idbok

Appearance

OpenID Foundation AB/Connect WG 活動レポート (2026年4月)

執筆日: 2026-05-17(2026 年 4 月の活動を遡及してまとめたレポートです)

1. 概要

AB/Connect Working Group(AB/Connect WG)は、OpenID Connect 仕様群および OpenID Federation 系仕様を策定する OpenID Foundation 最古参の WG である。Michael B. Jones、Nat Sakimura、John Bradley の三名が長らく共同議長を務めてきた。

2026 年 4 月は WG にとってガバナンス面・仕様策定面の双方で動きの多い月となった。

  • ガバナンス面では、John Bradley が WG コールとの恒常的なスケジュール衝突により共同議長交代を受け入れる旨が 4 月 2 日コール議題で表明され(「John has recurring conflicts with our calls and is OK being replaced as a co-chair」)、後任候補として Frederik Krogsdal Jacobsen の自薦 が ML 上で議論された。月後半の WG コール議題では Jacobsen がアジェンダ起案者として登場しており、運用レベルでの引継ぎが進んだことが確認できる。
  • 仕様策定面では、3 月から継続している OpenID Federation 1.1 / OpenID Federation for OpenID Connect 1.1 の 60 日公開レビューが 4 月 18 日に終了し、4 月 21 日からメンバー投票期間に入った。あわせて OpenID Connect Ephemeral Subject Identifier 1.0 が draft 02 公開を経て Working Group Last Call(WGLC, 4 月 12 日〜26 日)に投入された。
  • 新規仕様の取り込みとして、Geant Trust & Identity Incubator の Gabriel Zachmann が起案した OpenID Federation Entity Collection 1.0 の WG 採択コール(〜4 月 13 日)が成立し、4 月 23 日のコールでは「authors は WG draft を提出してほしい」というステータスに移行している。
  • 議論ベースでは、Issue #2189「Claims aggregation trust model」を巡り Nat Sakimura が提示した OP 主体の信頼モデルが 4 月 9 日コールで「a reasonable model」として受け止められた。
  • 並行して openid/connect-key-binding リポジトリでは PR #5(Token Refresh)と PR #9(Device Flow Examples)が同日 4 月 13 日にマージ され、Key Binding 1.0 ドラフトの章立てが大きく前進した。
  • ML アーカイブの収録件数は 38 件、4 月 27 日開催の OpenID Workshop と 4 月 28 〜 30 日開催の Internet Identity Workshop(IIW)の影響で、4 月 27 日(Pacific 時間、対応する Asia-Pacific 向け 4 月 28 日 8AM JST 枠)と 4 月 30 日の Connect WG コールがそれぞれ中止された。

2. 公開された仕様・ドラフト改訂

OpenID Connect Ephemeral Subject Identifier 1.0 — draft 02 公開と WGLC 開始

Michael Jones は 4 月 2 日、openid/connect-ephemeral-sub リポジトリの編集者に対して openid.net 上のドラフト本文が直近の修正で更新されていない点を指摘し、Working Group Last Call を開始したいため draft 02 を公開してほしいと要請した(ML #011270)。

draft 02 公開後、Jones は同日中に WGLC(Working Group Last Call) を発出した(ML #011275)。WGLC は 2 週間の期間で、終了予定は 2026 年 4 月 26 日(木) とされた。フィードバックは ML への返信または GitHub issue で受け付けるとアナウンスされている。WGLC は Implementer's Draft 化(次工程)に向けて WG として仕様内容に最終合意があるか確認するゲートで、AB/Connect の他仕様でも標準的に踏まれているプロセスである。

WGLC 期間中の GitHub では以下の issue が処理された:

  • openid/connect-ephemeral-sub#11 - Fix list in rendered version(4 月 14 日クローズ、fkj 報告)。openid.net 公開版で箇条書きが正しくレンダリングされない事象。GitHub 上では正しく見える一方、配布時にフォーマット崩れがあった
  • openid/connect-ephemeral-sub#9 - Create and publish draft 02(4 月 2 日クローズ、selfissued)。draft 02 公開タスク自体
  • openid/connect-ephemeral-sub#7 - Do we need collision normative language?(4 月 1 日クローズ、0xandybarlow)

