idbok

Appearance

IPSIE WG 2025 年 5 月活動レポート

執筆日: 2026 年 4 月 28 日

1. 概要

OpenID Foundation の Interoperability Profiling for Secure Identity in the Enterprise (IPSIE) WG は、エンタープライズ ID 連携の相互運用性を高めるため、SSO・ユーザライフサイクル管理・エンタイトルメント・リスクシグナル共有・ログアウト・トークン失効といったテーマごとに既存仕様の プロファイル を策定する WG である。チェアは Aaron Parecki (Okta) と Dick Hardt (Hellō) が務め、毎週火曜 9 時 PT に定例会を開催している。

2025 年 5 月の IPSIE WG は、4 月までにおおむね方向性が固まった OIDC SL1 プロファイルのスコープ確定 から、その後の FAL2 適合化作業の アジェンダ整理フェーズ へと移行した月である。具体的には次の 4 つの動きが同時並行に進んだ。

  1. SL1 のスコープを「フェデレーションログインと UserInfo エンドポイントへのアクセス」に限定する確定: 5/6 コールでの議論を受けて Issue #73 が起票され、DPoP やリフレッシュトークンといった「リソースアクセス向け」要件を SL1 から外す方針が合意された
  2. NIST SP800-63C Rev4 ドラフトと SL1 のギャップ整理: Dean H. Saxe が PR #71 で FAL2 関連要件を一括して文書化し、5/8 にギャップ単位で Issue #75〜#84 の 10 件を起票。後の 6 月の FAL2 系 Issue 集中起票(#88〜#95 の 8 件)と sidecar 文書構想の 直接の前提 となった
  3. OpenID Connect Enterprise Extensions(Dick Hardt / Karl McGuinness 提案)の AB/Connect WG への送り出し開始: 5/12 に ML へ寄稿、5/13 と 5/20 のコールで内容紹介、5/21 〜 5/22 に Mike Jones が Call for Adoption 開始を表明
  4. SCIM IL1 ドラフト(Mark Maguire 提案)の初版投入: PR #72 として 5/2 に上げられ、OAuth 認証・ユーザライフサイクル・ページネーション等のレビューが開始

月内の定例会は 5/6・5/13・5/20・5/27 の 4 回。EIC 2025(5/6-9 Berlin)と Identiverse 直前期間にあたるため、ML 投稿は議事録と GitHub digest を中心に静かな月であった。なお先行してアジェンダにあった「FAL2 関連 Issue 群の本格議論」「Common Requirements (sidecar) 文書」は本月では着手されず、それらは 6 月以降に持ち越されている。

2. 公開された仕様・ドラフト改訂

当月、OIDF サイトでの正式な Implementer's Draft / Final 公開はなかった。GitHub 上のドラフトに関しては、月内マージは確認できず、次の 3 本の PR が オープン状態でレビュー中 の状況であった。

  • openid/ipsie#71 FAL2 Requirements(dhs-BI、2025-05-01 作成)
    • SP800-63C Rev4 ドラフト(5/1 時点)から FAL2 関連要件を抜き出して文書化。5/2 に追加されたエディトリアルノートでは「IPSIE WG は FAL2 ガイドライン全体を機械的に取り込むのではなく、エンタープライズユースケースで意味のある統制を選別して採用する」方針が明記された
    • この PR から派生する形で 5/8 に Issue #75〜#84 が起票され、章節単位の議論用エントリポイントとして機能した
  • openid/ipsie#72 Create IL1-SCIM.md(2MarkMaguire、2025-05-02 作成)
    • IPSIE Interoperability Level 1 (IL1) 向けの SCIM 2.0 プロファイル初版。OAuth 2.0 認証、User/Group オペレーション、セキュリティ考慮事項等を構造化
    • レビューコメントでは「OAuth 要件を専用節に分離する(CAEP Interoperability Profile に倣う)」「JWT Client Authentication (RFC 7523) と JWT Authorization Grants の使い分け」「ユーザ無効化時のセッション・トークン・SSH 鍵までを含む包括的失効義務」「ブラウンフィールドのオンボーディングを支えるためのページネーション必須化(カーソル方式優先)」「JIT 作成済みアカウント発見のための GET /Users 必須化」等が指摘された
  • openid/ipsie#85 Update ipsie-levels.md(aaronpk、2025-05-27 作成)
    • 5/27 コールでの議論内容を ipsie-levels.md に反映する PR。1 週間レビュー期間を取り 6/12 にマージされた

