idbok

Appearance

OpenID Foundation IPSIE WG 活動レポート (2025 年 4 月)

執筆日: 2026 年 5 月 18 日(2025 年 4 月の活動を遡及してまとめたレポートです)

1. 概要

OpenID Foundation の Interoperability Profiling for Secure Identity in the Enterprise (IPSIE) WG は、エンタープライズにおける安全な ID 連携の実現を目的として、OpenID Connect・OAuth 2.0・SCIM・SAML・Shared Signals 等の既存仕様の 相互運用性プロファイル を策定する WG である。2024 年 10 月に正式に発足し、共同議長は Aaron Parecki (Okta) と Dick Hardt (Hellō)。スコープは SSO、ユーザライフサイクル管理、エンタイトルメント、リスクシグナル共有、ログアウト、トークン失効の 6 分野で、それぞれをセキュリティレベル(SL1〜SL3)と相互運用レベル(IL1〜IL3)に分けたプロファイル群として整理する方針が共有されている。

2025 年 4 月は WG 発足から約半年が経過し、最初の実体ある成果物である OpenID Connect SL1 プロファイルが「Editor's Copy」から「Adopted Draft 00」へと昇格した節目の月 にあたる。4 月 3 日に Dean H. Saxe (Beyond Identity) が 2 週間の Call for Adoption を ML 上で開始し、Karl McGuinness、Mark Maguire、Dick Hardt、Jennifer Schreiber (Workday)、Sean Miller (RSA)、Wesley Dunnington (Ping Identity) からの賛成意思表明と反対意見ゼロを経て、4 月 17 日に Dean が Call を締め、4 月 18 日付で IPSIE SL1 OpenID Connect Profile 1.0 - draft 00openid.net/specs/ 上で公開された。

月内の主な動き:

  • 定例コール 4 回(4/1, 4/15, 4/22, 4/29)。4/8 は IIW 40(Spring 2025、4/8〜10 Mountain View)と重なるためスキップ
  • OpenID Connect SL1 プロファイル草案を 2 週間の Call for Adoption にかけて WG として正式採択し、-00 を公開
  • 4/22 コールで SAML SL1 の扱いを「OIDC を優先し、SAML は背景で継続し数か月後に再訪する」と意思決定。同コールで「個人 AI ノートテイカー(Otter.ai 等)を WG コールから排除する」ポリシーも決定し、Dean が 4/22 に ML へ通知
  • 4 月後半に SL1 ドラフトに対する 4 件の新規 issue(#67 acr 値、#68 ISO vs IETF キーワード、#69 DPoP 必須化、#70 nonce 長)が立ち、openid/ipsie-openid-sl1 リポジトリで最初の 2 件の PR(#1 IETF キーワード化、#2 ID トークン検証要件追加)が 4/29 にマージされた
  • Aaron Parecki が IIW 40 で IPSIE 紹介セッションをアンカンファレンス形式で提案・実施。Identiverse 2025(6 月)のパネル提案も完了

2. 公開された仕様・ドラフト改訂

IPSIE SL1 OpenID Connect Profile 1.0 — draft 00 公開

4 月 18 日付で、openid.net/specs/ 上に IPSIE SL1 OpenID Connect Profile 1.0 - draft 00 が公開された。著者は Aaron Parecki (Okta)、Internet-Draft 形式で記述され、expires October 20, 2025(つまり Implementer's Draft の前段階としての WG ドラフト)。本ドラフトは WG 内独立提案からの脱却を意味し、以降の議論は openid.net 上の公開仕様を起点として進む。

Call for Adoption 前に Aaron が 4/3 に投入した改訂(ML 投稿 000050.html)では、3/25 までの WG 合意を踏まえ次の 5 点が反映されている:

  1. IdP は public client を MUST support。RP は public/confidential いずれでも可
  2. Redirect URL の事前登録と検証を MUST 化
  3. localhost と custom URL scheme リダイレクトを禁止
  4. アクセストークンの用途を IdP の UserInfo エンドポイントから ID クレームを取得する目的のみ に限定
  5. PAR (Pushed Authorization Request) を SL1 から削除(SL2 以降に持ち越し)