WGLC 期間中、4 月 13 日コール・4 月 16 日コールの双方で「Ephemeral Subject Identifier は WGLC 中、open issue 4〜5 件」とトラッキングされている。

OpenID Federation 1.1 / OpenID Federation for OpenID Connect 1.1 — 公開レビュー終了、投票開始

2 月 17 日から開始されていた 60 日間公開レビューが 4 月 18 日に終了 し、続いて 4 月 15 日に Notice of Vote to Approve Proposed OpenID Federation 1.1 Final Specifications が発出された。投票期間は 2026 年 4 月 21 日(火)〜 5 月 5 日(火)の 14 日間。Final Specification として承認された場合、本仕様は実装者への IP 保護が確定し、これ以上の改訂を受けない安定版となる。

両仕様は OpenID Federation 1.0 をプロトコル非依存基盤(OpenID Federation 1.1)と OpenID Connect / OAuth 2.0 固有部分(OpenID Federation for OpenID Connect 1.1)に分割したもので、機能の追加・削除は伴わない。投票自体は 5 月期間にまたがるため、4 月内には結果は確定していない(補足: 5 月 5 日に投票終了、5 月 6 日に Final 承認のアナウンスが OpenID Foundation から発出されている)。

OpenID Federation Entity Collection 1.0 — WG 採択コール成立

Eduardo Perottoni は 4 月 1 日、Gabriel Zachmann(Geant Trust & Identity Incubator)が起案した OpenID Federation Entity Collection 1.0 の WG 採択コール開始を ML に投稿した(ML #011260)。本仕様は OpenID Federation 1.0 の拡張として、(サブ)フェデレーション内の resolvable な全エンティティを取得するためのフィルタ可能な追加 federation endpoint を定義する。Perottoni はこれを「フェデレーションを横断するトップダウン discovery」と位置付けている。

コール期間は 2 週間(〜4 月 13 日)。4 月 23 日コール時点の議題ステータスでは「call for adoption was successful(採択コール成立)。authors は WG draft を提出してほしい」と進展が記録されており、WG 公式アイテム化された。

採択後の openid/federation-entity-collection リポジトリでは 4 月 23 日に cicnavi(Marko Ivančić)が一気に 14 件の issue(#30 〜 #43)を起票し、4 月末時点で 5 件(#30, #33, #35, #36, #38)が open のまま残った。論点には trust_mark_type を巡る Security Considerations の矛盾、trust_anchor パラメータ記述の曖昧さ、エンティティ並び順パラメータの追加、認証なしクライアント向け HTTP POST 許容などが含まれ、初期レビュー由来の論点が一気に表面化している。

Key Binding 1.0 — 章立て進展(Token Refresh / Device Flow)

openid/connect-key-binding リポジトリでは、Ethan Heilman(EthanHeilman)の 2 件の PR が 2026 年 4 月 13 日に同日マージされた:

詳細は §5「GitHub 上の議論」を参照。両 PR のマージにより、Key Binding 1.0 ドラフトには Token Refresh 章と Device Flow 章および非規範例が追加され、ドラフト全体の章立てがほぼ揃った形となった。

3. ミーティングと議論

AB/Connect WG は通常、隔週火曜(Pacific コール)および毎週木曜(Atlantic コール)に定例コールを開催している。AB/Connect の議事録は ML 公開アーカイブには本文として残らない(添付 Markdown ファイルでの配布)が、Joe DeCock(Duende Software)が複数回分の議事録投稿を行っており、各コールの開催実績は ML から確認できる。

開催日種別状態議事録投稿者
4 月 2 日Atlantic コール開催Joe DeCock(ML #011269
4 月 9 日Atlantic コール開催Joe DeCock(ML #011285
4 月 13 日Pacific コール開催Michael Jones(議事録は agenda メールに同梱、ML #011287
4 月 16 日Atlantic コール開催Joe DeCock(ML #011291
4 月 23 日Atlantic コール開催Joe DeCock(ML #011293
4 月 27 日 (Pacific 時間)Pacific コール中止(OpenID Workshop 当日開催のため)
4 月 30 日Atlantic コール中止(IIW 開催のため)

4 月 2 日コール(議事録 ML #011269、Atlantic)

Michael Jones が事前アジェンダ(ML #011267)で提示した議題:

  • 共同議長交代: John Bradley が WG コールとの恒常的な衝突により交代を受諾、Frederik Krogsdal Jacobsen を後任に検討
  • Bitbucket の Issue Tracker / Wiki 廃止(2026 年 8 月 20 日)対応として、関連リポジトリを順次 GitHub へ移行する方針を Executive Committee が推奨
  • OpenID Federation 1.1 公開レビュー(〜4 月 18 日)の状況、Stuttgart との連携による Federation 1.0 セキュリティ分析の進捗
  • Federation Entity Collection 採択コールの周知
  • Key Binding、Wallet Architectures、Extended Subordinate Listing、Native SSO for Mobile Apps 等のオープン issue 議論

4 月 9 日コール(議事録 ML #011285、Atlantic)

事前アジェンダ(ML #011279)で以下を扱った:

  • 共同議長後任として Frederik Krogsdal Jacobsen を扱う議題が継続
  • OpenID Federation 1.1 公開レビュー(〜4 月 18 日)残り 10 日弱の状況確認
  • Federation Entity Collection 採択コール(〜4 月 13 日)
  • Ephemeral Subject Identifier WGLC(open issue 5 件)の処理
  • Issue #2189 「Claims aggregation trust model」 の議論

最後の Issue #2189 については Nat Sakimura が事前に ML へ提案文を投稿しており(ML #011282)、コール参加者から「a reasonable model(妥当なモデル)」と評価された旨が議事録に残る。詳細は §4 ML 主要スレッド参照。

4 月 13 日 Pacific コール(議事録 ML #011287、Michael Jones 投稿)

Michael Jones が事前アジェンダと議事録を同一メールで配信。参加者は Andrii Deinega、Aaron Parecki、Michael Fraser、Dima Postnikov、Mike Jones の 5 名。OpenID Federation Entity Collection の WG 採択を確定、Chrome の third-party cookie 廃止に絡む議論、Federation Extended Subordinate Listing のページネーション PR、Web Bot Auth 関連の論点など、アジェンダ外を含む幅広い話題が扱われた。

4 月 16 日コール(議事録 ML #011291、Atlantic)

事前アジェンダ(ML #011290)の起案者は Frederik Krogsdal Jacobsen に変わっており、これにより共同議長就任が議題レベルで確定したことが読み取れる。主要議題:

  • Ephemeral Subject Identifier WGLC(open issue 4 件)残期間の処理
  • OpenID Federation for Wallet Architectures: open issue 13 件、PR 2 件
  • Bitbucket → GitHub 移行に関する各仕様単位の対応方針
  • 1.1 OpenID Federation specs(公開レビュー終了 2 日前)

4 月 23 日コール(議事録 ML #011293、Atlantic)

事前アジェンダ(ML #011292)および Joe DeCock 投稿の議事録(ML #011293)から以下が確認できる:

  • 1.1 OpenID Federation Specs: 「completed a public review period」と記載され、4 月 18 日に公開レビューが正式終了したことが議事レベルで確定
  • Federation Entity Collection: 「call for adoption was successful. Authors should submit a working group draft」と記載され、WG 採択完了
  • Ephemeral Subject Identifier: WGLC 終盤(残り open issue 4 件)
  • Federation Extended Subordinate Listing: ページネーション関連の PR
  • Key Binding: 直近 2 件の PR マージ後の状況確認
  • Joseph Heenan からの提起として、Registration 仕様の request_object_signing_alg を巡る論点が議題化

4 月 27 日 (Pacific 時間) Pacific コール(中止)

Michael Jones から 4 月 27 日(Pacific 時間)に「Today's working group call cancelled」(ML #011295)。理由は同日開催の OpenID Workshop。当該コールは Asia-Pacific 向け時間枠としては 4 月 28 日 8AM JST に相当する。San Jose で DCP Meeting と OIDF Workshop が予定されており、AB/Connect WG 主要メンバーがそちらに参加するため。

4 月 30 日 Atlantic コール(中止)

Michael Jones から「Tomorrow's working group call cancelled」(ML #011296)。理由は同週開催の Internet Identity Workshop(IIW, 4 月 28〜30 日)。

