1.0] clarification on additional metadata)

  • 起票: 2025 年 6 月 26 日、Filip Skokan(panva)
  • 問題: Discovery レスポンスに含まれる追加メタデータの扱いが曖昧
  • 解決策: PR #750 で「established metadata registry」(IANA AS Metadata Registry)参照を明示
  • 後続: 7 月以降のコールでレビュー、8 月 4 日コールで議論

5.4 OpenID Provider Commands(OPC)- tenant claim 統合

  • 6 月 23 日 Dick Hardt の事前メール: 「Enterprise Extensions の tenant claim を OPC で参照する PR 準備中」「Aaron が IPSIE 側でも cross-reference PR 準備中」
  • 6 月 23 日コール議事録: 「OpenID Provider Commands - PR pending review」

5.5 OpenID Connect Native SSO for Mobile Apps(draft 7)

  • George Fletcher が 6 月 11 日に改訂提案を投稿
  • 6 月 12 日コールで「現状ドラフトを Implementer's Draft に進める前に 2 週間 WGLC を実施」方針承認
  • リポジトリ Bitbucket → GitHub 移行が Fletcher 提案に含まれる

6. 関連イベント

Identiverse 2025(6 月、Las Vegas)

  • 6 月 9 日 Pacific コールおよび 6 月 12 日 Atlantic コールで複数参加者が振り返り
  • 6 月 13 日に OIDF 公式ブログ OpenID Foundation takes the stage at Identiverse 2025 で OIDF の登壇内容を総括
  • 会場のホットトピック: 「AI / Workload identity と Continuous Identity」「AI エージェントへの identity 委任」「SPIFFE / WIMSE token の使い方」(Aaron Parecki、Chris Phillips の報告より)
  • Chris Phillips は 「企業内 vs trust domain 跨ぎ identity delegation」 の意見分岐を主要論点として WG に持ち帰った

EAP ACR Values - Final Specification 承認(6 月 17 日)

RP Metadata Choices - Implementer's Draft 投票通知(6 月 14 日)

OpenID for Verifiable Presentations - Final Spec 投票通知(6 月 10 日)

「Let's Discuss Identity Management in AI」(6 月 24 日)

  • openid.net 公式ブログ
  • WG 横断的な「AI と identity」議論の方向性を OIDF が打ち出した投稿。6 月の Connect WG コール(特に Identiverse 振り返り)の問題意識と連動

IETF 123 マドリッド準備

  • 7 月 19〜25 日開催の IETF 123 マドリッド向けに、ドラフト提出締切 7 月 7 日が周知
  • HPKE 関連 WGLC(draft-ietf-jose-hpke-encrypt-08draft-ietf-cose-hpke-13)の 6 月 20 日締切が 6 月 5 日コールで併せて告知

7. 今後の予定(2025 年 6 月末時点の視点)

6 月末時点で公開情報および議事録から確認できる 7 月以降の予定:

  • OpenID Connect Relying Party Metadata Choices: 6 月 28 日〜7 月 5 日のメンバー投票を経て Implementer's Draft 承認の見込み
  • OpenID Connect Native SSO for Mobile Apps: 7 月初頭に 2 週間 WGLC を開始し、Implementer's Draft 段階前進へ。George Fletcher の改訂提案(id_token 依存解消、DPoP 統合)は前進後に検討
  • OpenID Connect Ephemeral Subject Identifier: -01 版で adoption rationale(ISO/IEC 27551 参照、年齢検証等のユースケース)を追加
  • OpenID Connect Claims Aggregation: -03 版へのコミュニティレビュー継続募集
  • OpenID Connect Enterprise Extensions: tenant claim を OPC・IPSIE 仕様と統合する作業
  • OpenID Federation: 残 17 issue の解消、Issue #100 の trust path verification 提案検討、PR 提出継続
  • Discovery 1.0 Issue #2180 / PR #750: Filip Skokan 提起の追加メタデータ扱い明確化
  • Infinite duration representation: IPSIE OIDC SL1 プロファイルおよび refresh token expiration 仕様で「claim omission + メタデータ広告」方針を文面化する方向
  • IETF 123 マドリッド(7 月 19〜25 日): ドラフト提出締切 7 月 7 日。Web Bot Auth、AI / 非人間 identity 関連 BoF などへの WG メンバー参加

8. 参考情報源