idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年7月)

執筆日: 2026-04-28(遡及執筆)

1. 概要

AB/Connect WG(Artifact Binding / Connect Working Group、通称「Connect WG」)は、OpenID Connect Core を中心とする OIDC 系仕様、OpenID Federation、Native SSO、RP Metadata Choices ほか各種拡張仕様を策定する OpenID Foundation の中核 WG である。共同議長は Michael B. Jones(Self-Issued Consulting)、Nat Sakimura(NAT Consulting)、Frederik Krogsdal Jacobsen(Criipto)の 3 名で、コール議事録は ML 上で投稿される運用(議事録自体は non-public)。

2025 年 7 月の AB/Connect WG は、仕様承認とドラフト前進が連続した「成果月」 であった。月初の 7 月 7 日に OpenID Connect Relying Party Metadata Choices 1.0 が Implementer's Draft として OpenID Foundation メンバー投票で承認(賛成 74、反対 0、棄権 12)。同月 7 月 10 日には OpenID for Verifiable Presentations 1.0 が Final Specification として承認(賛成 79、反対 2、棄権 17、定足数 24.6%)され、Connect WG 内で incubation されてきた仕様が DCP WG 経由で Final 段階に到達したことが 7 月 10 日コールで報告された。同コール直後から Michael Jones が OpenID Connect Native SSO for Mobile Apps の Working Group Last Call(2 週間)を開始し、George Fletcher、Andy Barlow、Joe DeCock、Naveen CM、Frederik Krogsdal Jacobsen が支持を表明、7 月 17 日コールで 「全会一致で Implementer's Draft への前進を支持」 が確認された。

並行して、IETF 123 マドリッド会合(7 月 19 日〜25 日)に向けたドラフト提出締切(7 月 7 日)と早期登録締切が走り、7 月 10 日(Pacific)コールでは Brian Campbell が「Web Bot Auth BOF」の draft charter を共有、Chris Phillips が「M2M / AI 連携領域における標準化空白」を提起した。月後半は IETF 開催と重なり、7 月 17 日コール(25 分で終了)以降、7 月 24 日 Atlantic コールはマドリッドの IETF 123 と日程衝突したため明示的にキャンセル、7 月 31 日コール(参加者 9 名)で IETF 123 の振り返り(Filip Skokan による private_key_jwt 関連の errata 議論、George Fletcher による Yaron の app2app 仕様の紹介)が行われた。

注目すべき技術的問題提起としては、月末の 7 月 18 日に Filip Skokan(panva)が Issue #2181 を起票し、「省略 ID Token claim を JSON null として返す OP 実装が型検証を破壊する」問題を報告。これは 8 月コール(PR #751 として実装)への直接の伏線となった。8 月レポートの中心テーマである Key Binding 仕様の WG 寄贈、Native SSO 2nd ID 公開レビュー開始、OPC Account Resolution PR 改訂、Bitbucket Issue #2182〜#2184 起票はいずれも 7 月時点では発生しておらず、7 月は「仕様の通常成長フェーズ」と位置付けられる。

2. 公開された仕様・ドラフト改訂

OpenID Connect Relying Party Metadata Choices 1.0 - Implementer's Draft 承認(2025 年 7 月 7 日)

  • 承認日: 2025 年 7 月 7 日
  • 投票結果: 賛成 74、反対 0、棄権 12(合計 86 票、394 メンバー中 21.8%、定足数 20% を満たす)
  • 投票期間: 2025 年 6 月 28 日(土)〜 7 月 5 日(土)
  • 告知: OpenID Connect Relying Party Metadata Choices 1.0 Implementer's Draft Approved
  • 位置付け: OpenID Connect Dynamic Client Registration 1.0 を拡張し、RP メタデータパラメータについて単一値ではなく 複数の許容値の集合を表現可能 にする。OpenID Federation 1.0 の Automatic Registration では OP からの登録レスポンスがないため、RP が自身の選好を事前に表現できる手段が必要であり、その不足を埋める仕様として位置付けられる
  • エディタ: 仕様の主要貢献者として Roland Hedberg、Stefan Santesson、Michael Jones が名を連ね、Filip Skokan が実装検証を経て著者に追加された(Mike Jones の self-issued.info ブログ投稿(7 月 9 日)
  • 仕様 URL: openid-connect-rp-metadata-choices-1_0-ID1.html
  • コール内での扱い: 7 月 3 日コールでは「投票実施中」、7 月 10 日コールでは「Now an Implementer's Draft」と承認後ステータスを Michael Jones が確認

