idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年10月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

AB/Connect Working Group(旧 Artifact Binding WG と OpenID Connect WG の合流組織、以下「Connect WG」)は、OpenID Connect 仕様ファミリーおよび OpenID Federation の策定を担う WG である。共同議長は Mike Jones(Self-Issued Consulting)、Nat Sakimura(NAT Consulting)、Frederik Krogsdal Jacobsen(Idura)の3名。定例コールは毎週木曜 UTC 16:00(米国側 Atlantic 時刻)に実施される。

2025年10月の Connect WG は、翌11月に予定されていた OpenID Federation 1.0 の Working Group Last Call(WGLC) 開始に向けた大詰めの作業に集中した月であった。月内の主要トピック:

  • OpenID Federation Draft 44 公開(10月15日): IETF 124 submission cutoff に向けたリリース。スウェーデン政府ユースケースに動機づけられた機能群(extension points)と、Trust Mark Status レスポンスの署名必須化(唯一の破壊的変更)を含む
  • OpenID Connect Key Binding 仕様の WG 採択(10月9日): Dick Hardt と Ethan Heilman による提案が、2度目の Call for Adoption を経て正式に WG アイテムとして採択された
  • OpenID Connect Native SSO for Mobile Apps の 2nd Implementer's Draft 投票開始: ただし月末(10月30日)に Brian Campbell から強い反対意見が提起され、Final Specification への進行は不透明に
  • 新しい OpenID Foundation Notes & Recordings Policy の10月9日通達: 全 WG/CG 横断の運営変更として Mike Leszcz から ML へ転送(2025年9月11日ボード承認)
  • IIW 41 / OpenID Workshop @ Cisco / DCP 対面会議(10月20〜24日)参加 および IETF 124 Montreal(11月1〜7日)前の準備

また、Trust Anchor Distribution & Rotation (TADR) の新規ドラフトが Rahul Khanna から提案され、CA/B Forum の TLS 証明書寿命短縮(2029年までに47日)を背景としたトラストアンカー管理自動化の動きも開始された。

10月は計 6回の WG コール が開催され(Oct 2・9・16・23・27・30)、通常の木曜週次(5回)に加え IETF 124 前の整理用に Oct 27(月曜)の特別コールが挿入された。

2. 公開された仕様・ドラフト改訂

OpenID Federation Draft 44(2025年10月15日公開)

  • 公開日: 2025年10月15日(仕様 Document Header より)
  • 告知: 2025年10月17日に Mike Jones が OpenID Federation draft 44 Incorporating Features Motivated by Swedish Government Use Cases として ML に投稿
  • エディタ: Roland Hedberg(independent)
  • Authors: Mike Jones、Andreas Åkre Solberg、John Bradley、Giuseppe De Marco、Vladimir Dzhuvinov
  • 主要変更点:
    • Trust Mark Status レスポンスの署名必須化(唯一の breaking change): Trust Mark の状態(active / revoked 等)を返すレスポンスを署名付き JWT にすることを規定
    • Extension points の追加: 既存の entities が修正不可能な環境でもトラスト確立に Federation を活用できるよう、既存デプロイへの侵襲性を下げる拡張ポイントを追加。スウェーデン政府ユースケース(後述)が直接的な動機
    • 既存機能の説明改善(editorial)
  • IETF 124 Montreal の submission cutoff(10月20日)前のリリースであり、翌11月の WGLC 対象バージョンへの前段階

Federation リポジトリでのマージ済み PR(10月中10本)

openid/federation では10月中に10本の PR がマージされた。主なもの:

PRタイトルAuthorマージ日
#251Added typ to JWS headersrohe2025-10-01
#253トラストチェーンフェッチでループ検出時はそのチェーンを無視rohe2025-10-01
#254allowed_entity_types 制約適用結果が空配列でもエラーではないrohe2025-10-08
#256未知の Trust Mark に対する requested status の扱いrohe2025-10-10
#259Must-have feature requests for Swedish governmentselfissued(Mike Jones)2025-10-15
#263JWKS 表現が理解されない可能性の警告selfissued2025-10-14
#267Entity Statement セクションの再構成rohe2025-10-23
#2682集合マージ結果の要素順序は未定義rohe2025-10-23
#272Trust Mark Status レスポンス例の subtrust_mark に置換zachmann2025-10-23
#273実装考慮事項を2点追加rohe2025-10-25

Roland Hedberg(rohe)が中心的にエディタ作業を進め、Mike Jones(selfissued)がスウェーデン政府機能を実装した構図。

OpenID Connect Key Binding — WG 採択(2025年10月9日)

