OpenID Foundation AB/Connect WG 活動レポート (2025年11月)

本稿は 2026-04-23 に遡及執筆したレポートです。対象期間は 2025 年 11 月（2025-11-01〜2025-11-30）です。

AB/Connect Working Group（旧称 Artifact Binding WG と OpenID Connect WG の合同体）は、OpenID Connect 仕様ファミリーおよび OpenID Federation の策定を担う中核 WG です。2025 年 11 月は OpenID Federation 1.0 の Working Group Last Call（WGLC）開始が最大のトピックとなった月でした。また Native SSO for Mobile Apps 仕様の今後の方向性に関する議論が活発化し、ID トークンのメディアタイプ付与という新たなセキュリティ提案も提起されました。

---

公開された仕様・ドラフト改訂

OpenID Federation 1.0 — Working Group Last Call 開始

11 月 20 日の WG コールで、エディタ陣が「ファイナル化の準備が整った」と表明し、参加者から異論なく Working Group Last Call の開始が決定されました。翌 11 月 21 日に Michael Jones がメーリングリストへ正式告知を投稿し、WGLC 期間を 2025-11-21〜2025-12-04（2 週間）に設定しました。

審査対象バージョンは draft-45 (openid-federation-1_0-45.html) です。実装者・デプロイ済み組織に対して全文精読と問題があれば「具体的な修正提案を添えてフィードバックすること」が求められました。この WGLC 完了後、12 月 4 日から 60 日間の公開レビュー期間へ移行する計画でした。

OpenID Connect Ephemeral Subject Identifier — Draft 更新

11 月中に 2 件のプルリクエストがマージされ、Ephemeral Subject Identifier 仕様の Draft が更新されました。11 月 24 日の WG コールで Nat Sakimura が更新版 Draft の公開を担当することが確認されています。

この仕様は「単一認証セッション中のみ有効な短命の Subject Identifier」を定義するもので、ユーザーの相関追跡を防止することで ISO/IEC 27551 の Unlinkability Level 3A+ 達成に寄与します。

OpenID Connect Key Binding — 公開

11 月 13 日の WG コール内で、OpenID Connect Key Binding 仕様が公開済みである旨が確認されました（詳細バージョンは未公表）。

---

ミーティングと議論

11 月は 4 回の WG コールが予定され、うち 3 回が実質的な議論を行いました。

2025-11-10 コール — 定足数不足で流会

参加者が 3 名のみであったため、13 分で終了。議事は成立せず、すべての議題は次回コール以降へ持ち越されました。

2025-11-13 コール（参加者 8 名）

参加者: Mike Jones, Brian Campbell, Aaron Parecki, Chris Phillips, Łukasz Jaromin, Joe DeCock, Filip Skokan, Andrew Barlow

IETF 124 モントリオール 報告

Brian Campbell が RFC 7523BIS の進捗を報告。「明示的な型付け義務ではなくヒントとしての型付け（hints at typing）」という方針と、ベースラインの認可グラントに焦点を絞ることが確認されました。Aaron Parecki は SCIM セッションで AI エンティティのプロビジョニング・デプロビジョニングの提案があったことに言及しました。

OpenID Federation 1.0 タイムライン

Mike Jones が「1 週間後をめどにファイナル提案の予定。その後 WGLC を実施する」と説明。1.0 向けプルリクエストは速やかに提出するよう要請されました。また 60 日間レビュー開始後、フェデレーション仕様をコアとプロトコル固有部分に分割する計画（バージョン 1.1 以降で意味的変更なし・編集のみ）が共有されました。

トラストアンカーの鍵管理（Issue #100 / PR #282）

Chris Phillips が、トラストアンカーが複数鍵を持てるかどうかを懸念事項として提起。WG は「JWK Sets として複数鍵を許容している」と確認しつつ、文言の明確化が必要と判断。Chris Phillips が文言を確認して必要であれば追加テキストを提案することになりました。PR #282 は信頼アンカーの混乱を解消する内容で、Issue #100 に対応するものです。

ID トークンのメディアタイプ（Issue #2185）

Gabriel Corona が提起した「ID トークンへのメディアタイプ追加」について、破壊的変更（breaking change）となる要件付き必須化がセマンティックバージョニングの観点と整合するかどうかで議論されましたが、コール内での合意には至りませんでした。

2025-11-20 コール（参加者 14 名）

参加者: Mike Jones, Frederik Krogsdal Jacobsen, Chris Phillips, Joe DeCock, Roland Hedberg, John O'Leary, Filip Skokan, Pam Dingle, Łukasz Jaromin, Aaron Parecki, George Fletcher, Samuel Rinnetmäki, Stefan Santesson, Rachel O'Connell