OpenID for Verifiable Presentations 1.0 - Final Specification 承認(2025 年 7 月 10 日)

  • 承認日: 2025 年 7 月 10 日
  • 投票結果: 賛成 79、反対 2、棄権 17(合計 98 票、399 メンバー中 24.6%、定足数 20% を満たす)
  • 告知: OpenID for Verifiable Presentations 1.0 Final Specification Approved
  • 位置付け: OAuth 2.0 上に Credential の Presentation を要求・引き渡しするメカニズムを定義。W3C Verifiable Credentials Data Model、ISO mdoc、IETF SD-JWT VC 等のあらゆる Credential フォーマットに対応する Final Specification
  • WG: DCP WG の最終成果物 だが、7 月 10 日 Connect WG コール(Pacific)で 「OpenID 4 Verifiable Presentations specification reached final status after incubation in Connect WG」 として明示的に報告された。すなわち Connect WG が initial 段階で incubation を担い、その後 DCP WG に引き継がれて Final 化したという経緯が公式記録に残る

OpenID Connect Native SSO for Mobile Apps - Working Group Last Call(2025 年 7 月 3 日開始)

  • 開始日: 2025 年 7 月 3 日(Michael Jones が ML へ Working Last Call for Proposed Implementer's Draft of Native SSO for Mobile Apps を投稿)
  • 期間: 2 週間
  • 目的: Implementer's Draft 段階に進めることで IPR コミットメントを確定する
  • 支持表明(7 月 11 日〜14 日):
    • George Fletcher(Practical Identity): 「すでに実装している企業の IPR 保護を確保するため支持。WG の関心があれば追加変更も妨げない」
    • Andy Barlow(Disruptive Software): 「I support moving this draft to implementer's draft status」
    • Joe DeCock(Duende Software): 「I also support moving to implementer's draft status」
    • Naveen CM: 「I support moving this to implementer's draft status」
    • Frederik Krogsdal Jacobsen(Criipto): 「I support moving this draft to implementer's draft status」
  • 7 月 17 日コールでの確定: 「Working Group Last Call for Proposed Implementer's Draft」が 全会一致で Implementer's Draft への前進を支持 と Frederik Krogsdal Jacobsen が議事録 Meeting notes July 17th, 2025 に記録
  • その後の流れ: 7 月 31 日コール議事録に「Native SSO advanced to Implementer's Draft status」と記載。実際の Foundation-wide Public Review 開始は 8 月 4 日となり、本月(7 月)はそのための WG 内最終調整期間として位置付けられる

OpenID Connect Claims Aggregation 1.0

  • 7 月 3 日コールアジェンダで 「-03 版発行、レビュー募集」 として継続審議(draft -03 自体の発行は 5 月、ML へのレビュー依頼は 7 月で継続)
  • 7 月 31 日コール議事録では言及がなく、7 月期間中に大きな変更は確認できない

OpenID Connect Ephemeral Subject Identifier 1.0

  • 背景: Nat Sakimura が WG に寄贈、6 月 5 日に 2 週間の Call for Adoption が開始され 6 月 19 日に締切
  • 7 月の動き: 7 月 3 日コールアジェンダで「-00 版発行済み、-01 版に adoption の rationale を追加予定」として確認
  • 位置付け: ISO/IEC 27551 が定義する Unlinkability Level 3A+ を OIDC/SIOP が満たすことを数学的に証明可能にするための、認証セッション内でのみ一定で訪問ごとに変化する subject identifier

OpenID Provider Commands(OPC)/ OpenID Connect Enterprise Extensions

  • 7 月 3 日コールアジェンダで「-00 版発行済み、他仕様(OPC、IPSIE)との統合検討」として継続議論
  • 7 月 10 日コールでは個別議題として深い議論はなく、本格的な改訂提案(aud_sub / managed_by / manage 命令の Account Resolution PR)は 8 月 10 日まで持ち越し となる

OpenID Federation - PR #232(クライアント認証一貫性)