また、月内には Dick Hardt と Karl McGuinness の個人寄稿として OpenID Connect Enterprise Extensions ドラフトが ML に投入された。これは IPSIE WG ではなく AB/Connect WG への adoption を狙った提案 であり、IPSIE は依存元として 5/13 / 5/20 / 5/27 各コールで内容を確認する立場である。

3. ミーティングと議論

5 月の定例会は 5/6・5/13・5/20・5/27 の 4 回。各回の議事録は GitHub Wiki (github.com/openid/ipsie/wiki/2025-05-XX) と ML(Aaron Parecki 投稿)に公開されている。

5 月 6 日コール

参加者: 21 名(Okta, Beyond Identity, SailPoint, MITRE, RSA, Yubico, Google, GitHub 他)

主な議論:

  • SCIM ライフサイクル要件の不足: Karl McGuinness が「必須となるライフサイクル操作の集合を定義すべき」と提起。Dean H. Saxe は ML/Slack で先に議論をまとめてから PR に落とすことを推奨
  • FAL2 Trust Agreements の扱い: スコープ拡大を避けるため Trust Agreements をどう取り扱うかが論点に。Tom Sato(議事録より)は「政府側でも FAL 要件は AAL に比べて議論が薄い」と現状を共有。Aaron は「IPSIE は相互運用性のための要件に集中すべきで、ポリシー領域には踏み込まない」と方向付け
  • DPoP / リフレッシュトークン (Issue #69): SL1 に DPoP やリフレッシュトークンを含めるかについて深掘り。Filip Skokan は「DPoP は SL1 にとって明確な便益のないまま複雑性を持ち込む」と否定的。George Fletcher は「リソースアクセスを制限したトークンではモバイルクライアントの実装が機能しない可能性」を懸念。最終的に「DPoP とリフレッシュトークンは SL1 のスコープから外し、後続の『リソース層アクセス向けプロファイル』に持ち越す」コンセンサスが成立

決定事項:

  • DPoP とリフレッシュトークンは SL1 では扱わない(後続プロファイルへ)
  • アクセストークンは UserInfo エンドポイント取得用途のみに限定
  • Aaron がリフレッシュトークン議論用の新規 Issue を起票(→ Issue #74)
  • Dean が「OIDC SL1 のイントロを ID フォーカスに書き直す」Issue を起票(→ Issue #73)

5 月 13 日コール

参加者: 13 名(Okta, Beyond Identity, RSA, Apple, Yubico, SailPoint 他)

主な議論:

  • Identiverse 期間中(6/3)のコール中止: 6/3-6 の Identiverse 期間中は WG コールを休会することを決定(議事録 2025-05-13 より)
  • PR #66 Enterprise Extensions の紹介: Dick Hardt から ML 寄稿の概要報告。「ID トークンへのクレーム追加と認可リクエストパラメータの追加」が主な変更点。AB/Connect WG が adoption を判断する立場である点を強調しつつ、IPSIE メンバーにレビューを依頼
  • FAL2 Attribute Bundles (Issue #84): VC やウォレット保管型のクレデンシャルは SL1 のスコープ外と整理。George Fletcher が「SL1 はあくまで『安全な SSO に何が必要か』に絞るほうが有用」と論点を絞り込んだ
  • FAL2 Privacy Requirements (Issue #81): SP800-63C 要件の「アメリカ的なプライバシー観」が議論の的に。「規範的な privacy 要件を IPSIE で定めるのではなく、claims request パラメータ等の暗号化機能サポートを推奨する形に留める」方向性で合意
  • FAL2 Security Controls (Issue #82): 内部コンプライアンス向け統制と相互運用性に効く統制の区別が論点に。「SP800-53 / FedRAMP のような特定のフレームワークを必須化せず、相互運用性に影響する統制のみ抽出する」方針を採用
  • FAL2 Trust Agreements (Issue #76): SL1 完了後まで先送り。Aaron が「今後 6 か月の議論には乗らない」と表明(議事録 2025-05-13 より)