これらは 3/25 および 4/1 コールでの「SL1 では public client を基本とし、AT は UserInfo 専用、機密クライアントや PAR の強制は SL2 以上に押し上げる」という方針合意を仕様化したものである。

作業リポジトリの openid/ 配下への移管

Call for Adoption 採択を受け、編集作業リポジトリは Aaron 個人の aaronpk/ipsie-openid-sl1 から openid/ipsie-openid-sl1 に移管された。これは 4/17 の Aaron のコミット履歴で確認できる:

  • 5ff746b update links for adopted draft (2025-04-17)
  • e7eb4db move doc history (2025-04-17)
  • 09b2c63 fix draft name (2025-04-17)
  • 8cfd4e1 add notices section (2025-04-18)

8cfd4e1 までに公開仕様としての体裁(notices セクション、IPR 表記、ドラフト名)が整えられ、4/18 付で draft-00 が openid.net 上にロールアウトされた。

draft-00 への 2 件の修正 PR がマージ

4/29 コール直後に、4/22 コールおよび 4/29 コールでの合意を反映する 2 件の PR が同日中にマージされている:

openid/ipsie 親リポジトリ側

openid/ipsie 親リポジトリでは 4 月内にコミット・PR マージは発生していない。3/27 起票の SAML SL1 ドラフト PR #65(Matt Topper による SAML SL1 プロファイル初版)は 4 月内も open のまま、後述の SAML 議論の参照点として参照され続けた。

3. ミーティングと議論

定例コールは毎週火曜 9:00 PT。4 月は 4/1, 4/15, 4/22, 4/29 の 4 回開催(4/8 は IIW 40 と重複のためスキップを 3/25 コールで事前決定)。議事録はすべて openid/ipsie の GitHub Wiki に Dean H. Saxe / David Lee が記録している。

4/1 コール — Call for Adoption 前の最終詰め

参加 17 名(Aaron, Dean, Dick Hardt, Karl McGuinness, George Fletcher, Filip Skokan, Mark Maguire, Shannon Roddy, Frederico Valente (Workday), Brock Allen (Duende), Jen Schreiber (Workday), Tom Clancy (MITRE), JD Pawar (Workday), Kenn Chong (RSA), Matt Topper (UberEther), Robin Martherus (Cisco), Bjorn Hjelm (Yubico))。

Call for Adoption に出す直前の最終詰めとして、次の論点が長時間議論された:

  • アクセストークンの位置付け: Dick から「先週合意した『アクセストークンも機密クライアントも SL1 では不要』を Call 前に draft から落として欲しい」との指摘。Karl が「スコープは ID クレームに限定、コードフロー + PKCE + ID クレーム取得のみで、外部リソース向けトークンは扱わない」と整理を補強。Filip が「ID クレームの所在は ID トークンと UserInfo の両方に揃えるか、UserInfo を無効化するか、を明示する必要がある」と細部の曖昧さを指摘。最終的に「AT は存在するが UserInfo 取得のみに用途を限定する」表現に統一する方針へ
  • public client / confidential client の整理: Aaron は「public client を IdP が MUST support、RP 側は public/confidential いずれでも可」とするまとめを提案。SaaS アプリ側のオンボーディング負荷を考えると private_key_jwt は SL1 では重すぎる(Karl)一方で、Sean Miller (RSA) からは「AWS ALB を redirect URI に使う Atlassian 等の実例があり、DNS にバインドした登録方式と相性が悪い」との実装事例も提示
  • redirect URL の制約: 「事前登録された URI のみ、localhost と custom scheme は禁止」「DNS-based、ワイルドカード禁止」で合意。SL2 以降では private_key_jwt 必須化と引き換えに redirect URL 登録を緩和、という上位プロファイル像のスケッチも共有された
  • PAR (Issue #59): 「SL1 では PAR を要求する明確な理由がない」(Karl)として SL2 以降に持ち越すことを再確認
  • 「SL1 で十分か、企業はそもそも SL2 以上を求めるのではないか」: George が問題提起。Karl・Dick からは「shadow IT の長い尾の SaaS を底上げするのが SL1 の意義であり、重要 SaaS は自然と SL2/SL3 に上がる差別化階段として機能する」「Slack のような『最初は SL1 でも社運に関わるツールに育つと SL2/SL3 が必要になる』ライフサイクル像」を提示