OpenID Federation 1.0 ファイナル化決定

Mike Jones が「エディタ陣として今こそ 2 週間の Working Group Last Call を開始すべき時期と考える」と述べ、出席者から異論なし。WGLC 開始が正式に決定されました。

トラストアンカーの信頼チェーン登録（任意要件の確認）

リライングパーティが登録時に任意でトラストチェーンを渡すことができ、オペレータがそれを無視しても問題ないことが確認されました（必須ではない）。

Issue #290: トラストマーク失効理由（Trust Mark Revocation Reasons）

失効理由のコード体系を広範な粒度ではなく、過去の鍵失効アプローチを参考にした限定的なセットで定義する提案が議論されました。

Issue #288: Client ID 構文の統一

OAuth と OpenID Connect にまたがる統一的な Client ID フォーマットについて活発な討議が行われました。他仕様との互換性制約があるものの、Federation と VP は偶然にも互換性があることが確認されました。「他仕様が互換性の制約を生んでいる」という認識で議論は一旦区切られました。

Native SSO for Mobile Apps

George Fletcher が、Vladimir Dzhuvinov の要請（Option 2: DPoP を含む大規模更新）への返答をメーリングリストで行う予定であると表明しました。

2025-11-24 コール（参加者 3 名）

参加者: Michael Jones（共同議長）, Nat Sakimura（共同議長）, Chris Phillips

少人数ながら複数の具体的決定が行われました。

JWT クレームレジストリのレビュー

OpenID Federation 仕様が WGLC 中であるため、提案された JWT クレーム登録について IANA 指定専門家レビューが必要と確認。Nat Sakimura がレビューと承認（または問題点の指摘）を担当することになりました。

Issue #290: 失効理由コードと Mermaid 図

RFC 5280 の鍵失効理由コードとの整合性が再確認されました。Chris Phillips が「明確な失効理由コードは監視ツールや自動アラートの実装に実用的な価値がある」と指摘し、RFC 5280 が "unspecified" 理由を明示的に含めない設計を採用している点に倣うべきと主張。Michael Jones はこれに同意し、変更案をドラフトすることを約束しました。

また Chris Phillips が Issue #290 の GitHub ページに Mermaid 図（失効理由コードのフロー例）を追加し、ML で共有しました。

Issue #295: 編集上のクリーンアップ

Michael Jones が仕様内の Section 4 への冗長な参照を複数箇所で発見し、翌日中にプルリクエストを作成する予定を表明しました。

---

メーリングリストの主要スレッド

Issue #2185: ID tokens should have an associated Media Type — 2025-11-03 開始

提起者: Gabriel Corona

問題提起: アクセストークン（application/at+jwt）、認可グラント JWT 等、主要な JWT ベーストークンには標準メディアタイプが存在するが、ID トークンには存在しない。この欠如により typ ヘッダーフィールドの検証が定義されておらず、実質的にトークン混同攻撃（token confusion attack）を防ぐための型検証が機能しないという問題が生じている。

提案: ID トークン向けの標準メディアタイプを定義することで typ ヘッダーの検証を可能にする。

WG での議論: 11 月 13 日のコールでは「必須化すれば破壊的変更になる」という懸念が示され、セマンティックバージョニングとの整合性が問われた。コール内では合意に至らず継続議題となりました。

---

Next steps for the Native SSO for Mobile Apps specification — 2025-11-11 開始

提起者: Vladimir Dzhuvinov（Connect2id）

背景: Native SSO for Mobile Apps の第 2 Implementer's Draft は承認済みで、複数の SaaS IdP およびリライングパーティが既に実装・本番稼働中。Nimbus OIDC SDK でも本番使用中。

選択肢の提示（George Fletcher）:

• Option 1: 現状のドラフトをそのままファイナルへ
• Option 2: DPoP バインディング等を含む大幅更新（破壊的変更を任意拡張として回避可能）
• Option 3: 仕様の放棄

Vladimir Dzhuvinov の立場（Option 2 支持）:

• ID トークンをトークン交換で任意化（RFC 8693 との兼ね合いで技術的課題あり）
• DPoP による device_secret バインディングを「最も重要なセキュリティ強化」と評価。OAuth WG からの DPoP のトークン交換への適用ガイダンスに沿った実装を自社で進めている旨を報告