  • 7 月 10 日コールで Michael Jones が解説。「Automatic Registration を含む Federation 文脈で、クライアントは登録時とそれ以降のやり取りで同一の認証メソッドを使用すべき」
  • Chris Phillips が「non-breaking, additive change」と確認、Mike Jones は「unknown metadata は MUST be ignored」という拡張性原則を再確認
  • 7 月 17 日コールでは関連議論として 「異なるエンドポイントごとに異なる認証メソッドを定義可能にすべきか」 が論点に上がり、「実運用では全エンドポイントで同じ認証メソッドが使われる」 との結論で 拒否(議事録 2025-07-17)

3. ミーティングと議論

AB/Connect WG は週次(Atlantic 木曜)と隔週(Pacific 月曜)で定例コールを開催している。7 月は IETF 123 マドリッド会合(7 月 19 日〜25 日)と重なる週でコールが集中的にキャンセル された。

日付 (2025 年)曜日状態備考・議事録
6 月 25 日(参考)水(Pacific 振替)開催Joe DeCock 投稿(添付ファイル)
7 月 3 日開催(Atlantic)Joe DeCock 投稿(添付ファイル)
7 月 7 日キャンセル(Pacific)Michael Jones:「IETF 提出期限まで 1.5 時間」
7 月 10 日開催(Atlantic)Chris Phillips 投稿
7 月 17 日開催(Atlantic、25 分で短縮終了)Frederik Krogsdal Jacobsen 投稿
7 月 24 日キャンセル(Atlantic)Michael Jones:「IETF 123 マドリッドとの日程衝突」。Nat Sakimura のカレンダー通知も発出
7 月 31 日開催(Atlantic)Marcus Almgren 投稿

7 月 3 日コール(Atlantic)

  • アジェンダ: Proposed agenda for 3-Jul-25 Connect WG call(Michael Jones)
  • 議事録は Joe DeCock が ML 添付(connect-minutes-2025-07-03.md、5,068 バイト)として投稿、HTML 本文には概要のみ
  • アジェンダ上の主要議題:
    • RP Metadata Choices: 投票実施中(7 月 5 日締切)
    • Claims Aggregation: -03 版レビュー募集
    • Ephemeral Subject Identifier: -01 版に adoption rationale 追加予定
    • Native SSO for Mobile Apps: George Fletcher のメッセージへの返答が必要
    • Enterprise Extensions: -00 版発行済み、OPC・IPSIE との統合検討
    • OpenID Federation: 議論トピックの確認
    • IETF 123 マドリッド: ドラフト提出締切 7 月 7 日、早期登録締切 7 月 7 日

7 月 10 日コール(Atlantic)

主要議論:

  • IETF 123 マドリッド(7 月 19〜25 日)と OAuth/AI トピック:
    • Brian Campbell が Web Bot Auth BOF の draft charter を共有
    • Chris Phillips が 「業界の AuthN/AuthZ 領域では、IPR 保護も標準化監督もないまま標準ボディ外で実装が進行している。M2M / AI 連携の空白が顕著」 と問題提起
  • 仕様の進展:
    • OpenID Connect RP Metadata Choices: Implementer's Draft へ前進(投票結果反映)
    • OpenID 4 Verifiable Presentations: 「Connect WG での incubation を経て Final ステータスに到達」(DCP WG から)
  • Native SSO for Mobile Apps(10:30〜):
    • George Fletcher が仕様更新へのコミュニティフィードバックを待機
    • WG は Implementer's Draft への Working Last Call を発出、IPR 保護確立前に必要な変更があるか意見募集
  • OpenID Federation - PR #232(10:33〜):
    • Mike Jones が 「クライアントは登録時とそれ以降のやり取りで同一の認証メソッドを使うべき」 という主旨を解説。Authorization Server との相互運用性向上が目的
    • Chris Phillips が 「non-breaking, additive change」 と確認
    • Mike Jones が 「unknown metadata は MUST be ignored」 という拡張性原則を再確認
  • コール終了: 10:50 AM(約 45 分)

7 月 17 日コール(Atlantic、25 分で短縮終了)

  • 参加者: Michael Jones、Frederik Krogsdal Jacobsen、Guilherme Niero(新規参加、Itaú の identity management ソリューションアーキテクト)、Filip Skokan、Brian Campbell、Andy Barlow(計 6 名)
  • 議事録: Meeting notes July 17th, 2025(Frederik Krogsdal Jacobsen)
  • 新規参加者の紹介: Guilherme Niero が ブラジルの大手金融機関 Itaú の identity management ソリューションアーキテクト として WG にデビュー