4. メーリングリストの主要スレッド

openid-specs-ab ML の 2026 年 4 月アーカイブには合計 38 通が収録されている。技術討議の中心となった主要スレッドは以下のとおり。

Nomination for WG co-chair - 2026-04-01 開始(Frederik Krogsdal Jacobsen 自薦)

Jacobsen は WG 共同議長への自薦を ML に投じた。OpenID Connect の実装者として「プロトコルへの深い技術理解と実運用の経験」を持ち、特に政府系 ID システムでの実装経験があること、他の OpenID Foundation グループにも参加していること、過去に地方 ISP 役員(4 年以上 vice chairman)や労組組織の役員を務めたリーダーシップ経験を持つことなどを挙げている。なお翌日(4 月 2 日)はホリデーのため WG コールに出席できず、翌週の EU 寄りコールでの議論またはメールでの質疑対応が可能であると述べた。

スレッドには Dick Hardt、Andy Barlow、Joseph Heenan、Nat Sakimura、Frederico、Dima Postnikov、Kosuke Koiwai の各氏が応答する extended なやり取りに発展。4 月 16 日コール以降は Jacobsen 自身がアジェンダ起案者として WG コールをファシリテートしており、共同議長就任が事実上確定したことが運用レベルで読み取れる。

Call for adoption of OpenID Federation Entity Collection 1.0 specification - 2026-04-01 開始(Eduardo Perottoni)

Perottoni は WG 採択コール(2 週間、〜4 月 13 日)を ML に開始し、メンバー各位に賛否表明を求めた。提案者 Gabriel Zachmann(Geant Trust & Identity Incubator)の起案による本仕様は、「フェデレーションを横断する top-down discovery」を可能にする追加 federation endpoint の標準化を狙う。Chris Phillips が応答してスレッドを進める形となった。

採択コールは成立し、4 月 23 日コール時点で「authors should submit a working group draft」のステータスに移行している。

Draft Spec for Discussion in Upcoming Workgroup Meeting - 2026-04-01 開始(Frederik Krogsdal Jacobsen)

OpenID Provider が認証処理を「ユーザがブラウザで待たずに非同期に処理する」ためのドラフト提案。Jacobsen が主要ユースケースとして想定するのは、物理書類とバイオメトリック走査による身元確認(AI 支援含む)であり、AI が確信を持って確認できない場合に「don't know」を返し、その後の人手検証が「ユースケースによっては数週間に及ぶ」ケースである。

リダイレクトベースのフローに無理に押し込むことで生じる法的・倫理的懸念を避けるため、OP から RP への結果配送を非同期化する仕組みを提案。CIBA フローからインスパイアされつつ、ブラウザ起動シナリオに適合させた設計であるとされる。

スレッドでは「これは OAuth 拡張として位置付けるべきか、OpenID Connect 仕様として位置付けるべきか」が議論された。Aaron Parecki は「これは OpenID Connect よりも OAuth を直接拡張する性格が強く、OAuth 拡張として整備されれば OpenID Connect で追加定義は不要になる」と OAuth WG 寄りの位置付けを提案。Jacobsen は層構造としては Aaron の指摘が妥当であることを認めつつ「最終的に出てくるものが ID Token であること」「ID コンテキスト以外のユースケースが見当たらないこと」から OIDC WG 帰属を主張した。最終決着は付かず、Easter および IIW 以降の継続議論に持ち越された。

Issue #2189: Claims aggregation trust model - 2026-04-09 開始(Nat Sakimura)

Sakimura は Claims Provider が発行する JWT クレームを ID Token に含めて配送する Aggregated Claims において、RP がそれらをどう信頼するかという問題に対し、エコシステムが OP を信頼された主体として扱う 3 つの義務を提示した:

  1. OP は Claims Provider 向けの UserInfo Access Token を、認証を開始した特定のアカウントにバインドしなければならない
  2. OP はこれらのトークンを他のアカウントに対して再利用してはならない
  3. OP は RP に対してこのコミットメントを通知しなければならない

通知方法はエコシステム内 out-of-band でも Web サイト上のポリシー声明でもよいが、透明性確保のためには OP discovery メタデータの claim_types_supportedaggregated に設定することを推奨。本提案は 4 月 9 日コールで「a reasonable model」と評価された。

