idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2025年12月)

執筆日: 2026-04-20(遡及執筆)

AB/Connect Working Group(旧称 Artifact Binding / Connect WG)は、OpenID Connect コアファミリーおよび OpenID Federation を含む各種仕様の策定・管理を担う OpenID Foundation の主要 WG である。2025年12月は OpenID Federation 1.0 の最終仕様化に向けた 60 日間の公開レビュー開始が最大のトピックとなり、週次コール 4 回の開催とともに複数の新仕様採択プロセスが同時進行した。

公開された仕様・ドラフト改訂

OpenID Federation 1.0 — 60 日間公開レビュー開始

12月4日、WG チェアの Michael Jones が Draft 46 を「60 日間の公開レビュー段階(OpenID Foundation 全会員対象)」に進めることを宣言した。前段階の Working Group Last Call (WGLC) では Draft 45 に対する多数のフィードバックが寄せられ、「多数の明確化と編集上の改善」が Draft 46 に反映された。

"Almost there!" — Michael Jones(2025-12-04 ML投稿より)

60 日間レビュー期間は 2026年2月2日に終了し、その後 2026年2月3〜17日に最終仕様化に向けた会員投票が行われる予定とされた。

OpenID Connect RP Metadata Choices 1.0 — WGLC 開始

12月18日の WG コールを受けて同日 Michael Jones が WG Last Call を開始した。レビュー期間は 2026年1月8日まで。

OpenID Federation 1.0 が RP Metadata Choices を規範的に参照(normative dependency)しているため、Federation の Final Specification 化と足並みを揃える形での最終化が目標。当該仕様は GitHub 上に未解決の issue・PR がない状態であることが Jones によって確認された。

OpenID Federation 関連拡張仕様の進捗

  • OpenID Federation Subordinate Listing 1.0(12月8日): Giuseppe と Michael Jones が共同でドラフトを完成させ、WG 採択を要請。OpenID Federation 1.0 の Extension として位置づけ。
  • OpenID Federation Subordinate Events Endpoint 1.0(12月18日): peppelinux(Giuseppe De Marco)が個人リポジトリで管理していた仕様を正式に WG 採択へ提案。3週間の採択コール(締切: 2026年1月8日)。

ミーティングと議論

12月4日 WG コール(議長: Mike Jones、参加者 13 名)

参加者: Mike Jones, Andy Barlow, Bruno Sousa, Marcus Almgren, Roland Hedberg, George Fletcher, Joe DeCock, Chris Phillips, Andrii Deinega, Aaron Parecki, Filip Skokan ほか

Code of Conduct 問題への対処

冒頭で Code of Conduct(行動規範)違反 2 件が報告された。Brian Campbell に対し 12月2〜31日の 30 日間活動停止が通知されたほか、Dick Hardt がメーリングリスト上で謝罪メールを送付済みであることが確認された。執行部は CoC 手続きの改善を約束した。

OpenID Federation 1.0 の WGLC 完了と公開レビュー移行

2週間の WGLC が終了し、参加者の合意のもと 60 日間の Foundation-wide 公開レビューへ移行する決定がなされた。5件の保留 PR(編集上の更新・明確化)はこの場でマージが承認された。

認証テストスイート稼働開始

Entity Statement の不変条件テストを対象とした認証テストスイートが本月稼働開始した。

Native SSO の DPoP バインディング

Native SSO for Mobile Apps の device_secret に DPoP バインディングを追加するかどうかについて議論し、現時点では「オプション」扱いとする方針を確認した。

今後の予定

  • 2026年2月9〜13日: OpenID Federation 相互運用性イベント(アムステルダム、SURF/GARR 主催)
  • 12月25日・1月1日の週はコール休止、次回は 2026年1月5日

12月11日 WG コール(参加者 13 名以上)

参加者: Mike Jones, Frederik Krogsdal Jacobsen, Nat Sakimura, Gabriel Zachmann, Dick Hardt, Bruno Sousa, Andy Barlow, Lukasz Jaromin, Andrii Deinega, Steven V., George Fletcher, Filip Skokan, Joe DeCock

Internet2 カンファレンス報告

デンバーで開催された Internet2 カンファレンスで OpenID Federation に関する活発な議論があったことが報告された。Shibboleth 開発者たちが OpenID Connect と Federation の統合に強い関心を示したとされた。

Redirect 許可議論(Federation エンティティ設定取得時)