主要議論と決定事項:

  • Native SSO for Mobile Apps - WGLC 結論:
    • 全会一致で Implementer's Draft への前進を支持("unanimous support for advancement to Implementer's Draft status")
  • Authentication Method の設定議論:
    • 論点: 「異なるエンドポイントごとに異なる認証メソッドを定義可能にすべきか
    • 結論: 拒否。「実運用では全エンドポイントで同一の認証メソッドが使われており、エンドポイント別に分けて設定可能にすることは不必要かつ逆効果」
  • RFC 7523bis のレビュー: IETF 122 で議論されたドラフト改訂版を WG メンバが確認するよう要請。IETF 123 でのさらなる議論に向けた事前準備
  • コール時間: 約 25 分(短時間で終了)

呼び出し冒頭で Dick Hardt が ML に Is there a call today (July 17)? を投稿しており、7 月 7 日と 7 月 14 日(Pacific)のキャンセル続きで参加者間に開催確認の混乱があったことが伺える。

7 月 31 日コール(Atlantic)

主要議論:

  • IETF 123 マドリッド振り返り:
    • Filip Skokan: OIDC に影響する private_key_jwt 仕様の変更を報告。errata 発出が見込まれる旨が議事録に記載。主な提案:
      • single-value aud claim への変更
      • typ requirement の削除
      • FAPI 1 はこれらの変更を採用しない見込みIANA registry update の必要性、関連 GitHub PR の整理
    • George Fletcher: IETF 123 で Yaron が発表した app2app 仕様draft-zehavi-oauth-app2app-browserless)を WG コールで紹介。Native SSO に隣接するが distinct なアプローチ
  • Connect Issues 議論(Filip Skokan の提案で恒例化):
    • Discovery 1.0 clarification(Issue #2180、PR #750)
    • Core 1.0 omitted ID Token claims clarification(Issue #2181、PR #751、panva 起票)
    • 論点: 「omitting vs JSON null」 の扱いと、conformance requirement に MUST / SHOULD どちらを使うか
    • 重要な合意: 「erratas に MUST を入れない強い理由がある」("there are strong reasons to not put MUSTs in erratas")
  • FedCM および Native SSO:
    • Michael Jones の懸念: 「ブラウザベンダーが FedCM の独自採用を進めると、OIDC を経由しない SSO が拡大しかねない」
    • Native SSO の Implementer's Draft 前進を確認

4. メーリングリストの主要スレッド

openid-specs-ab ML(2025 年 7 月アーカイブ、総投稿数 21 件、10 スレッド)から技術議論性の高い 4 本を取り上げる。8 月期(72 件 / 月)と比較すると 7 月の ML 流量は通常レベルだが、技術議論より仕様承認手続き・支持表明が中心となる「コンセンサス成立フェーズ」の投稿群が目立つ。

4.1 Working Last Call for Proposed Implementer's Draft of Native SSO for Mobile Apps - 7 月 3 日開始(6 件)

  • 発端: Michael Jones が WG 共同議長として、Native SSO 仕様の Implementer's Draft 段階前進にあたっての 2 週間の Working Last Call を開始
  • 設計判断のポイント: 「ドラフトを現状のまま Implementer's Draft に進めることに賛成するか、事前変更が必要なら何か」を全員返信形式で回答要請
  • 主要参加者と各人の主張:
    • Michael Jones(提案者): WGLC 開始のドライバ。IPR コミットメント確定が目的
    • George Fletcher(Practical Identity) 7 月 11 日: 支持。「すでに実装している企業の IPR 保護のため」("lock in the IPR protection for those companies that have already implemented the spec")と理由付け。「WG の関心があれば追加変更も妨げない」と建設的に保留条件を付した
    • Andy Barlow(Disruptive Software) 7 月 11 日: 支持
    • Joe DeCock(Duende Software) 7 月 11 日 16:26 UTC: 支持
    • Naveen CM 7 月 11 日 19:22 UTC: 支持
    • Frederik Krogsdal Jacobsen(Criipto) 7 月 14 日: 支持
  • 対立軸: なし。全員が支持。「事前修正の必要性 vs IPR 保護優先」というスペクトルでは、George Fletcher の発言が両論を架橋する役割を果たした
  • 決着: 7 月 17 日コールで 全会一致 が確認され、Implementer's Draft への前進が決定。実際の Foundation-wide Public Review は 8 月 4 日開始へ

