idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年9月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

AB/Connect WG(Artifact Binding / Connect Working Group、通称「Connect WG」)は、OpenID Connect Core を中心とする OIDC 系仕様、OpenID Federation、各種拡張仕様(Native SSO、RP Metadata Choices ほか)を策定する OpenID Foundation の中核 WG である。共同議長は Michael B. Jones(Self-Issued Consulting)、Nat Sakimura(NAT Consulting)、Frederik Krogsdal Jacobsen(Idura)の3名で、コール議事録は ML 上で公開される運用(議事録自体は non-public)。

2025年9月の AB/Connect WG は、OpenID Connect Key Binding 仕様(Dick Hardt / Ethan Heilman 共同提案)の Working Group Item 採用是非 が議論の中心であった。9月8日に Dick Hardt が更新版ドラフトを「Proposed WG Item」として投稿、9月15日に Michael Jones が Call for Adoption(採用呼びかけ、フィードバック締切9月29日) を発し、ML 上で計40通超の長大なスレッドが形成された。Justin Richer・Kristina Yasuda・Aaron Parecki らが「ID Token は搬送可能なアーティファクトではない」「OpenID for Verifiable Credential Issuance(OID4VCI)1.0 Final と機能重複」という観点から強く反対し、月末の Michael Jones の最終ステートメントは 「採用投票は留保し、著者に誤解を解くための個別ドラフト改訂を求める」 と決定された。

技術的副論点として、Brian Campbell が OpenID Connect Key Binding(KB、ID Token に cnf claim を埋め込み単一コール完結)と UserInfo Verifiable Credentials(UVC、did:jwk 経由の二段階コール)の比較分析 を投稿し24通の派生スレッドが形成された。また Kosuke Koiwai 起点の scope 名称議論dpop vs id_token_cnf vs cnf vs key_binding)も George Fletcher、Dag Helge Østerhagen、Dick Hardt の間で進行した。

並行して、Michael Jones が OpenID Connect RP Metadata Choices 1.0 Draft -03 を9月19日に公開token_endpoint_auth_methods_supported の意味を全 AS エンドポイントに拡張する明確化)、Andrii Deinega が Session Quotas Issue #2184 を提案、Michael Fraser が OpenID Federation Issues #246・#247・#249 を起票するなど、複数仕様の議論が同時進行した。9月18日コールでは OpenID for Verifiable Credential Issuance 1.0 の Final 公開(DCP WG 成果物、6年越し) を WG 全体で祝賀するシーンも記録されている。

2. 公開された仕様・ドラフト改訂

OpenID Connect RP Metadata Choices 1.0 Draft -03(2025年9月19日公開)

  • 公開日: 2025年9月19日
  • 告知: Michael Jones が ML に openid-connect-rp-metadata-choices-1_0-03 published として投稿
  • 主要変更点: token_endpoint_auth_methods_supported メタデータ値が 「Authorization Server の任意のエンドポイントでサポートされる Client Authentication Methods を示す」 ものであることを明記。これにより PAR・introspection・revocation など全 AS エンドポイントで同メタデータが共通参照される運用が確定
  • 連動: OpenID Federation が当ドラフトを normative 参照しているため、両仕様は同時に Final ステータスへ進む計画(9月25日コールでの確認事項)

OpenID Connect Key Binding(個別ドラフト、9月8日 WG 提案)

  • 9月8日: Dick Hardt が OpenID Connect Key Binding :: Proposed WG Item として更新版を WG に提案
  • 共同著者: Dick Hardt、Ethan Heilman(元 Cloudflare、OpenPubkey 経験者)
  • 位置付け: RFC 9449(OAuth 2.0 DPoP)を OpenID Connect 用にプロファイル する仕様。先行研究として Daniel Fett / Brian Campbell / John Bradley / Torsten Lodderstedt / Michael Jones / David Waite の名前を挙げる
  • 状態: 9月15日に正式な Call for Adoption が開始。9月25日時点での非公式集計は「賛成5、反対1、中立1」だが反対意見が技術的に重く、Michael Jones は採用判断を保留

OpenID for Verifiable Credential Issuance 1.0 Final 公開(DCP WG 成果物)

AB/Connect WG の直接成果物ではないが、9月18日 Connect WG コールで 「6年の開発を経て VCI 1.0 が Final 公開された」と祝賀 された。Connect WG の Key Binding 採用反対理由のひとつ(VCI 1.0 で同等機能が達成済み)として頻出する基盤仕様であり、関連動向として記録に残る。