Dick Hardt(著者)と Ethan Heilman の提案による OpenID Connect Key Binding 仕様が、2度の Call for Adoption を経て 10月9日の WG コールで正式に採択 された。

  • 初回 Call for Adoption: 9月中に実施(本稿の範囲外)
  • Revised submission: 10月1日に Dick Hardt が初回 Call for Adoption のフィードバックを反映した改訂版を提出 (Revised submission :: OpenID Connect Key Binding)
  • Second Call for Adoption: 10月1日に Mike Jones が Second Call for Adoption for the OpenID Connect Key Binding Specification として再告知。レビュー期間は10月9日までの1週間
  • 採択: 10月9日コールで「The OpenID Connect Key Binding draft has been adopted by the Working Group」と確認
  • 技術提案の骨子Dick Hardt's draft より):
    • OAuth DPoP(RFC 9449)の機構を流用し、ID Token に公開鍵を cnf クレームでバインド
    • RP が認証リクエストに bound_key スコープと dpop_jkt パラメータを含め、トークンリクエストで c_hash を含む DPoP ヘッダを送信
    • OP は typid_token+cnf に設定した ID Token を返す
    • ユースケース: モバイルアプリの ID Token→Access Token 交換、ピアツーピア(ビデオ会議等)での ID 証明
  • 採択直後のアクション(10月9日コール決定):
    • Dick Hardt と Ethan Heilman が新規 GitHub リポジトリを作成し -00 ドラフトを公開
    • Frederik Krogsdal Jacobsen、Brian Campbell その他関心者が具体的変更要求の Issue を起票

OpenID Connect Native SSO for Mobile Apps — 2nd Implementer's Draft 投票

10月2日コールで「Implementer's Draft 投票プロセス開始」が正式に告知され、10月中に OpenID Foundation 事務局が投票を実施。10月30日コール時点で 2nd Implementer's Draft は承認・公開済み と報告された。

ただし同じ10月30日コールで、Brian Campbell が以下の強い反対意見を表明:

"solvable problem" であり、仕様公開はむしろ「wider community への detriment(不利益)」となる

George Fletcher が同日のコールで暫定議長を務めていたが(Mike Jones がタイムゾーン都合で途中退出)、この問題提起を受けて Native SSO の Final Specification 進行については最終フィードバック募集を先行させる方針が確認された。George は月末(10月30日)に ML へ Next steps for the Native SSO for Mobile Apps specification を投稿し、2つの選択肢を提示:

  1. 現 2nd Implementer's Draft をそのまま Final に進める: 十分なコミュニティ関心がない場合
  2. 大幅リビジョン(ID Token 利用方法変更、sender-constrained プロトコル側面の追加など、破壊的変更を含む)

George は「複数の IdP SaaS ベンダーと RP が仕様を実装済み」「何らかのガイダンスを OpenID Foundation として提供すべき」として Option 2(大幅リビジョン)を推奨した。

OpenID Connect Relying Party Metadata Choices — Draft -02

10月2日コールで「Draft -02 が最近公開された」と報告。10月9日コール時点で open issue なし。

OpenID Connect Ephemeral Subject Identifier — Draft -01 着手

10月の各コールアジェンダで継続的に取り上げられ、-01 ドラフト作成に向けた作業が進行。

Trust Anchor Distribution & Rotation (TADR) Draft 00(新規提案)

10月23日、Rahul Khanna が Peer review request: TADR draft を ML に投稿。

  • 背景: CA/B Forum が2029年までに TLS 証明書寿命を47日に短縮する決定をしたことから、手動トラストアンカー管理が非現実的になる
  • 提案内容:
    • OIDC Discovery への trust_anchor_uri パラメータ追加
    • トラストアンカーバンドル用の標準 JSON スキーマ
    • クライアントのフェッチ・キャッシュ・ローテーション動作の明確化
    • Node.js / Python のリファレンス実装を同梱
  • 適用範囲: OAuth クライアント、OIDC Client Credential Flow、将来的には AI 認証システムへの拡張も想定
  • ステータス: Draft 00 と参照実装が OpenID publication リポジトリで公開、コミュニティピアレビュー依頼段階

3. ミーティングと議論

Connect WG の議事録は伝統的に non-public(公開されない)方針だが、10月は Frederik Krogsdal Jacobsen(Oct 2 / Oct 9 分)および Andy Barlow(Oct 30 分)が ML へ議事録を投稿しており、内容の一部を再構成できる。

10月2日コール

主要議題:

  • イベント周知: IETF 124 submission cutoff(10月20日)、OpenID Workshop @ Cisco(10月20日)、IIW 41(10月21〜23日)、DCP WG 対面会議(10月20日午前・10月24日)
  • Native SSO for Mobile Apps: Implementer's Draft 投票プロセス開始告知
  • OpenID Connect PR/Issue:
    • Issue #1125(EdDSA ID Token のハッシュアルゴリズム): Filip が文書化予定、タイミング未定
    • Issue #2183(セッション管理パラメータサイズ制限): FAPI の state パラメータ長に関する事前ガイダンスを参照
  • Federation: Brian Campbell が「レビュー依頼前に仕様の明確性を改善すべき」と主張。Mike Jones が必要箇所の整備を担当。Issue #257(レスポンス署名)は異論なしで解決
  • Key Binding: Second Call for Adoption が開始(10月9日まで)
  • Ephemeral Subject Identifier: -01 作業継続
  • Claims Aggregation: レビュー募集中
  • 補足: Chris Phillips が MCP と OpenID Federation に関するプレゼンテーションを共有(Model Context Protocol と Federation の接点を探る議論の端緒)

10月9日コール(Key Binding 採択)

  • 参加者: Mike Jones、Frederik Krogsdal Jacobsen、Ethan Heilman、Andy Barlow、Brian Campbell、Dick Hardt、Andrii Deinega、Lukasz Jaromin、Aaron Parecki、Dima Postnikov、Filip Skokan、Guilherme Niero(12名)
  • 議事録: Minutes from 2025-10-10 Connect WG call

冒頭で Mike が Code of Conduct 遵守(建設的フィードバック・プロフェッショナルトーン)を強調したうえで、主要議題に移行。

  • Native SSO: Implementer's Draft 投票の参加呼びかけ
  • RP Metadata Choices: Draft -02 に open issue なし
  • Federation: Final Specification 到達に向けた実装者要件の議論
  • Key Binding(最重要): ユースケースと仕様整合性について活発な議論。特に Docker OpenPubKey ユースケースがドラフトの技術設計と整合するか という懸念が提起された。議長は「ドラフト用語とユースケース間の具体的マッピング文書化」を要請
    • 採択: 議論後、「The OpenID Connect Key Binding draft has been adopted by the Working Group」と決定
  • アクションアイテム: Dick と Ethan が GitHub リポジトリ作成・-00 公開、Frederik / Brian / 関心者が Issue 起票

10月16日コール(Mike Jones 欠席)

Mike Jones が I can't join the Connect call today として欠席を事前告知。議事録は ML に投稿されていないため、詳細議論の再構成は困難。Nat Sakimura が Synced invitation で招待を再送信しており、副議長による進行が行われたと推測される。アジェンダは Mike Jones が事前に Proposed agenda for 16-Oct-25 Connect WG call に投稿済み。

10月23日コール(Mike Jones 最初の30分のみ)

  • アジェンダ: Proposed agenda for 23-Oct-25 Connect WG call
  • 特記: Mike Jones が「OpenID board retreat のため最初の30分のみ出席」と事前告知
  • 主要アジェンダ項目: Native SSO 2nd Implementer's Draft 進捗、Federation PR / Issue、Key Binding(採択直後)状態、IETF 124 Montreal(11月1〜7日)最終準備

議事録は ML に投稿されていない。

10月27日コール(月曜特別コール)

  • アジェンダ: Proposed agenda for 27-Oct-25 Connect WG call
  • 特記: 通常の木曜週次(10月23日・30日)に加えて月曜に挿入された特別コール。IETF 124 直前という時期から、Federation final 前の論点整理を目的としたと推測される
  • 主要アジェンダ: IIW からのテイクアウェイ、IETF 124 準備、Native SSO、Federation、Key Binding、Ephemeral Subject Identifier

議事録は ML に投稿されていない。

10月30日コール(George Fletcher 途中から議長代行)

  • 参加者: Chris、Michael Jones、Frederik Krogsdal Jacobsen、George Fletcher、David Waite、Filip Skokan、Brian Campbell、Lukasz Jaromin(8名)
  • 議事録: WG Meeting Notes 30th October 2025(Andy Barlow 投稿)
  • 特記: Mike Jones がタイムゾーン都合で途中退出したため、George Fletcher が議長代行

主要議題:

  • IIW 41 振り返り: AI・Verifiable Credentials・プライバシーが支配的。2つのエコシステムギャップが認識された:
    • Delegation authorization(委譲認可) が未発達
    • Consent モデル が進化するトラスト境界向けに近代化を要する
  • IETF 124: 11月1〜7日 Montreal、Connect WG メンバー複数参加予定
  • Native SSO: 2nd Implementer's Draft 承認・公開済みを確認。George が最終フィードバック募集後の Final 移行を計画。Brian Campbell が強く反対("solvable problem"・コミュニティへの不利益論)
  • Federation: Mike 退出のため深入り議論せず。Entity Statement クレーム関連 PR の positive iteration を確認
  • Key Binding: Frederik Jacobsen がユースケース明確化の必要性を強調。「ID Token を複数の RP 間で使うのは poor practice」 が IIW を通じたコンセンサスとして浮上し、仕様側でその旨を理由と共に列挙すべきとの方向性が共有された。大規模中央集権型 IdP が single-RP ステータスを正当に主張できるか という定義上の問いが次回以降の論点に。また Key Binding の新規リポジトリ作成時に旧アーカイブリポジトリからの Issue 移行が不完全だった問題も議論された
  • Best Practices 文書化: 開発者が OpenID 仕様の実装手順を発見するメカニズムが不足しているという問題提起。IETF スタイルの Best Current Practices 文書採用が検討された(Ecosystem WG の reference architecture 作業を補完する位置づけ)

アクションアイテム:

  1. George Fletcher: Native SSO 最終フィードバック募集
  2. Frederik Jacobsen: IIW での「ID Token 用途制限」コンセンサスを文書化
  3. Key Binding 新リポジトリへの未移行 Issue 整理
  4. 翌週月曜にアジェンダ再開

4. メーリングリストの主要スレッド

10月の openid-specs-ab ML は 71通の投稿 があり、Key Binding 採択論争(40通超)が大部分を占める極めて活発な月だった。技術的に重要なスレッドを4本抜粋する。

Key Binding の採択を巡る論争(最活発・40+ 通)

Second Call for Adoption for the OpenID Connect Key Binding Specification - 2025-10-01 開始 / Michael Jones / 17通

および並行する Call for Adoption for the OpenID Connect Key Binding Specification - 2025-10-02 開始 / Brian Campbell / 23通

Brian Campbell の反論(Call for Adoption スレッド)は、ドラフト品質に対する異議 が主軸であった:

"I believe it would be appropriate for a baseline level of document hygiene/quality to be in place before the individuals in the WG are asked to invest time."

Campbell はスクリーンショット付きで文書の問題箇所を指摘し、「採択前にベースラインの document hygiene を整えるべき」と主張。一方で Mike Jones は Revised submission によって初回フィードバックを反映した旨を強調し、採択プロセスを継続。10月9日コールの採択決定により、この論点は一旦「採択後に Issue ベースで改善する」方向に収束した。

この対立は、Campbell(セキュリティレビュー重視派)と Hardt/Jones(動機・ユースケース先行派)の伝統的な緊張の再現でもあった。Campbell 自身も採択後は「具体的変更要求の Issue を起票」する方針を10月9日コールで受け入れている。

OpenID Federation Draft 44 とスウェーデン政府ユースケース

OpenID Federation draft 44 Incorporating Features Motivated by Swedish Government Use Cases - 2025-10-17 / Michael Jones / 2通

Draft 44 の主な実装動機となったスウェーデン政府ユースケースは、既存の entities が修正不可能な環境でのトラスト確立 である。Mike Jones は PR #259 Must-have feature requests for Swedish government として10月15日に関連機能を実装し、Draft 44 に反映した。また Trust Mark Status レスポンスの署名必須化は、Federation 運用時の信頼性向上を目的とした仕様強化である。

Native SSO の今後の方向性

Next steps for the Native SSO for Mobile Apps specification - 2025-10-30 / george@practicalidentity.com(George Fletcher) / 2通

George Fletcher が10月30日コールでの Brian Campbell の反対意見を受けて、ML 上で明示的に方向性選択肢を提示。Option 2(ID Token 利用方法変更と sender-constrained 機構追加を伴う破壊的リビジョン)を推奨しつつ、Option 1(現状の 2nd Implementer's Draft を Final に進行)も残す姿勢を示した。George の主張は「複数ベンダーと RP で既に実装が存在する現状を踏まえ、OpenID Foundation は guidance を提供すべき」という実務的立場。

TADR ドラフトのピアレビュー依頼

Peer review request: TADR draft - 2025-10-23 / Rahul Khanna / 3通

CA/B Forum の TLS 証明書寿命短縮(2029年までに47日)を受けた、新規の Trust Anchor Distribution & Rotation 仕様提案。trust_anchor_uri Discovery パラメータ、JSON スキーマ、Node.js / Python 参照実装を含む Draft 00 が公開された。Connect WG 内での本格議論は翌月以降に持ち越された形だが、短命証明書時代への OIDC エコシステム適応という重要論点の提起として記録される。