Aaron は「最後の AT 関連の修正を入れて Call for Adoption を 2 週間で回す」とまとめた。

4/15 コール — Call for Adoption 締切目前

参加 14 名(Aaron, Kenn, Filip, Shannon, David Lee (Saviynt), George, Jon Bartlett (Zscaler), Bjorn, Robin, Alex B Chalmers, Qinglan Gao (RSA), Karl, Dick, Travis Tripp (HPE))。Notetaker は David Lee。

主な議論:

  • Call for Adoption の状況: ML 上で支持が集まっており反対意見はゼロ。4/17 締切後の翌週コール(4/22)から「採択済みドラフト」として open issues を本格議論する流れを確認。Aaron は「OIDF の新しい自動公開ツール(drafts.aaronpk.com → openid.net 自動同期)の利用セッションに他のエディタも参加可能」と案内。Kenn からの「2 日後の公開は draft の中身が確定したという意味ではないのか」との確認に対し、Aaron は「採択 = draft 00 として参照可能になるだけで内容固定ではない」と明確化
  • WG ゴールの再確認: Aaron が「12 月の interop イベント開催を引き続き WG 全体のゴールに据える。4 月から 9 月の間に SL1 の細部を詰める」と表明。これは年末の interop デモを念頭に置いた逆算スケジュールを WG として共有する場面
  • コミュニティイベント: 前週の IIW 40 で IPSIE セッション(Dean と Aaron が主導)を開催したことを Aaron が報告。6 月の Identiverse で IPSIE パネルを Dean・Aaron 他で申請済み。EIC(5/6〜9 Berlin)には Mike Jones が参加するが IPSIE 関連セッションは未把握
  • SAML SL1 (PR #65): Karl が「OIDC と SAML では鍵ローテーションの実装方式に大きな差分がある」と指摘し、SAML 側を SL1 と完全に同じ要件で縛ることの実装現実性に疑問を呈した。議論は「セキュリティ アウトカム」と「プロトコル仕様の差分」をどう橋渡しするかに集中し、結論には至らず、4/22 コールでの意思決定に持ち越された

議事録の「Modernizing SAML implementation for security in the modern workforce」節の要旨(議事録 2025-04-15 より): SAML は古い実装が多く、ベンダーが SAML のモダナイズに投資を続けていない「行き詰まり」状態にある。一方で B2B SaaS の RFP では SAML が依然「ゴールドスタンダード」として要求される。OIDC SL1 と同等のセキュリティアウトカムを SAML 側でも達成するには、ベンダーへのインセンティブ設計が鍵となる

4/22 コール — SAML 方針決定、AI ノートテイカー禁止、-00 後の最初の issue 群

参加 18 名(Aaron, Dean, Sean, Kenn, Mike Kiser (SailPoint), Shannon, Jon Bartlett, Mark Maguire, Frederico Valente, Bjorn, Robin, Travis Tripp, Indrajith Premanath (GitHub), Usha N (GitHub), George, Konstantin Teslenko (RSA), Qinglan Gao, Filip)。Notetaker は Dean。本月のキー意思決定が集中した回。

主要決定:

  • OIDC を優先、SAML は背景で継続: SAML SL1 が OIDC SL1 と同等のセキュリティアウトカムを達成できるかを巡る議論で、Shannon は「SAML 証明書は OIDC とは異なる性質を持つので、同じ要件を機械的に当てるのは適切でない」と発言。George は「同じセキュリティアウトカムに到達することを目標として、要件式は異なってもよい」と整理。Kenn は「多くの RP は SAML なので、SAML を SL1 から除外するのは現実的でない」と懸念表明。Aaron が 「12 月の interop ゴールを最優先し、OIDC SL1 に注力する。SAML は背景で継続し、数か月後に再訪する」 という前進路を提案し、Sean・Travis・George が thumbs up、反対なしで合意。Dean は「これは SAML を放棄する決定ではなく、interop までに OIDC を仕上げることに集中するという決定である」点を念押し
  • 個人 AI ノートテイカー禁止: George が「議事に残したくない発言を AI ボットから除外する手段がない上にニュアンスを取り損ねる」として禁止を提案。Mark も同意。Aaron が「コール上で能動的に排除する。例外的なケースが将来出てきたら都度議論」と総括。Dean が ML へ通知することと決定。(→ Dean は同日 4/22 21:01 UTC に IPSIE WG and personal AI bots/note takers を ML に投稿)