その他の進行中ドラフト

仕様状態
Native SSO for Mobile AppsImplementer's Draft 1(公開済み)→ Implementer's Draft 2 投票が9月25日コールで7日以内開始予定 と決定
OpenID Federation 1.0Editor's Draft(GitHub main で進行中、Federation Issues #243〜#249 で議論進行)
OpenID Connect Key Binding個別ドラフト(WG Item 採用判断は10月以降に持ち越し)

3. ミーティングと議論

AB/Connect WG は週次(木曜)と隔週(月曜)で定例コールを開催している。9月のコール開催状況は以下のとおり:

日付 (2025年)曜日状態議事録投稿者
9月1日(Labor Day)中止中止通知 (Michael Jones)
9月4日開催Aaron Parecki
9月11日中止中止通知 (Michael Jones、共同議長3名すべてに予定衝突)
9月15日開催Nat Sakimura
9月18日開催Ethan Heilman
9月25日開催Frederik Krogsdal Jacobsen
9月30日中止中止通知 (Michael Jones)

9月4日コール

  • 参加者 (9名): Mike Jones、Aaron Parecki、Ethan Heilman、Frederik Krogsdal Jacobsen、Brian Campbell、Dick Hardt、Andrii Deinega、Chris Phillips、Tom Jones
  • 議事録: Minutes from 2025-09-04(Aaron Parecki)

主要議題と決定事項:

  • PR #753(Browser API リファレンス削除): 廃止された Browser API への参照削除を承認。Mike Jones が approved マークを付与し、3名の承認+1週間通知を経てマージ予定
  • Issue #2184(Session Quotas): Andrii Deinega が「RP が OP に最大セッション数を伝達するメカニズム」を提案。Mike Jones は「アカウンティング基盤を持たない OP に実装させる複雑性」を指摘、Frederik は「リクエストごとではなく OP ダッシュボード設定で良いのでは」と問題提起。「クォータ管理は OP 側か RP 側か」という根本論点をめぐり議論が活発化、Mike が Issue 上での書面コメントを要請
  • Metadata Choices: introspection / revocation のクライアント認証は 新規メタデータパラメータを作らず既存の Token Endpoint 認証メソッドに従う との合意を確認。新規 PR #8 が提出されレビュー入り
  • Federation Issues #243〜#245: 検証失敗時のハンドリング、証明書の発行・失効に関する明確化、関連トピックを議論
  • Key Binding 仕様: Dick Hardt が2方式の Key Binding 比較を提示。Mike は「機能重複の可能性、初期ドラフトが古い VC バージョンを参照していた点」を踏まえ、原仕様著者にコンタクトしてから Call for Adoption を進めると決定

9月15日コール

主要議題:

  • Key Binding Specification の Call for Adoption 開始: Mike Jones が「反対論はあるが実質的な阻止意見はない(mixed arguments but no substantial opposition observed)」と評価し、ML での議論継続と並行してフォーマルな採用呼びかけを開始
  • CryptoJS 削除 PR: Andrii Deinega が廃止された CryptoJS 依存を Native JavaScript 暗号関数に置き換える PR を提示。Mike Jones は既に承認済み
  • Session Quota Management: 9月4日コールから継続。「RP が認可リクエストでセッション数上限を指定し、OP 側でセッション管理責務を負う」案を再訪。金融機関の単一デバイス制限ユースケースに有効と評価
  • Federation Issues #246・#247・#249: Michael Fraser が3件の issue を新規起票。Issue #246 は entity statement の claim 制限、#247 は trust marks の文言明確化、#249 は trust mark status endpoint のエラーハンドリングガイダンス

9月18日コール

  • 参加者: 9名(Nat Sakimura、Michael Jones、Brian Campbell ほか)
  • 書記: Ethan Heilman
  • 議事録: Minutes from 2025-09-18

主要議題:

  • イベント告知: IETF 124 Montreal 登録、IIW 41 登録、IIW 後の Agentic Internet Workshop の3イベントを案内
  • OpenID Federation 進行:
    • Claims in Metadata(メタデータに含めない claim の合意形成): Lukasz Jaromin が「エコシステム固有の claim 取扱い」について論点を提供
    • Array Order Specification: Michael Jones が自分自身に割り当て。「subset / superset 演算が値順序を保持するか」を整理
    • Trust Mark Guidance: 未知 trust mark への status endpoint 応答についてコミュニティ意見を募集
    • Trust Chain Resolution: Michael Jones が「フェデレーション保護リソースが introspection endpoint 呼び出しを扱う方法」のドラフト文言を起草予定
  • OpenID Connect: Relying Party Metadata Choices が公開準備完了、追加変更なし。両 Federation と同時 Final 化計画を再確認
  • Key Binding Initiative: Call for Adoption は9月29日まで継続。早期反応は概ね好意的だが、UserInfo Verifiable Credentials の先行作業と重なる側面を Mike が認めた上で「最終的に WG が採用を判断する」と中立姿勢を強調
  • OID4VCI 1.0 Final 公開の祝賀: 6年の開発を経て VCI 1.0 が Final 化されたことを WG 全体で祝賀

9月25日コール

  • 参加者: Mike Jones、Andrii Deinega、Filip Skokan、Andy Barlow、Frederik Krogsdal Jacobsen、George Fletcher、Eye PR(オブザーバー)の7名
  • 議事録: Minutes from 2025-09-25 Connect WG call(Frederik Krogsdal Jacobsen)

主要議題:

  • イベント関連告知:
    • IETF 提出締切: 10月20日(月)
    • IIW 41 登録開始
    • OpenID Workshop(10月20日、San Jose、IIW 直前)
    • FIDO Authenticate 2025 登録開始
  • Native SSO for Mobile Apps:
    • Second Implementer's Draft 投票が7日以内に開始予定 と決定
    • 「ID Token を仕様から削除すべきか」が論点。George Fletcher は WG 内エンゲージメントの少なさを指摘、Mike Jones は「Connect Core が既に ID Token を返している以上、解決すべき問題が本当に存在するか疑問」と反論
  • Relying Party Metadata Choices:
    • Draft -02(※9月19日に -03 が公開されているため、コール時点では -03 が最新)が「token_endpoint_auth_methods_supported を全エンドポイント向けに整合化」する1点修正で公開
    • Federation が normative 参照するため、両者を同時に Final 化する方針を再確認
  • Open Issues レビュー:
    • Issue 2182: マージ済み PR を受けクローズ
    • Issue 2184(Session Quotas): 「別仕様としての展開が必要」との合意
    • Issue 2183(Session state size limits): Filip Skokan が「サイズ制約はパラメータの自然な進化に任せるべき」と説明
  • Federation: 2本の PR が複数 issue に対応中
  • Connect Key Binding Call for Adoption 中間集計:
    • 賛成5、反対1、中立1の非公式カウント
    • 締切まで残り4日(9月29日まで)
  • AppAuth Libraries: Frederik Krogsdal Jacobsen が追加メンテナサポートの可能性を探る

9月30日 Tuesday コール中止

4. メーリングリストの主要スレッド

openid-specs-ab ML(2025年9月アーカイブ、総投稿数 71件)から技術議論の主要4本を選定する。

4.1 Call for Adoption for the OpenID Connect Key Binding Specification — 9月15日開始(40件)

  • 発端: Michael Jones(議長)が2週間の Call for Adoption を開始(締切9月29日月曜)
  • 冒頭評価: 「コール内および ML での広範な議論を踏まえ、本仕様が解決する問題に対する標準化が有用であるというコンセンサスは存在する(there is consensus that it would be useful to have a standard solving the problem addressed by this specification)」
  • 主要参加者と立場:
    • Dick Hardt(著者): 採用支持
    • Ethan Heilman(共著者): 採用支持
    • Karl McGuinness: 賛成意見
    • Frederik Krogsdal Jacobsen: 賛成
    • Justin Richer: 反対。「ID Token は搬送可能なアーティファクトではない(The ID Token is not intended to be a conveyable artifact)」と主張。「すでに ID Token を Access Token として誤用する開発者が多い中、Key Binding を標準化すればこの問題を著しく悪化させる」と警告
    • Andrii Deinega: Justin Richer に賛同
    • Aaron Parecki: 同様の懸念を表明
    • Brian Campbell: UserInfo Verifiable Credentials との比較・重複点を指摘
    • Ralph Bragg: 反対側に立つ
    • Kristina Yasuda(DCP WG): 反対。「OpenID for Verifiable Credential Issuance 1.0 Final が同ユースケースに対する成熟したプロトコル。Call for Adoption を DCP WG と先行調整なしに進めたプロセス上の問題」と批判。Pieter / Aaron / Justin / Brian / Andrii / Ralph と同調と明示
    • Frederik Krogsdal Jacobsen / Brian Campbell(個別質問への返信): 中立的補足
  • 論点の対立軸:
    • 設計原則: ID Token を Key 配送媒体にすべきか
    • WG 境界: Connect WG vs DCP WG の所掌
    • 重複: VCI 1.0 で実現済みか、本仕様の独自価値があるか
    • 誤用リスク: 開発者が ID Token と Access Token を混同する状況の悪化
  • 9月末時点の決着: Michael Jones は最終投稿(#011022)で「多くの異議は仕様スコープの誤解に由来する。著者には誤解を解く更新個別ドラフトを公開してから採用判断を再検討するよう推奨する」と判断、採用投票は10月以降に持ち越し