OpenID Foundation Notes & Recordings Policy

New OpenID Foundation Notes & Recordings Policy - 2025-10-09 / Mike Leszcz

2025年9月11日にボード承認、10月9日に全 WG/CG 共同議長へ通達された新ポリシーの ML 転送。AI 文字起こしボット・自動文字起こしサービスの WG ミーティングへの参加禁止を規定。AuthZEN など他 WG でも同日付で ML に転送されている OIDF 横断の運営変更。

5. GitHub 上の議論

Connect WG が管理する主要リポジトリでの10月活動:

openid/federation — 10件のマージ

§2「Federation リポジトリでのマージ済み PR」参照。Roland Hedberg(rohe)中心のエディタ作業と、Mike Jones(selfissued)によるスウェーデン政府機能実装(PR #259)、zachmann による Trust Mark Status 表現修正(PR #272)が主軸。

特に PR #259 Must-have feature requests for Swedish government は Draft 44 の技術的中心であり、スウェーデン政府側の既存システム変更制約を回避する extension points を追加した。

openid/connect — 継続的なメンテナンス

個別 Issue の継続的議論が行われた。10月2日コールで言及された主要 Issue:

  • Issue #1125: EdDSA ID Token に対するハッシュアルゴリズム規定(Filip Skokan が文書化予定)
  • Issue #2183: セッション管理パラメータサイズ制限(FAPI の state 長ガイダンス参照)

dickhardt/openid-key-binding — Key Binding の暫定リポジトリ

Dick Hardt 個人リポジトリ(https://github.com/dickhardt/openid-key-binding)で改訂版 Key Binding ドラフトが公開されている状態で採択に至った。10月9日採択後、Dick と Ethan が openid/ 配下の新規リポジトリを作成して -00 ドラフトを移植する方針が確認された(10月30日コールで移行時の Issue 欠落問題が指摘されている)。

6. 関連イベント

IIW 41 — Internet Identity Workshop XLI(2025年10月21〜23日)

カリフォルニア州 Mountain View の Computer History Museum で開催。参加者287名。AI・Verifiable Credentials・プライバシーが支配的議題となった。Connect WG 側での10月30日報告(§3参照)では、Delegation Authorization の未発達Consent モデルの近代化必要性 という2つのエコシステムギャップが認識された。

OpenID Workshop @ Cisco(2025年10月20日)

IIW 直前の月曜日、Cisco 本社(Mountain View)でハイブリッド形式で開催された OpenID Workshop。Connect WG メンバーも参加。

DCP WG 対面会議(2025年10月20日午前・10月24日)

OpenID Workshop 前後に開催された Digital Credentials Protocols (DCP) WG の対面会議。10月の Connect WG アジェンダでも継続的に周知された。

IETF 124 Montreal 前の準備(11月1〜7日開催)

10月20日が IETF submission cutoff であり、Federation Draft 44 および関連 IETF ドラフト(OAuth / JOSE 系)の更新が集中。Connect WG メンバー複数が参加予定を表明し、10月27日・30日コールで最終準備が確認された。

新しい Notes & Recordings Policy 発効(2025年10月9日)

2025年9月11日ボード承認の新ポリシーが、10月9日に全 WG/CG 共同議長へ通達。AI 文字起こしボットの WG コール参加を禁止する運営ポリシー。

7. 今後の予定(2025年10月末時点)

10月末時点で Connect WG が見据えていた次月以降の予定:

  • IETF 124 Montreal(11月1〜7日): Connect WG メンバー複数参加
  • Federation WGLC 開始: 11月中を目処に、Draft 45 / WGLC → 60日間 Public Review → 承認投票のパスへ
  • Native SSO for Mobile Apps: Brian Campbell の反対意見への対応として George Fletcher が ML フィードバック募集、Option 1(現状 Final 進行)/ Option 2(破壊的リビジョン)の選択をコミュニティに諮る
  • Key Binding: openid/ 配下への新規リポジトリ作成、-00 ドラフト移植、旧リポジトリからの Issue 移行完了
  • Ephemeral Subject Identifier: -01 ドラフト公開
  • TADR: コミュニティピアレビュー継続、Connect WG での正式議題化検討
  • Federation 1.0 分割計画: 60日間レビュー開始後、Federation 仕様を「コア」と「プロトコル固有部分」に分割(バージョン 1.1 以降で意味的変更なし・編集のみ)する長期計画が共有済み

8. 参考情報源