SL1 オープン issue のレビュー:

  • #63 (AT は SL1 か): 「AT は返却するが UserInfo 取得のみに用途限定」で text 更新済み → 4/28 にクローズ
  • #59 (PAR): SL2 に押し上げ、SL1 タグを外す
  • #60 / #62 (セッションライフタイム / テナンシー): Dick が AB/Connect WG で扱う方針。「OIDC Enterprise Extensions」として後日提案
  • #61 (Confidential Client は MUST か): 数週前の結論を draft 00 にも反映済みであることを Aaron が確認 → 4/28 にクローズ
  • #64 (DNSSEC は MUST か / RP 検証要件): 「DNSSEC は MUST にしない(Dean)」「RP 側の ID トークンクレーム検証要件が draft に未記載(Mark)」を確認。Aaron が PR を書く(→ 後の PR #2 として実現)
  • ISO vs IETF キーワード: 「FAPI が小文字 ISO キーワードを使うのは ISO 採択を期待した経緯による。ただし ISO は IETF キーワード版も問題なく採択している」(Filip)。Aaron が Mark Haine 経由で OIDF の方針を確認することに(→ Issue #68 として正式に追跡)

4/29 コール — SAML の論点再燃と -00 の細部詰め

参加 16 名(Aaron, Dean, Jon Bartlett, Filip, Mark Maguire, Dick, Travis, Keiko Itakura (Okta), Hirsch Singhal (GitHub), Karl, Tim Cappalli (Okta), Usha N, Wes Dunnington (Ping), Shannon, Alex B Chalmers, Bjorn)。Notetaker は Dean。

主要議題:

  • JP Morgan Chase Open Letter: 4/22 週に JPMC が公開した SaaS サプライヤ向け公開書簡(エンタープライズ向け SaaS のセキュリティ統合の改善要求)を WG として取り上げ、「IPSIE・AuthZEN・AB/Connect の各 WG にとって直接関連する。OIDF として応答を検討中」と Aaron が共有。同レターは IPSIE の問題意識(エンタープライズ SSO/プロビジョニング/失効の標準化)を強く後押しする外部要因として位置付けられた
  • SAML 議論の再燃: 4/22 で決まった「OIDC 優先」方針について、Dick から「業界の関心を得るには SAML 抜きでは進まない。SAML が SL1 を満たせない場合に IPSIE はどうするのか」と再度問題提起。Aaron は「OIDC への移行パスを含む SAML プロファイル」を提案、Dick は実装現実性を懸念。Karl は「SAML に投資済みで OIDC を使っていない SaaS 企業の PM に対する売り込みが課題」「FAL2 への準拠は大きな負担」と現場感を共有。Tom Clancy (チャット) からは「PIV 向け FAL2 のメインギャップは injection protection のためのバックエンドフローで、artifact binding 型 SAML プロファイルが必要」と具体的なテクニカルギャップが提示された。Alex Chalmers と Shannon が「SAML vs FAL2 の検討は引き受ける(Dean が FAL2 issue を書いたら)」と表明
  • issue クローズ: #61・#63 の text 更新を Aaron が draft 00 に反映済みであることを確認しクローズ
  • #68 (ISO vs IETF キーワード): Aaron が PR(→ PR #1)を提出済み。Dean がレビューを引き受け
  • #64 (DNSSEC / ID トークン検証): DNSSEC は SHOULD のまま据え置き。RP 側の ID トークンクレーム検証要件は Aaron が PR(→ PR #2)を提出済み、Mark が「内容は OK」と確認
  • #60 / #62 (セッションライフタイム / テナンシー): Dick が AB/Connect WG で「OIDC Enterprise Extensions」として提案する方向で作業中であると報告。Filip は「テナンシーは AB/Connect 向きだが、session lifetime まで AB/Connect に置く必然性は薄い。RP に ID トークンの寿命を伸ばすよう要求する形に誤用される懸念がある」と注意喚起。Aaron は「IPSIE が他仕様に機能追加を要するときは、IPSIE 固有でない限り元の WG で議論する原則」を確認。Karl は「OIDC のセッション管理は不完全な部分があり、汎用的なセッション管理として AB/Connect で議論するのが筋。IPSIE はその上で寿命の制約を定義する」と整理
  • #67 (acr 値): 4/22 起票の George Fletcher による issue(後述)。「AAL2 にバインドせず、フィッシング耐性は要求しない MFA 用の用語が必要」(Dean)「acr と amr の両方を提供することで、コンテキストクラスが立たない場合でも認証手段は伝達可能」(Karl)「SL1 では IdP の ID トークンに amracr を MUST。SL2 は amr リクエストを尊重する MUST」(Aaron)と SL レベル間の整理が進展。Aaron が PR を書くことに(4 月内には起票されず、5 月以降の作業)
  • SCIM IL1: Mark Maguire と Jen Schreiber が初期ドラフトを準備中。「最低限のユースケース定義が不足しているので、これを先にまとめる必要がある」(Dean)。Mark が間もなく share する見込み