決定事項:

  • 共通セキュリティ統制を別ドキュメントとして抽出し、コアな IPSIE プロファイルとは独立したライフサイクルで管理する方向(後の 6 月 sidecar 文書構想の起点)
  • IPSIE セキュリティ要件と SP800-53 / FedRAMP のマッピング作成

5 月 20 日コール

参加者: 12 名(Okta, Apple, Google, Yubico 他)

注: 当週は Dean が不在のため、Aaron が「FAL2 関連 Issue 群の議論は Dean 帰還後に再開する」と事前にアジェンダを Agenda for 2025-05-20 ML 投稿で通知済み。代わりに Issue #74(リフレッシュトークン vs フルページリダイレクト) にフォーカスした構成となった。

主な議論:

  • コミュニティイベント報告: Dick Hardt が AuthCon で Less Oopsie with IPSIE というタイトルで登壇し好評だったと報告(議事録 2025-05-20 より)。Aaron は SaaStr 参加経験から「エンタープライズ採用の初期段階で、すでに Slack 等のインテグレーションを抱えている参加者が多かった」と所感を共有
  • OpenID Connect Enterprise Extensions ドラフトのウォークスルー: Dick が ID トークンへの session expiry クレーム追加と third-party initiated login を主な提案として紹介。Tenant attribute is an opaque identifier defined at the identity provider(議事録 2025-05-20 より)と説明し、ドメインベースのテナント識別に対する代替案として位置付け。groups と roles については IPSIE 側の要件待ちで未定義のまま残す方針
  • リフレッシュトークン議論: Issue #74 に紐付き、リソースサーバの認可サーバが IdP セッションを再確認する経路として、リフレッシュトークンによるバックチャネル検証 vs フルページリダイレクトのトレードオフを整理。「メールクライアント等の長寿命アプリケーションでは UX 上のメリットが大きい」「DPoP とパブリッククライアント・ローテーティングリフレッシュトークンの組合せ」等が論点に挙がった

5 月 27 日コール

参加者: 19 名(Okta, Yubico, Apple, SailPoint, RSA, Hellō, Workday 他)

主な議論:

  • Enterprise Extensions の Call for Adoption 支持要請: Aaron から WG メンバーに対し「ML で +1 を投稿して支持表明してほしい」と要請。SL1 整合の依存仕様として位置付ける旨を確認
  • セッションライフタイムとリフレッシュトークン: 当日のメイントピック。次の対立軸が明確化された
    • リフレッシュトークン必須化の是非(未決)
    • 「IdP セッションのライフタイム」と「アプリケーション側セッションのライフタイム」の概念的分離が明示的でない
    • リフレッシュトークンは an optimization which can be used instead of a full page redirect(議事録 2025-05-27 より)として位置付け
  • SL1 と SL2 の境界: 「SL1 は IdP が RP に RP セッションのライフタイムを伝える」「SL2 は IdP がセッションを強制終了できる」という機能差で整理。「SL1 では RP がセッション状態を確認できる能力は持つが、確認を必須とはしない」「SL1 ではアプリは伝達されたセッション期間を尊重する MUST」というコンセンサスへ

決定事項:

  • 「IPSIE levels ドキュメントから規範仕様への被リンク」と「explainer ドキュメント拡充」の Issue を新規作成
  • Aaron Parecki と George Fletcher が ipsie-levels.md を explainer 文書として拡張する作業に着手(→ PR #85 として作業進行)
  • 6/3 はコール休会、6/10 から通常スケジュール再開