Dick Hardt がメールで提起していた「.well-known ファイル取得時のリダイレクト許可」について、コール内でも議論が継続された。

  • 賛成側(Dick Hardt): メール検証プロトコル(EVP)では eTLD+1 ドメインでの Issuer 運用が求められるため、リダイレクトによる柔軟な配信が実用的
  • 慎重側(George Fletcher): WebFinger でも類似の問題があり、Issuer 発見メカニズムによってリダイレクトの必要性が変わる

コール後に Dick Hardt はメーリングリストで方針変更を報告し、EVP では「Identifier が eTLD+1 である必要はなく、リダイレクトも不要」とする方向へ転換した(12月14日投稿)。

Federation 1.1 作業の着手

Mike Jones が Connect 固有コンポーネントと OAuth 固有コンポーネントを独立した仕様へ分離する作業を開始していることを報告。Filip Skokan は JWT の crit クレームを別仕様として抽出し、より広い適用可能性を確保するよう要望した。

その他の議題

仕様状況
Subordinate ListingGiuseppe・Mike がドラフト完成、次週コールまでにフィードバック要請
Entity Collection (Gabriel Zachmann 提案)Federation ツリーの OP 選択用クエリ仕様。Subordinate Listing との重複懸念を議論
Native SSO — DPoPGeorge Fletcher が device_secret への DPoP 保護を検討中
Key BindingEthan がリフレッシュトークンサポートを追加中; Dick が早期検証向けに実装
Ephemeral Subject IdentifierMike が近く Final Specification 化を提案する可能性を示唆
Claims AggregationNat が Implementer's Draft 昇格を提案。実質的なコメントがなければ移行へ

12月18日 WG コール(参加者 9 名)

参加者: Mike Jones, Frederik Krogsdal Jacobsen, Bruno Sousa, Phil Smart, Andrii Deinega, Chris Phillips, George Fletcher, Dima Postnikov, Dick Hardt

RP Metadata Choices の WGLC 決定

未解決の issue・PR がないにもかかわらず最終化されていなかった RP Metadata Choices 仕様について、Mike Jones が WGLC 開始を提案。満場一致で合意された。

Entity Configuration Endpoint のリダイレクト許可問題(Issue #316)

Shibboleth メンテナーが Entity Configuration Endpoint でのリダイレクトを許可するよう要望した Issue #316 が議題に上がった。

  • 賛成側: 「エンティティ設定はすでに署名済みであり、リダイレクトによる最適化は問題ない」
  • 反対側(Frederik Krogsdal Jacobsen, Dick Hardt): 「リダイレクトを許可すると実装者が設定の複雑さに苦労し、相互運用性の問題が生じる」
  • Phil Smart: 「エンティティ識別子を安定させたまま配信場所を変更できる点が主なユースケース」

即時解決は見送られ、参加者各自が GitHub issue に詳細意見を投稿する方針とした。

Federation 拡張仕様の処理

  • Subordinate Listing: 3週間の採択コール開始
  • Entity Collection: コミュニティレビューを Gabriel Zachmann が要請
  • JWT 有効期限クレームの Signed JWKS URI 仕様における扱いについて議論

メーリングリストの主要スレッド

OIDC use in SBOM — 2025-12-03 開始

開始者: Nat Sakimura
参加者: Andrii Deinega, George Fletcher, Ethan Heilman

Sakimura がソフトウェア部品表(SBOM)の文脈での OIDC 活用に関するパネル準備を機に、Sigstore のアーキテクチャを解説した投稿。Sigstore は OIDC を用いて GitHub/Google/Microsoft 等の IdP にて認証を行い、短命 X.509 証明書をエフェメラル鍵に紐付けて発行する Fulcio CA と、透明性ログ Rekor によるキーレス署名を実現している。OIDC が「アイデンティティを供給し、Fulcio がそのアイデンティティを短命証明書に変換する」構造であることが論点となった。

スレッドは Ethan Heilman ら署名・サプライチェーンセキュリティの実践者を交えた技術的な討議へと発展した。

Normative Changes to OpenID Federation 1.0 between ID4 and WGLC — 2025-12-03

投稿者: Michael Jones

Implementer's Draft 4(セキュリティ評価に使用された版)から WGLC 版までの規範的変更点をまとめた文書を添付配布。実装者が既存実装を当該文書と照合してアップデートを特定できるよう求める内容。第二回セキュリティ分析への情報提供も目的の一つとしている。