4. メーリングリストの主要スレッド

openid-specs-ipsie メーリングリストは pipermail の週次インデックス方式(親アーカイブ)。4 月の活動は Call for Adoption スレッドが大半を占める 構成で、他は事務連絡・議事録通知・週次 GitHub digest のみ。技術的に独立した議論スレッドは ML 上には形成されなかった(議論は同期コール上で完結する WG 運用が確立しつつある)。

4.1 Call for Adoption - IPSIE SL1 Profile for OpenID Connect — 2025-04-03 開始(全 7 投稿、4/3〜4/17)

  • 発端: Dean H. Saxe (Beyond Identity) が 4/3 に 2 週間の Call for Adoption を開始。Aaron が WG に寄贈した OpenID Connect SL1 プロファイル草案の adoption 賛否を 4/17 までに ML へ返答するよう呼びかけ。「Aaron による直近の改訂は GitHub の diff で確認可能」と参照リンクを共有
  • 賛成意思表明(時系列):
    • Karl McGuinness (Self) — 4/3、I support adoption of this draft profile(HTML 添付のため要約)
    • Mark Maguire (Aujas Cybersecurity) — 4/3 22:04 UTC、I support the adoption of this draft profile as well
    • Dick Hardt (Hellō) — 4/5 18:32 UTC、I support adoption
    • Jennifer Schreiber (Workday) — 4/9 00:43 UTC、I support the adoption of this draft
    • Sean Miller (RSA) — 4/14 07:38 UTC、I support the adoption of this profile
    • Wesley Dunnington (Ping Identity) — 4/14 13:07 UTC、I support the adoption of this draft
  • 締め: Dean H. Saxe — 4/17 19:27 UTC、Call for Adoption 締切表明(HTML 添付)。反対表明はゼロ
  • 意義: 賛成は Beyond Identity (Dean)、Okta (Aaron)、Hellō (Dick)、Self (Karl)、Aujas、Workday、RSA、Ping という IdP・コンサルティング・SaaS の主要層を横断する形で集まり、IPSIE WG 初の WG 公式採択 draft が成立した。これは「Aaron 個人提案」から「WG 公式 draft 00」へのプロセス上の決定的な一歩

4.2 Initial draft of OpenID Connect IPSIE SL1 Profile — 2025-04-03 19:32 UTC

  • 発端: Aaron Parecki (Okta) が 4/3 19:32 UTC に WG メンバーへ送付。Call for Adoption に向けた最終改訂版の通知。本投稿の本文では 3/25 / 4/1 コールで合意された 5 点の改訂内容(§2 参照: public client / redirect URL / アクセストークン / PAR 削除)を箇条書きで明示し、commit diff と HTML レンダリングへのリンクを提供
  • 意義: Call for Adoption 投票者が実体ある draft を確認する起点となる投稿。4/1 コールで Dick が指摘した「採択前に AT 関連修正を入れて欲しい」という要求を満たしたうえで投票プロセスを回した経緯を ML 上に明示する形になっている