4.2 OpenID Connect Key Binding vs OpenID Connect UserInfo Verifiable Credentials — 9月1日開始(24件)

  • 発端: Brian Campbell が 2方式の意図的差異 を分析投稿
  • 2方式の対比:
    • OpenID Connect Key Binding (KB): ID Token に cnf claim を含めて公開鍵をバインド。1コール完結dpop scope と dpop_jkt パラメータを認証時に使用、トークンリクエストに DPoP JWT ヘッダ
    • UserInfo Verifiable Credentials (UVC): VC syntax で credential を発行、did:jwk で識別。2コール必要(認証 + credential リクエスト/レスポンス)。userinfo_credential scope を使用
  • Brian Campbell の評価: KB は dpop_jkt による認証リクエスト〜トークンリクエスト間の追加保証 を提供する分セキュリティ層が厚い
  • 主要参加者: Tom Jones、Mike Jones、Dick Hardt、Jacob Ideskog、George Fletcher、Karl McGuinness、Brian Campbell
  • 議論の方向性: UserInfo VC 仕様著者陣が活動再開する余地、ID Token / userinfo / credential issuance のいずれが鍵バインディングの最良の媒体かという設計理念論

4.3 Key-binding and dpop scope — 9月1日(8件)

  • 発端: Kosuke Koiwai(KDDI)が「標準からの逸脱は 特許リスクおよびメンテナンスコスト を伴う」と懸念表明
  • scope 名称議論:
    • George Fletcher: dpop ではなく id_token_cnf のような汎用名称を提案。「意図された動作をより明確に伝達する」
    • Dag Helge Østerhagen: 単純に cnf を提案。他の OIDC scope との整合
    • Dick Hardt: key_binding を「より明確(crisper)」として支持。実際の達成目標を端的に表現
  • Dick Hardt の中核主張: 「RP は独自実装で拡張可能だが、標準化された仕様こそが異なる実装間の相互運用性を可能にする」。dpop_jkt パラメータ省略はセキュリティ特性を低下させると指摘
  • 収束点: 9月末時点で scope 名称の合意には未到達。Key Binding 仕様自体の採用判断と連動

4.4 Detailed error messages — 9月1日(0件返信)

  • 発端: Tom Jones が CVE-2025-36003(IBM Security Verify Governance Identity Manager 10.0.2 の脆弱性)を引用し、詳細エラーメッセージを返却する仕様慣行への警鐘
  • 主張: 「攻撃者が更なる攻撃に詳細技術エラーを利用できる」という CVE 説明を根拠に、OpenID Foundation 各所でのエラーメッセージ設計の見直しを訴える
  • 反応: 直接の返信はなく、議論として展開しなかったが、AB/Connect WG 全体の RFC 6749 / Connect Core 系仕様におけるエラー設計議論への布石として記録される

5. GitHub 上の議論

AB/Connect WG の仕様ソースは複数の openid org 配下リポジトリ(OpenID Federation の Editor's Draft、Connect Core 系の issue tracker、Native SSO 個別リポジトリ等)に分散している。9月の議事録から再構成される主要 issue / PR を以下に整理する(リポジトリ単位の集約はせず、議論内容ベースで整理)。

5.1 PR #753(Browser API リファレンス削除、9月4日コールで承認)

  • 位置付け: Connect Core 系仕様内の廃止された Browser API への参照を削除
  • 9月4日コールでの判断: Mike Jones が承認、3名の承認+1週間通知を経てマージ予定
  • 議論度: 軽微な保守作業として円滑に通過