4. メーリングリストの主要スレッド

5 月の ML(週次アーカイブ)は議事録通知と週次 GitHub digest が中心で、技術論議スレッドは数本に留まる。月をまたぐ議論の起点となった主要スレッドは以下の通り。

4.1 OpenID Connect Enterprise Extensions contribution - 2025-05-13 開始(4 投稿)

  • 発端: Dick Hardt が Karl and I are contributing the attached openid-connect-enterprise-extensions.html to the OpenID Foundation with the desire for it to be adopted by the OpenID AB/Connect WG. と投稿。HTML 添付と GitHub Pages(dickhardt.github.io/enterprise-extensions/openid-connect-enterprise-extensions.html)/ソースリポジトリ dickhardt/enterprise-extensions を案内
  • Dick からの追問(5/21、000070.html): Do we need any other feedback to do a call for adoption? と Mike Jones に進行確認
  • Mike Jones の応答(5/22、000071.html): I can start a call for adoption, given people have had the proposal for a bit and we've discussed it on calls. と Call for Adoption 開始を承諾
  • Dick の謝意(000072.html): Thanks Mike! で短く返答
  • 意義: 本ドラフトは IPSIE WG ではなく AB/Connect WG への adoption を目指すが、IPSIE SL1 が依存する session_expiry 等のクレーム供給元として位置付けられる。IPSIE 側にとっては 6 月以降 session_lifetimesession_expiry 用語整合(Issue #91)の前提として機能する

4.2 2025-05-13 Meeting Minutes - 2025-05-13 開始

  • 発端: Aaron Parecki が議事録を ML へ転記
  • 議論: コール内議論を ML で公開する標準フロー。FAL2 関連 Issue 群(#75〜#84)を sidecar 的な共通文書として切り出すアイデアの初出を含む
  • 意義: 後の 6 月における Common Requirements (sidecar) 文書構想(6/17 ML 投稿)に直接つながる議論記録。「FAL2 関連 Issue を共通ドキュメントへ集約する」という発想が 5 月時点で既に芽生えていたことを示す

4.3 Agenda for 2025-05-20 - 2025-05-13/14 開始

  • 発端: Aaron が「Dean が休暇のため、5/20 のコールでは FAL2 関連 Issue の議論は Dean の帰還まで保留する」と通知。代わりに Issue #74 のリフレッシュトークン vs フルページリダイレクト議論を中心に据える旨を共有
  • 意義: 月の中盤までに「FAL2 関連 Issue 群(#75〜#84)の本格議論は 6 月以降に集中する」という事前合意が成立していたことが分かる、進行管理上の重要投稿

4.4 Weekly github digest(5/4・5/11・5/18・5/25・6/1 配信、5 投稿)

  • 発端: 自動 Bot 投稿(Repository Activity Summary Bot
  • 各週の主な内容:
    • 5/4 配信000063.html): Issue 純増 +3 / -5、nonce 長への議論で 7 コメント(aaronpk, dhs-BI, panva)
    • 5/11 配信000065.html): Issue +12 / -0(FAL2 系 #75〜#84 と #73 / #74 を一括起票)、PR #71・#72 提出
    • 5/18 配信000069.html): 新規ゼロ、Issue #81 に Karl McGuinness のコメント 1 件
    • 5/25 配信000073.html): Issue #74 にコメント 3 件(aaronpk, mcguinness, ttripp)
    • 6/1 配信000075.html): PR #85 提出(aaronpk、5/27 コール反映)
  • 意義: 月初の +12 / 05/8 の Dean による FAL2 Issue 集中起票を捕捉した記録。月の活動の重心が「議論ベース」より「論点列挙ベース」にあったことを定量的に示す

4.5 議事録通知系スレッド

5/13 と 5/20 のコール議事録は ML(5/12 週)に Aaron から投稿されているが、5/27 分は週またぎで 5/29(5/26 週)に投稿されている。5/6 コールの議事録は ML 上ではなく GitHub Wiki のみで公開された形跡があり、本月の議事録運用は移行期にあったことが伺える。