結論: 11 月 20 日コールで George Fletcher が ML を通じた返答を約束。正式な方向性は次月以降への持ち越し。

---

Working Group Last Call for OpenID Federation 1.0 — 2025-11-21 開始

発信者: Michael Jones

内容: OpenID Federation 1.0 の Working Group Last Call を 2025-11-21 に開始、期限は 2025-12-04 の 2 週間。審査バージョンは draft-45。実装者に対して全仕様の確認と、問題がある場合は具体的修正提案を含むフィードバックの提出を要請。問題がなければ「変更不要」の旨の肯定的返答も可。

---

Apology to the Working Group — 2025-11-25 開始

発信者: Dick Hardt

内容: 10 月 3 日に WG メーリングリストへ送信したメールが「揶揄的かつ非専門的な表現を含み、行動規範に違反していた」として謝罪。WG 参加者に対して不快感を与えたことを遺憾とし、安全で尊重ある環境の維持を再確約しました。

---

GitHub 上の議論

AB/Connect WG の主要 GitHub リポジトリ（openid/connect）は非公開のため、個別 issue/PR の詳細は直接確認できません。ただし、WG コールの議事録およびメーリングリストから、以下の issue/PR が 11 月中に活動していたことが確認されています。

• Issue #100 / PR #282 — トラストアンカーの混乱（trust anchor confusion）を解消。11 月 13 日コールで PR #282 が対応策として取り上げられた
• Issue #288 — Client ID 構文の OAuth/OpenID Connect にまたがる統一フォーマット。11 月 20 日コールで広範な議論が行われた
• Issue #290 — フェデレーション鍵のトラストマーク失効理由コード。RFC 5280 との整合性を検討。11 月 24 日コールで具体的な変更案のドラフトが決定
• Issue #295 — 仕様内 Section 4 への冗長参照を削除する編集上のクリーンアップ

---

関連イベント

• IETF 124 モントリオール（2025 年 11 月） — Brian Campbell が RFC 7523BIS の進捗と SCIM セッションでの AI エンティティ・プロビジョニング議論を WG に報告しました
• OIDF: HAIP 1.0 相互運用性実証（2025-11-26 発表） — OpenID Foundation が OpenID4VP 1.0 および OpenID4VCI 1.0 との High Assurance Interoperability Profile (HAIP) の相互運用テスト成功を発表。AB/Connect WG の直接の成果ではないが、関連するエコシステムの動向として注目
• Bloomberg の OIDF 加盟と AuthZEN 向け資金提供（2025-11-25 発表） — Bloomberg が OpenID Foundation の新メンバーとして参加し、AuthZEN WG への集中支援を表明

---

今後の予定

2025 年 11 月末時点での予定:

• OpenID Federation 1.0 WGLC 完了（2025-12-04 期限）後、60 日間の公開レビュー期間へ移行し、2026 年初頭に OIDF 会員投票へ進む予定
• Native SSO for Mobile Apps — George Fletcher が Option 2（DPoP 含む大幅更新）を含む選択肢についてメーリングリストへ返答予定
• Ephemeral Subject Identifier — Nat Sakimura が更新版 Draft を公開予定
• Issue #290（失効理由コード） — Michael Jones が RFC 5280 準拠の変更案プルリクエストを作成予定
• OpenID Federation ポスト 1.0 計画 — 1.0 公開後に仕様をコアとプロトコル固有部分に分離する 1.1 向け作業を開始予定
• TIIME OpenID Federation ワークショップ — 2026-02-09〜13 にアムステルダムで開催予定（相互運用イベント含む）

---

参考情報源

• openid-specs-ab 2025-November アーカイブ — 本月の全 ML スレッド一覧
• Issue #2185: ID tokens should have an associated Media Type — Gabriel Corona による提案、2025-11-03
• Next steps for the Native SSO for Mobile Apps specification — Vladimir Dzhuvinov、2025-11-03
• Proposed agenda for 13-Nov-25 Connect WG call — Michael Jones による議題提案
• Meeting notes 2025-11-13 (Part 1) — Chris Phillips による議事録
• Meeting notes 2025-11-13 (Part 2) — Chris Phillips による議事録（続き）
• Working Group Last Call for OpenID Federation 1.0 — Michael Jones、2025-11-21
• Minutes from 2025-11-20 Connect WG Call — Frederik Krogsdal Jacobsen
• Meeting Notes 2025-11-24 — Nat Sakimura
• Apology to the Working Group — Dick Hardt、2025-11-27
• Public Review Period for Proposed OpenID Federation 1.0 Final Specification — openid.net（12 月 4 日開始の公開レビュー告知）
• AB/Connect WG Specifications — 現行仕様一覧
• OpenID Connect Ephemeral Subject Identifier 1.0 - Draft 01 — openid.net