4.3 IPSIE WG and personal AI bots/note takers — 2025-04-22 21:01 UTC

  • 発端: Dean H. Saxe が、同日 4/22 コールで合意した「個人 AI ノートテイカー(Otter.ai 等)禁止」ポリシーを ML へ周知。3 つの理由(人間のノートの方が深い/公式議事録の正確性が最重要/AI ツールは sensitive な会話を選択的に除外できない)を明示し、議長が例外的状況を case-by-case で判断する余地を残すことも明記。OIDF 全体としての方針はなく、IPSIE WG 個別の決定であると注記
  • 意義: 議事録運用の規律を WG 公式ポリシーとして明文化した最初の例。これ以降 IPSIE のコール議事録は GitHub Wiki に人手で記録される運用が確定する

4.4 2025-04-22 meeting minutes — 2025-04-28 投稿

  • 発端: Aaron Parecki が 4/22 コールの議事録を ML へ転記(Wiki への直接書き込みに加えて ML 公示)
  • 意義: 「SAML を OIDC と並行する」という方針決定と「個人 AI ノートテイカー禁止」決定の正式記録。次の §3 で詳述したとおり、本月最大の意思決定がこのスレッドに集約されている

4.5 Weekly github digest (IPSIE Activity Summary) / (5/4 配信)

  • 発端: 自動配信 Bot (openid-activity at aaronpk.com) が週次で GitHub 上の活動を集計
  • 4/27 配信: Issue #67(gffletch 起票、acr claim)の起票と 3 コメントを記録。+1/-0/💬3
  • 5/4 配信: Issue +3 / 16 コメント。新規 Issue #68 (ISO vs IETF), #69 (Require DPoP), #70 (Nonce length) の起票を記録。これらは 4/28〜4/29 の起票分が翌週配信に含まれた格好

5. GitHub 上の議論

openid/ipsie 親リポジトリで 4/1〜4/30 に新規起票された issue は 4 件、4 月内に新規 / マージされた PR は親リポジトリ側にはゼロ件、コミットもゼロ件。一方で、Call for Adoption 採択後に作業の中心となった openid/ipsie-openid-sl1 リポジトリ側で 2 件の PR がマージされている(§2 参照)。以下、議論密度の高い issue を整理する。

openid/ipsie#67 — Should including the acr value be optional?

  • 起票: 2025-04-22(gffletch、George Fletcher)。draft 公開直後の 4/22 コール後に起票
  • 問題提起: SL1 draft §3.3.1 が shall contain acr claim as a string that identifies the Authentication Context Class と規定しているが、IANA Level of Assurance Profiles Registry には「単純認証」を示す acr 値が登録されていない。これでは「すべての IdP に最低でも phr(フィッシング耐性)レベルの認証を強制してしまうのではないか」
  • 主要参加者の主張:
    • Dean H. Saxe (4/25): IANA レジストリを再確認したが SL1 の要件を満たす値が揃っていない。Aaron と相談済みで次回コールにかける
    • Karl McGuinness (4/25): https://refeds.org/profile/mfa が「mfa any」型として既に登録済み。phr を SL1 の最低値として支持。「IPSIE が成熟する頃にはエンタープライズは phr 認証を展開済みになっているはず」「phr 以外の acr の ROI は疑問」
    • Dean (4/25、chair hat off): 「AAL2 にバインドするのは危険。AAL2 は synced passkey を含むよう変更されたように、時とともに変わる」「phr を最低値にすべきでない、企業はフィッシング耐性認証の展開に苦労してきた。phr は SL2 で要求すれば良く、SL1 はより開かれた MFA メカニズムを許容すべき」
    • Tom Clancy (MITRE, 4/28): 「AAL2 ベースラインは無意味。連邦政府ではポリシーで AAL2 を tailoring する。public-facing app は『phr オプションを提供する必要あり』(M-22-09)、防衛産業基盤は『replay resistant MFA』(800-171)、政府エンタープライズは『phr の必須化』。AAL3 はすべて phr-h だが、さらに tailoring 可能」
    • Shannon Roddy (4/29): REFEDS MFA プロファイル群は prMFA(フィッシング耐性 MFA)対応のため現在更新作業中
  • 状態: open のまま 4/29 コールで議論継続(§3 参照)。Aaron が「SL1 では amracr の両方を MUST」と整理し、PR 起票を引き受けたが 4 月内には未起票