5. GitHub 上の議論

§2・§4 で扱った PR・スレッド以外で、月内に新規作成または議論が活発化した Issue は以下の通り。

  • openid/ipsie#73 - Update intro to OIDC SL1 to clarify intent(dhs-BI、2025-05 起票、ラベル: agenda, sl1)
    • 5/6 コール決定を反映し、OIDC SL1 プロファイルのイントロを「フェデレーションログインと UserInfo エンドポイントへのアクセス」に明示限定。これにより DPoP / リフレッシュトークンの扱いが Issue #69 と切り離せるようになった。後の 7/9 にクローズ
  • openid/ipsie#74 - refresh tokens vs full page redirects - how should the resource authorization server check the IdP session?(aaronpk、2025-05-06 起票、ラベル: sl1)
    • モバイルアプリの認可サーバがアクセストークン更新時にエンタープライズ IdP のセッションを再確認したい際、(1) IdP リフレッシュトークンを保有していれば backchannel で確認、(2) 持たない場合は full OAuth flow(ブラウザポップアップ)が必要、というトレードオフを問題提起。somewhat disruptive to the user experience と UX 上の課題を明示
    • 5/25 週に aaronpk / mcguinness / ttripp の 3 コメントで議論再点火。後の 9/2 までクローズせず継続
  • openid/ipsie#75 - FAL2 - Pairwise Pseudonymous Identifiers(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • PPI 必須化の是非。Dean は I do not have a strong opinion on IPSIE support for PPI と中立姿勢を示し、エンタープライズ文脈での意義についてコミュニティに意見を募集
  • openid/ipsie#76 - FAL2 Trust Agreements and IPSIE(dhs-BI、2025-05-08 起票、ラベル: deferred, FAL2)
    • Dean が個人意見として「Trust Agreements は技術統制ではなく組織間ビジネス契約のため IPSIE スコープ外」と主張。5/13 コールで議論し deferred ラベル付与
  • openid/ipsie#77 - FAL2 Compliance - Authentication and Attribute Disclosure(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • SP800-63C Rev4 §3.6 のアトリビュート開示要件は「ビジネス契約や法規制で定まるもので IPSIE では強制不能」とし、these requirements are unenforceable by IPSIE and should be eliminated from consideration と論点提示
  • openid/ipsie#78 - FAL2 Compliance - Account Linking(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • SP800-63C Rev4 §3.7.1 のアカウントリンク要件について「エンタープライズユーザは通常 federated identifier を 1 つしか持たず、複数 ID は影 IT を示唆する」と背景整理。JIT provisioning followed by establishing managerial control of the account through SCIM is functionally different than account linking and should be supported moving forward として、SL1 ではアカウントリンクを禁止する方向を提案
  • openid/ipsie#79 - FAL2 - Account Resolution(dhs-BI、2025-05-08 起票、ラベル: FAL2, sl1)
    • IPSIE 内では Account Resolution を JIT プロビジョニング済みアカウントのみに限定する立場を提示。JIT 自体は IPSIE スコープ外だが、SL1 の信頼可能な実装のための非規範的ガイダンスを提供する方針。6 月以降に sidecar 文書での扱いが検討される伏線
  • openid/ipsie#80 - FAL2 - Alternative Authentication Processes(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • 「IPSIE は現状フェデレーション以外の認証経路を想定していない」点を認め、break glass アカウント等の直接認証経路に SL1 と同等のセキュリティ統制(プロビジョニング・監査・SCIM 範囲外の deprovisioning)を求める表現追加を提案
  • openid/ipsie#81 - FAL2 - Privacy Requirements(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • SP800-63C Rev4 §3.9 の取り込み是非。Privacy requirements differ around the world and are likely subject to business agreements that are outside of the scope of an IPSIE profile として、規範化せず実装者に文書化を推奨する方針を提案。Karl McGuinness が 5/18 週に追加コメント
  • openid/ipsie#82 - FAL2 Security Controls(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • SP800-63C Rev4 §3.10 のセキュリティ統制について、「米国フレームワーク偏重で、地域・業種固有要件と合わない可能性がある」点を指摘。SP800-53 / FedRAMP を例示しつつフレームワーク非依存のガイダンスとする方針を提案
  • openid/ipsie#83 - FAL2 - storage of subscriber attributes/deprovisioning(dhs-BI、2025-05-08 起票、ラベル: FAL2, pending close, sl1)
    • SP800-63C Rev4 §10.3.2 のサブスクライバ属性保管要件と、エンタープライズの実運用との緊張関係を整理。SL1 では NIST 義務に厳格に従わず、法務・ポリシー範囲内で柔軟に選択できるよう推奨
  • openid/ipsie#84 - FAL2 - Attribute Bundles (VCs)(dhs-BI、2025-05-08 起票、ラベル: FAL2, sl1)
    • SP800-63C Rev4 §3.11.1 のサブスクライバ保有ウォレットでの属性バンドル(VC 等)は IPSIE スコープ外で SL1 規範要件に含めない、との立場。5/13 コールで合意(後の 6/17 にクローズ)