5.2 Issue #2184(Session Quotas、Andrii Deinega 提案)

  • 提案内容: RP が OP に最大セッション数を伝達するメカニズム
  • 論点:
    • Mike Jones: 「アカウンティング基盤を持たない OP に実装させる複雑性」
    • Frederik Krogsdal Jacobsen: 「リクエストごと指定ではなく OP ダッシュボード設定で十分なのでは」
    • 金融機関ユースケース: 単一デバイス制限要件を持つ顧客にとって有用
  • 9月25日コール結論: 「別仕様としての展開が必要」とし、Connect Core 本体には組み込まない方針

5.3 Issue #2183(Session state size limits)

  • 発端: セッション state パラメータのサイズ制限要求
  • Filip Skokan の応答: 「サイズ制約は当初から含めなかった。パラメータは自然に進化していくべきだから」
  • 9月25日コール結論: 仕様変更は不要、現状維持

5.4 Federation Issues #243〜#249(複数)

  • #243〜#245(9月4日コール議論): 検証失敗時のハンドリング、証明書発行・失効の明確化
  • #246(Michael Fraser 起票、9月15日): entity statement の claim 制限
  • #247(同上): trust marks の文言明確化
  • #249(同上): trust mark status endpoint のエラーハンドリングガイダンス
  • 9月18日コール議論:
    • Claims in Metadata: Lukasz Jaromin が「エコシステム固有 claim の扱い」を提示
    • Array Order Specification: Michael Jones がドラフト文言を担当、subset / superset 演算が値順序を保持するか整理
    • Trust Mark Guidance: 未知 trust mark への status endpoint 応答ガイダンスをコミュニティに募集
    • Trust Chain Resolution: Michael Jones が introspection endpoint 呼び出しを扱う文言を起草予定

5.5 PR #8(Token Endpoint Auth Methods 共通化、9月4日コールで提出)

  • 位置付け: introspection / revocation のクライアント認証で新規メタデータパラメータを作らず既存 token_endpoint_auth_methods_supported を流用する方針を仕様文言に反映
  • 9月19日: RP Metadata Choices Draft -03 として公開され、当 PR の方針が正式化

5.6 CryptoJS 依存削除 PR(Andrii Deinega、9月15日コール時点で進行中)

  • 位置付け: 廃止された CryptoJS ライブラリへの依存を Native JavaScript 暗号関数に置換
  • 進捗: 9月15日時点で Mike Jones が承認済み、追加サインオフ待ち

なお openid/connect という名称のリポジトリは存在せず(Connect WG の仕様ソースは openid/openid-federationopenid/native-sso-mobile-appsopenid/connect-core ※存在の確認は repository ごとに異なる、等に分散)、issue / PR 番号は所属リポジトリにより異なる。

6. 関連イベント

IIW 41(10月21〜23日、Mountain View)

10月開催予定の Internet Identity Workshop 41。9月18日 Connect WG コールで登録案内、9月25日コールで詳細告知。

OpenID Workshop @ Cisco(10月20日、San Jose)

IIW 41 直前のサイドイベント。9月25日コールで Connect WG メンバーに告知。

IETF 124 Montreal(11月1〜7日)

9月18日 Connect WG コールで登録案内。IETF 提出締切が10月20日(月) であり、Connect WG メンバーが個別 ID/draft を提出する場合の期限として共有された。

FIDO Authenticate 2025

9月25日 Connect WG コールで登録開始を案内。

Agentic Internet Workshop(IIW 41 後、未公表)

9月18日 Connect WG コールで「IIW 後の Agentic Internet Workshop」が言及。具体日程・場所は当該議事録に未記載。

7. 今後の予定(2025年9月末時点の視点)

9月末時点で公開情報および議事録から確認できる10月以降の予定:

  • OpenID Connect Key Binding 仕様: Mike Jones の判断により、著者(Dick Hardt / Ethan Heilman)が誤解解消版の個別ドラフトを公開してから WG 採用判断を再検討
  • Native SSO for Mobile Apps Implementer's Draft 2 投票: 9月25日コールから7日以内(10月初)開始予定
  • OpenID Connect RP Metadata Choices 1.0 と OpenID Federation 1.0 の Final 化: 両仕様を同時に Final ステータスへ進める計画
  • Session Quotas Issue #2184: 別仕様として独立させる方向で展開
  • Federation Issues #246・#247・#249: GitHub 上で継続議論
  • IETF 124 Montreal(11月1〜7日)への個別 draft 提出: 締切10月20日
  • OID4VCI 1.0 Final(DCP WG 成果物): 9月18日に Final 公開済み、関連エコシステム実装フェーズ

8. 参考情報源