Finishing the OpenID Federation 1.0 Specification — 2025-12-04

投稿者: Michael Jones

Draft 46 が 60 日間レビューの対象となることを報告。WGLC フィードバックによる多数の明確化・編集改善を取り込んだものが Draft 46 であり、すべての変更は Document History 節に記録されている。Jones は自身のブログおよび X/LinkedIn にも同内容をクロスポストした。

redirects fetching .well-known files — changed plan for EVP — 2025-12-14

投稿者: Dick Hardt
参加者: George Fletcher, Michael Jones

Email Verification Protocol (EVP) における設計方針の転換を告知したスレッド。当初は Issuer を eTLD+1 レベルで運用する必要があり、リダイレクトが運用上の課題を解消する手段として検討されていた。しかし、eTLD+1 要件は現行の開発中プロトコルにとって必須ではないという結論に至り、「.well-known ファイル取得時のリダイレクトをサポートしない」方針へ転換した。リダイレクトを支持していたステークホルダーには改めてユースケースを提示するよう求めた。

Eclipse Decentralized Claims Protocol and Self-issued ID Token — 2025-12-16

投稿者: Nat Sakimura

2025年11月12日に公開された Eclipse Dataspace Components の Decentralized Claims Protocol (DCP) v1.0 を紹介したスレッド。EU データスペースおよび国際データスペース協会(IDSA)の文脈で重要性が増す仕様であり、特に「Self-issued ID Token」の採用が注目点とされた。WG メンバーへの「年末の技術的読み物」として提案された。

Working Group Last Call for OpenID Connect RP Metadata Choices — 2025-12-18

投稿者: Michael Jones

RP Metadata Choices 1.0 の最終化に向けた WGLC を正式に開始したアナウンス。期間は 2026年1月8日(木)まで。OpenID Federation が同仕様に規範的依存を持つため、Federation の Final Specification 化と足並みを揃えることが主要な動機。現行ドラフト(-03)は GitHub 上で未解決の issue・PR がない状態。

Call for Adoption of the OpenID Federation Subordinate Events Endpoint Specification — 2025-12-18

投稿者: Michael Jones

peppelinux(Giuseppe De Marco)が開発した OpenID Federation Subordinate Events Endpoint 1.0 の WG 採択コールを開始。期間は 2026年1月8日まで。仕様はフェデレーションにおけるサブオーディネートへの通知メカニズム(イベントエンドポイント)を定義する。WG メンバーは採否とその理由を全員返信で回答するよう求められた。

GitHub 上の議論

AB/Connect WG の主要リポジトリ(openid/connect)は非公開のため、公開されているスレッドおよびコール議事録から再構成した議論を記載する。

Entity Configuration Endpoint redirect — Issue #316

12月18日コール内で活発に議論された課題。Shibboleth メンテナーが提起した「エンティティ識別子を安定させつつ、Federation Endpoint の実際の配信場所を変更できるようにしたい」というユースケースに対し、実装の複雑化による相互運用性低下のリスクを懸念する意見が対立した。コール参加者は GitHub issue に詳細意見を投稿する宿題を持ち帰った。

関連イベント

Internet2 カンファレンス(デンバー、2025年12月)

12月11日コール内で報告。OpenID Federation に関する実質的な議論が行われ、Shibboleth 開発者から OpenID Connect・Federation サポートへの強い関心が示された。大学・研究機関ネットワーク(R&E セクター)での Federation 採用機運の高まりを示す動向として注目された。

apidays Paris

Dick Hardt が OpenID Provider Commands に関する発表を行った。認証と認可、ID トークンとアクセストークンの混同が業界で依然として続いているという観察が報告された。

OpenID Federation 相互運用性イベント(予告)

2026年2月9〜13日にアムステルダムで開催予定。SURF(オランダ)と GARR(イタリア)が主催する TIIME Unconference と連動。

今後の予定(2025年12月末時点での見通し)

  • 2026年1月5日・8日: 年始の WG コール(例年の年末休止後の再開)
  • 2026年1月8日: RP Metadata Choices WGLC 締切 / Subordinate Events Endpoint 採択コール締切
  • 2026年2月2日: OpenID Federation 1.0 60 日間公開レビュー終了
  • 2026年2月3〜17日: OpenID Federation 1.0 最終仕様化に向けた会員投票
  • 2026年2月9〜13日: OpenID Federation 相互運用性イベント(アムステルダム)
  • 2026年2月26日: OpenID4VP・OpenID4VCI・HAIP の自己認証プログラム開始

参考情報源