Publishing Ephemeral Subject Identifier draft 02 - 2026-04-02 開始(Michael Jones)

Jones から仕様編集者への draft 02 公開要請。openid.net 公開版が GitHub 上の最新変更を反映していないため、WGLC 開始に先立ち draft 02 を公開してほしいという内容。Nat Sakimura が反応している。直後の WGLC for OpenID Connect Ephemeral Subject Identifier 1.0 スレッドに連動した。

Authentication Methods Reference (amr) - 4 月(Nat Sakimura、Brendon Vicente)

4 月 9 日コール議題に関連する amr クレームの歴史的経緯についてのスレッド。Brendon Vicente が起こした論点に Nat Sakimura が背景を説明する展開。

5. GitHub 上の議論

openid/connect リポジトリ自体は Issue / PR を持たない(仕様本体は別リポジトリで管理)ため、4 月の議論は主に openid/connect-key-bindingopenid/connect-ephemeral-subopenid/federation-entity-collectionopenid/federation-wallet で展開された。

openid/connect-key-binding#5 - Token refresh(2026-04-13 マージ)

  • 作成者: EthanHeilman
  • レビュー / 承認: dickhardt、JonasPrimbs、fullictteammanagement-debug
  • 内容: Token Refresh の章を追加。OpenID Connect Key Binding と RFC 9449(DPoP)の Refresh フローの差分を非規範例とともに明示
  • 核心の技術論: Key Binding 仕様は「confidential client / public client いずれにおいても一貫した公開鍵バインディングを維持」する。一方 RFC 9449 では confidential client は refresh 時に鍵を rotate できる。Heilman の説明によれば、refresh 時に鍵変更を許せば「リフレッシュトークンを盗んだ攻撃者が任意の JWK に切り替え可能」となるため、本仕様は同一公開鍵の使用を必須化し、鍵をセッションに「不可欠(essential)」なものとして扱う。これにより、クライアント資格情報の漏洩のみでは鍵ペア自体の compromise なしにセッションを乗っ取れない設計とする
  • 議論: JonasPrimbs から「refresh 時の鍵 rotation を禁止することへの疑問」が呈され、別鍵ペアと短寿命 ID Token を併用する方式が提案された。Heilman は、ブラウザ環境で non-extractable な鍵を使う場合、rotation を一切認めない方が XSS 対策として優れていると反論した

openid/connect-key-binding#9 - Device flow examples(2026-04-13 マージ)

  • 作成者: EthanHeilman
  • レビュー / 承認: dickhardt(lgtm)、JonasPrimbs(詳細フィードバック後)
  • 内容: Device Flow 章とビジュアル図、Authorization Code Flow 例を追加。RFC 参照を RFC8626 から正しい RFC8628 に修正
  • 議論: JonasPrimbs が RFC 8628 への整合性を確保するため次を要求し、すべて取り込まれた:
    • パラメータを query string から POST body へ移動
    • エンドポイントパスを /device_authorization に修正
    • expires_in300000 から 1800 秒へ修正(「例示値がそのまま既定値として流用されないよう」現実的な値に)
  • DPoP ヘッダ vs JKT を Device Flow でどう使い分けるかについて Aaron Parecki と相談しつつ実装選択を整理

openid/connect-key-binding#12 - Use Token Exchange instead(4 月内オープン継続)

3 月 30 日に JonasPrimbs が起案した「Token Exchange(RFC 8693)への全面移行案」について、Ethan Heilman が 2026 年 4 月 3 日にレビューコメントを投稿し、マージ拒否の立場を明確にした:

I don't think it is a good fit for what we are trying to do with this standard.