openid/ipsie#68 — ISO vs IETF keywords

  • 起票: 2025-04-28(aaronpk)。4/22 コールでの議論を正式 issue として追跡
  • 問題提起: draft 第 1 版は FAPI に倣って ISO キーワード(lowercase should 等)を使用。FAPI は ISO 採択を期待してそうしたが、実際は ISO 側も IETF キーワード版を問題なく採択している
  • 主要参加者の主張:
    • Aaron Parecki (4/28): 「周りに聞いたところ、FAPI が ISO キーワードを使ったのは ISO に採用してもらう意図だったが、ISO は IETF キーワードを使った OIDF draft も問題なく採択している。FAPI でこれを変えなくてもよかった」と背景を共有
  • 解決: Aaron が直後の 4/28 22:26 UTC に PR #1 — Replaced keywords with uppercase IETF keywords を起票、4/29 18:03 UTC に Dean がレビュー・マージし issue をクローズ

openid/ipsie#69 — SL1 - Require DPoP?

  • 起票: 2025-04-28(aaronpk)。draft 公開後、AT の用途整理を受けた再検討
  • 問題提起: draft 現状はアクセストークンを DPoP で sender-constrain することを必須化している。一方で「AT は IdP の UserInfo エンドポイントから ID クレームを取得する目的のみ」と用途を絞ったため、外部リソースアクセスができないトークンに対する DPoP 必須化の便益が問われる
  • 状態: 4 月内のコメントはゼロ。5/6 コールで「DPoP 要件は削除する」が合意され、5/6 に Dean が As discussed in the call on May 6, 2025, we will drop the requirement for using DPoP for access tokens とコメント。最終的に 8 月の PR マージでクローズ
  • 意義: 4 月時点では「論点提起」のみだが、Call for Adoption 直後に draft 内部の整合性レビューが始まったことを示す典型例

openid/ipsie#70 — Nonce length issue in SL1 OIDC profile

  • 起票: 2025-04-29(dhs-BI、Dean H. Saxe)。IETF キーワードへの変換 PR (#1) のレビュー過程で発見
  • 問題提起: OP セクションは shall support nonce parameter values up to 64 characters in length, may reject nonce values longer than 64 characters (= 最大 64 文字まで受理、それを超えると拒否可能)、RP セクションは should not use nonce parameter values longer than 64 characters (= 64 文字超は使うべきでない) と書かれており、「実質的に nonce は『ちょうど 64 文字』しか許されない構造になっている」
  • 主要参加者の主張:
    • Aaron Parecki (4/29): 「この文言は FAPI から直接コピーしたもの。panva (Filip Skokan) に経緯を聞きたい」
    • Filip Skokan (4/29、panva): 「両者は矛盾していない。最大限の prescribe としてはこれが我々が許容できた表現。一部の AS が大きな nonce 値を拒否していたため、certification が interop / conformance テストを追加できる根拠として最低限の interop テキストとして入れたもの」
    • Dean (4/29): 「これが FAPI 直輸入と知らなかった。仕様の 2 つのディレクティブを満たす唯一の値が 64 文字固定であるため、exactly 64 characters と表現すべきではないか。あるいは FAPI 由来である旨の non-normative note を入れて、なぜ IPSIE SL1 がこの構成を採るかを説明したほうがよい」
    • Filip (4/29): 「64 文字を強制しているわけではない。AS がこの長さまで対応する MUST、クライアントが超えるべきではない、と prescribe しているだけ」
    • Dean (4/30): 「再読したら確かにその通り。数日コメントを待ってから、コメントなければクローズしてこのまま残す」
  • 状態: 6/12 に Dean が「コメントなしのためクローズ」と判断してクローズ
  • 意義: Call for Adoption 後の draft レビューが「文言の論理的整合性」レベルまで降りてきたこと、また Filip Skokan が FAPI 編集者としての歴史的経緯を直接 IPSIE 側に伝達できた事例