4.2 Issue #2181: [Core 1.0] clarification on omitted ID Token claims - 7 月 18 日開始(0 件返信、後続コール議論で展開)

  • 発端: Filip Skokan(panva)が ML に Bitbucket Issue #2181 起票を告知。問題提起:
    • OpenID Connect Core において、省略された ID Token claim が JSON null として表現されるべきでない ことを明確化したい
    • 具体例: 「リクエストで nonce が使用されなかった場合、ID Token に "nonce": null を含める OP 実装」が存在し、claim の型検証(文字列であるべき場合)を破壊する
  • 既存仕様との関係: Core 1.0 の "JSON Serialization" 節と同様の整合性を取りたいという立場
  • 議論の発展: 直接の ML 返信はないものの、7 月 31 日コールで議論(議事録 2025-07-31)。論点は 「omitting vs JSON null」 の扱い、および conformance requirement の MUST / SHOULDWG 合意「errata に MUST を入れない強い理由がある」 に到達。議事録時点で PR #751 が既に対応 PR として紐付け済み
  • 後続: 8 月以降のコールで PR #751 のレビュー・マージ作業が継続

4.3 Proposed agenda for 31-Jul-25 Connect WG call - 7 月 31 日開始(3 件)

  • 発端: Michael Jones がコール直前にアジェンダ提示
  • Filip Skokan の介入010877):
    • Bitbucket connect issues の新規 issue review をアジェンダに追加してほしい。可能ならコールテンプレートにも組み込むべき」と要請
    • 背景: 既存運用で新規 issue が定期レビューされず、技術議論が ML や個別コールでばらつく状態
  • Michael Jones の応答010878): 「リポジトリリンクは既にテンプレートに含まれている。すぐ開始する」と承諾
  • 意義: 小さな運用改善だが、以後のコールアジェンダ構造に新規 issue 定例レビュー枠が組み込まれる起点。8 月コールで Issue #2179(FedCM)、#2181、#2182(CryptoJS)、#2183(session_state サイズ)、#2184(Session Quotas)など複数の議題が体系的に処理される土台となった

4.4 Today's call cancelled - 7 月 7 日 / Today's call cancelled - 7 月 24 日

  • 厳密には技術議論ではないが、Pacific コール(7 月 7 日)と Atlantic コール(7 月 24 日)の連続キャンセルが 7 月の活動パターンを規定 したため特記
  • 7 月 7 日: 「IETF 提出期限まで 1.5 時間」を理由にキャンセル
  • 7 月 24 日: 「IETF 123 マドリッドとの日程衝突」のためキャンセル。Nat Sakimura が カレンダー通知 を併せて発出
  • 結果として 7 月の Connect WG コールは Atlantic 7/3、7/10、7/17、7/31 の 4 回のみ。Pacific は実質ゼロ

その他の補助的 ML 投稿として、Joe DeCock の 6/25 議事録7/3 議事録(いずれも添付)、Dick Hardt の Is there a call today (July 17)? が記録される。

5. GitHub / Bitbucket 上の議論

AB/Connect WG の仕様ソースは Bitbucket(bitbucket.org/openid/connect/)と GitHub の複数リポジトリ(OpenID Federation、Native SSO、OPC、RP Metadata Choices、Enterprise Extensions など)に分散している。Bitbucket 本体は SPA で WebFetch で HTML 取得不可なため、ML スレッドおよびコール議事録から再構成する。

5.1 openid/rp-metadata-choices(Implementer's Draft 化)

  • 6/28〜7/5 の投票期間を経て 7 月 7 日に Implementer's Draft 承認(賛成 74、反対 0、棄権 12)
  • Filip Skokan が実装検証作業を経て著者に追加(Mike Jones 7 月 9 日ブログ)
  • 7 月 10 日コールで「Now an Implementer's Draft」として状態確認