これら 5/8 起票の Issue 群(#75〜#84)は Dean H. Saxe が PR #71 で抜き出した SP800-63C Rev4 章節を、独立した議論単位に切り出したもので、5 月後半の WG コールでの章節別レビューと、6 月の sidecar 文書構想(共通ドキュメント化)への転換点となる。

6. 関連イベント

  • European Identity and Cloud Conference (EIC) 2025(5/6-9 Berlin): KuppingerCole 主催。OpenID Foundation の WG / CG 横断アップデートセッションで IPSIE が紹介された。デジタルアイデンティティ保護、CIAM、Zero Trust、AI セキュリティといった広範なテーマを扱う中、IPSIE は「エンタープライズ ID 標準化」の代表トピックとして取り上げられた
  • AuthCon(5/14): Dick Hardt が Less Oopsie with IPSIE というタイトルで登壇し、oversold, well-attended だったと報告(5/20 議事録より)。IPSIE への外部認知を高める発表と位置付けられた
  • SaaStr: Aaron Parecki が参加し「エンタープライズ ID 標準化の必要性に対する一般的認知度」について現場感を共有(5/20 議事録より)
  • OpenID Foundation Digital Identity Interoperability Demonstration(5/5): 別 WG(Digital Credentials Protocols 寄り)の活動だが、OpenID Foundation 全体としての Identity Interop の節目イベント。IPSIE WG メンバーへの直接影響は確認できないが、OIDF の活動トーン全体に関わる文脈として記録

なお Identiverse 2025(6/3-6 Mandalay Bay)は本月内ではないが、5/13 コールで「該当週の WG コール休会」を決定している。

7. 今後の予定

5 月末時点で当時予定されていた 6 月以降の動きは以下のとおり。

  • 6/3 コール休会、6/10 から通常スケジュール再開: 5/13 / 5/27 コールで決定
  • FAL2 関連 Issue 群(#75〜#84)の章節別レビュー再開: Dean の帰還を待ち 6 月から本格化
  • OIDC SL1 イントロ書き換え PR: Issue #73 を起点に進行
  • PR #85(ipsie-levels.md 更新、5/27 提出)のマージ: 1 週間レビュー後にマージ予定
  • OpenID Connect Enterprise Extensions の AB/Connect Call for Adoption: Mike Jones が 5/22 に開始表明済み。AB/Connect 側で adoption が確定すれば IPSIE SL1 が依存する session_expiry 等のクレーム定義が固まる
  • SCIM IL1 ドラフト (PR #72) のレビュー: OAuth 認証節の分離・ライフサイクル必須操作・ページネーション等のフィードバックを反映する継続作業
  • 共通セキュリティ統制ドキュメントの抽出方針: 5/13 コールで合意された「IPSIE プロファイル横断の共通文書」の具体構成検討(後の 6 月 Common Requirements / sidecar 文書につながる流れの起点)

8. 参考情報源