4 月中に追加コメントが入った既存 issue

4 月内には新規 issue 以外に、以下の 3 件が活発に動いた(3 月起票だが 4 月内にコメント・クローズが集中):

これらは Call for Adoption 採択 → draft 00 公開 → 過去 issue の「draft 00 への反映確認」という典型的なクローズフローに沿ったものである。

6. 関連イベント

  • IIW 40 (Internet Identity Workshop XL): 2025-04-08〜04-10、Computer History Museum, Mountain View, CA。第 40 回目の節目イベント。4/15 議事録によると、Aaron と Dean が IPSIE 紹介セッションを主導し、IPSIE 関連の複数トピックが取り上げられた。アンカンファレンス形式のため事前アジェンダは存在しないが、4/8〜10 の IPSIE 関与の影響で IPSIE WG 定例コール自体は 4/8 をスキップ済み
  • OpenID Foundation Workshop (pre-IIW): 2025-04-07 開催(IIW 40 の前日、Cisco San Jose)と推定される(IIW 40 開催に合わせた pre-IIW Workshop の OIDF 慣例パターン)。本月の IPSIE WG 議事録には Workshop での IPSIE プレゼンへの言及はないが、4/15 議事録の「IPSIE が IIW 40 で取り上げられた」発言から少なくとも IIW 本体で IPSIE が紹介されたことは確実
  • Identiverse 2025 提案: 4/15 議事録によると、6 月開催の Identiverse 2025(6/3〜6 Mandalay Bay, Las Vegas)に Dean、Aaron 他で IPSIE パネルディスカッションを提案済み(採択結果は本月時点では未確定)

なお、5 月以降に控えるイベント(EIC 2025 5/6〜9 Berlin、AuthCon 5/14、SaaStr 5/13〜15、Identiverse 6/3〜6)は 4/29 議事録のコミュニティイベント節で WG として明示的に共有された。

7. 今後の予定

2025 年 4 月末時点で WG が 5 月以降に向けて公式に確認していた予定:

  • 5/6 コール以降: 新規 issue #67〜#70 と SAML 関連の検討を継続。特に #67 (acr 値)、#69 (DPoP 要件)、SCIM IL1 の初期ドラフト共有が次回以降のメイントピックとなる見込み
  • SCIM IL1 (Mark Maguire / Jen Schreiber): 初期ドラフトを近く WG に共有予定(→ 後の 5/2 PR #72 として実現)
  • FAL2 関連検討: 4/29 コールで Alex Chalmers と Shannon Roddy が「Dean が FAL2 issue を起票したら SAML vs FAL2 の検討を引き受ける」と表明。NIST SP 800-217 (PIV Federation Guidelines) との関連検討も Tom Clancy のコメントで示唆された(→ 後の 5/1 PR #71 と 5/8 の Issue #75〜#84 起票として実現)
  • AB/Connect への持ち込み (Issue #60 / #62): Dick が「OIDC Enterprise Extensions」として AB/Connect WG での adoption を狙う作業を継続中。session lifetime / テナンシークレームの正式提案が次の段階
  • JPMC Open Letter への OIDF 応答検討: 4/29 コールで Aaron が共有した JPMC Open Letter について、OIDF として IPSIE・AuthZEN・AB/Connect の 3 WG を絡めた応答を検討中
  • イベント参加: EIC(5/6〜9 Berlin、Mike Jones 参加)、AuthCon(5/14、Dick が IPSIE で登壇)、SaaStr(5/13〜15、Aaron 参加)、Identiverse 6/3〜6(IPSIE パネル提案中)
  • 年末 interop ゴール: 4/15 コールで Aaron が再確認した「12 月の IPSIE interop イベント開催」が WG 全体の逆算スケジュールの基準点
  • SAML SL1 の再開時期: 4/22 の決定により「数か月後」に再訪。間に Alex / Shannon による FAL2 vs SAML 比較作業が挟まる見込み

8. 参考情報源

OpenID Foundation 公式

メーリングリスト(pipermail アーカイブ、週次インデックス)

GitHub Wiki 議事録

GitHub Issues / PRs

関連イベント