5.2 OpenID Connect Native SSO for Mobile Apps(draft-07)

  • 7 月 3 日に Working Last Call 開始
  • 7 月 17 日コールで全会一致による Implementer's Draft 前進支持
  • 7 月 31 日議事録で「Native SSO advanced to Implementer's Draft status」と明記
  • 仕様 URL: openid-connect-native-sso-1_0.html (draft 07)

5.3 OpenID Federation - PR #232(クライアント認証一貫性)

  • 7 月 10 日コールで詳述
  • Mike Jones が起草。「クライアントは登録時とそれ以降の AS とのやり取りで同一の認証メソッドを使用すべき」
  • Chris Phillips が non-breaking、additive と確認
  • Mike Jones が「unknown metadata は MUST be ignored」という Federation 拡張性原則を再確認

5.4 Bitbucket Issue #2181([Core 1.0] omitted ID Token claims clarification)

  • 起票: 2025 年 7 月 18 日、Filip Skokan(panva)
  • 問題: 省略 claim を JSON null として表現する OP 実装が、claim 型検証を破壊
  • 7 月 31 日コール: 議論。「omitting vs JSON null」、conformance requirement に MUST / SHOULD どちらを使うか
  • WG 合意: 「errata に MUST を入れない強い理由がある」
  • 対応 PR: 7 月 31 日議事録時点で PR #751 が紐付け済み(Connect Core への omitted/empty claim ガイダンス追加)。マージは 8 月以降のコールで進行

5.5 OpenID Provider Commands / OpenID Connect Enterprise Extensions

  • 7 月 3 日コールアジェンダで「-00 版発行済み、OPC・IPSIE 仕様との統合検討」として挙げられた
  • 7 月期間中は具体的な改訂提案やマージ作業は確認されず、実質的な改訂議論は 8 月へ持ち越し(8 月 10 日に Dick Hardt が aud_sub / managed_by / manage 命令を含む Account Resolution PR を提案)

6. 関連イベント

IETF 123 マドリッド(2025 年 7 月 19 日〜25 日)

  • 7 月 3 日コールで「ドラフト提出締切 7 月 7 日、早期登録締切 7 月 7 日」と告知
  • 7 月 10 日コールで Brian Campbell が Web Bot Auth BOF の draft charter を共有
  • 7 月 22 日には Mike Jones が Updates to Audience Values for OAuth 2.0 Authorization Servers の新版を IETF 123 向けに公開(OpenID Federation の formal analysis で発見されたセキュリティ脆弱性 - audience 値の取り扱いに起因 - を RFC 7523 等で塞ぐ更新)
  • 7 月 24 日 Connect WG Atlantic コールは IETF 123 と日程衝突のためキャンセル
  • 7 月 31 日コールで Filip Skokan が private_key_jwt 関連の errata 提案(single-value aud claim、typ requirement の削除、FAPI 1 はこれら変更を採用しない見込み、IANA registry update)を持ち帰り、George Fletcher が IETF 123 で Yaron が発表した app2app 仕様draft-zehavi-oauth-app2app-browserless)を共有

OpenID Foundation 公式アナウンス

新規 WG メンバー

  • 7 月 17 日コール: Guilherme Niero(Itaú、ブラジル)が WG に新規参加

7. 今後の予定(2025 年 7 月末時点の視点)

7 月末時点で公開情報および議事録から確認できる 8 月以降の予定:

  • OpenID Connect Native SSO for Mobile Apps: WG 内で Implementer's Draft 前進が確認済み。次は OpenID Foundation 全体での Public Review 期間および投票プロセスへ
  • OpenID Connect Core - Issue #2181: Filip Skokan の問題提起を受けた errata / ガイダンスの作成(PR として実装予定)
  • OpenID Connect Claims Aggregation: -03 版へのレビュー継続募集
  • OpenID Connect Ephemeral Subject Identifier: -01 版に adoption rationale 追記
  • OpenID Connect Enterprise Extensions: OPC / IPSIE 仕様との統合作業継続。具体的な claim・命令の改訂は 8 月へ
  • OpenID Federation PR #232: クライアント認証一貫性のマージ
  • コール運用: Filip Skokan の提案により、Bitbucket Issue 新規分の定例レビュー枠を恒久化
  • IETF 123 マドリッド成果の取り込み: private_key_jwt 関連の errata 反映、FAPI 1 互換性、IANA registry update

8. 参考情報源