Heilman は「scoped down key-bound ID Token」を発行できる Token Exchange の技術的妥当性は認めつつ、「OpenID Connect Key Binding の目的は既存の OpenID フローに DPoP セキュリティを最小限の OP 変更で追加すること」であり、Token Exchange への全面移行は「完全に新しいリクエストパターン」を導入するため目的と整合しないと指摘。Token Exchange 路線は将来の 拡張仕様 として位置付けるべきとの提案で締めくくった。4 月末時点で PR は open のまま。

openid/connect-ephemeral-sub#11 - Fix list in rendered version(2026-04-14 クローズ)

fkj(Frederik Krogsdal Jacobsen)の報告。58 行目「There are several reasons for defining it:」直後の bullet list が、GitHub 上では正しくレンダリングされるのに openid.net で公開された版では崩れる問題。WGLC 期間中の表示品質に関わる issue として処理された。

openid/federation-entity-collection - WG 採択直後のレビュー Issue 群(2026-04-23)

WG 採択完了の翌日に近い 4 月 23 日、cicnavi(Marko Ivančić)が立て続けに 14 件の issue(#30 〜 #43)を起票。多くは編集的指摘で即座にクローズされたが、設計判断を伴う以下 5 件が 4 月末時点で open のまま残った:

  • #30 - trust_mark_type に関する Security Considerations 記述が一部矛盾
  • #33 - 返却エンティティの順序指定パラメータの追加提案(labels: discussion needed, suggestion)
  • #35 - 非認証クライアント向けに HTTP POST を許容することの検討(labels: discussion needed, suggestion)
  • #36 - trust_anchor パラメータの記述が紛らわしい(label: clarification needed)
  • #38 - クレーム言語とフィルタリング

採択直後の集中レビューによって、初期実装者視点での記述の曖昧さやエンドポイント設計(特に GET のみで十分か)に関する論点が一気に表面化した形である。1 月時点で起票済みだった #24 / #25 / #26(lj-raidiam, Razumain)も WG 採択後の継続検討対象として残存している。

openid/federation-wallet#57 - Add note on prefixing Client ID values used with OpenID4VP(2026-04-08 オープン)

selfissued(Michael Jones)が起案。OpenID4VP との連携において Client ID 値にプレフィックスを付与する取り扱いに関する注記を追加する PR。4 月末時点で open。

6. 関連イベント

Internet Identity Workshop(IIW)- 2026 年 4 月 28〜30 日

毎春マウンテンビューの Computer History Museum で開催される unconference。AB/Connect WG の Pacific コール(4 月 28 日)および Atlantic コール(4 月 30 日)はいずれも IIW 開催により中止された(前掲)。

OpenID Workshop / DCP Meeting - 2026 年 4 月 27 日(San Jose)

IIW の前日に開催された OpenID Foundation 主催ワークショップ。AB/Connect WG メンバーが多く参加した結果、翌 28 日の Pacific コールが中止される一因となった。

5 月以降のイベント案内(4 月内に共有)

  • Agentic Internet Workshop - 2026 年 5 月 1 日
  • European Identity and Cloud Conference(EIC) - 2026 年 5 月 19〜22 日(Berlin)
  • OAuth Security Workshop - 2026 年 5 月 27〜29 日(Leipzig、proposal 締切 4 月 19 日)
  • Digital Identity unConference Europe - 2026 年 6 月 22〜24 日(Copenhagen)

7. 今後の予定(2026 年 4 月末時点の視点)

  • OpenID Federation 1.1 / OpenID Federation for OpenID Connect 1.1: 5 月 5 日まで Final Specification 投票期間。承認されれば本月内(5 月初旬)に Final 確定見込み
  • OpenID Connect Ephemeral Subject Identifier 1.0: WGLC は 4 月 26 日に終了済み。WGLC 期間中の issue を反映した後、Implementer's Draft 投票通知(Notice of Vote)の発出が次のステップ
  • OpenID Federation Entity Collection 1.0: WG draft として公式提出後、cicnavi 起票の 5 件+既存 3 件を含む初期 issue 群の処理が次の論点
  • OpenID Connect Key Binding 1.0: Token Refresh / Device Flow 章のマージで章立てが揃ったため、次は PR #12(Token Exchange 提案)を含む未決論点の整理。Token Exchange は将来拡張として切り出される方向
  • WG ガバナンス: Frederik Krogsdal Jacobsen の共同議長就任を正式手続きで確定
  • Bitbucket → GitHub 移行: 2026 年 8 月 20 日の Bitbucket Issues / Wiki 廃止に向け、対象仕様の個別 GitHub リポジトリ作成・移行を継続
  • 非同期認証ドラフト(Jacobsen 提案): 4 月 2 日コール周辺で初期議論。位置付け(OAuth 拡張 vs OIDC 仕様)を含む方向性決定が今後

8. 参考情報源