idbok

Appearance

IPSIE WG 2025 年 6 月活動レポート

執筆日: 2026 年 4 月 28 日

1. 概要

OpenID Foundation の Interoperability Profiling for Secure Identity in the Enterprise (IPSIE) WG は、エンタープライズ ID 連携の相互運用性を高めるため、SSO・ユーザライフサイクル管理・エンタイトルメント・リスクシグナル共有・ログアウト・トークン失効といったテーマごとに既存仕様の プロファイル を策定する WG である。チェアは Aaron Parecki(Okta)と Dick Hardt(Hellō)が務め、毎週火曜 9 時 PT に定例会を開催している。

2025 年 6 月の IPSIE WG は、5 月から続く OIDC SL1 プロファイルの FAL2 適合化作業 が中心となった月である。具体的には次の 4 つの動きが同時並行に進んだ。

  1. FAL2 関連の論点を Issue として体系的に切り出す動き: Dean H. Saxe が 6/12 〜 6/23 にかけて #88(JIT provisioning)・#89(auth_time)・#90(max_age)・#91(session_lifetime → session_expiry)・#92(prompt パラメータ)・#93(subject identifier の一意性)・#94(RP-initiated federation)・#95(assertion presentation)の 8 件を起票し、SP800-63C Rev4 ドラフトを参照基準としたギャップ整理を実施
  2. Common Requirements「sidecar」文書の最初の構想と初版ドラフト公開: 6/17 ML で Dean が問題提起し、6/23 に GitHub Pages で初版を公開、6/24 コールで方向性を確認
  3. 新規 ACR 値 ipsie_sl1 の構想: 6/10 コールで George Fletcher が問題提起し Issue #86 として起票
  4. エフェメラル ID と JIT プロビジョニングの取り扱い整理: 6/17 コールで「エフェメラル ID は SL1 ブロッカーにしない」と先送り、JIT は非規範的ガイダンスとして扱う方向

これらは 7 月以降の Common Requirements Profile 採択(7/23 締切)や auth_time/amr 実装実態調査(Issue #96)の 直接の前段 に位置する議論である。月内の定例会は 6/10・6/17・6/24 の 3 回。Identiverse 2025(6/3-6、Mandalay Bay)と重なる 6/3 は定例会が開催されず、ML アーカイブ上も 6/3 週(Week-of-Mon-20250602)にエントリは存在しない。

2. 公開された仕様・ドラフト改訂

当月、OIDF サイトでの正式な Implementer's Draft / Final 公開はなかった。一方で GitHub 上のドラフトには次の変更がマージされた。

  • openid/ipsie#87 Update FAL2 language in the levels(deansaxe 提案、2025-06-11 作成・2025-06-12 マージ、aaronpk 承認)
    • 5/13 コールおよび Issue #76 の議論を踏まえた ipsie-levels.md の FAL2 関連表現の更新
    • 当月唯一マージされた PR

また、月末時点では Common Requirements「sidecar」文書の初版ドラフト(Dean H. Saxe 個人リポジトリ、deansaxe/draft-saxe-ipsie-common-requirements-profile)が GitHub Pages 上に公開され、6/24 コール・6/30 ML 投稿で WG への正式な adoption コール開始の意向が共有された。実際の Call for Adoption は 7/9 開始であり、6 月内は「採択の前提条件を整える」段階に留まる。

3. ミーティングと議論

6 月の定例会は 6/10・6/17・6/24 の 3 回。6/3 は Identiverse 2025(6/3-6 開催)の IPSIE パネル(Aaron Parecki、Dean H. Saxe、Atul Tulshibagwale、Jen Schreiber が登壇)と重なるため定例会は開催されなかったと推察される。各回の議事録は GitHub Wiki(github.com/openid/ipsie/wiki/2025-06-XX)に公開されている。

6 月 10 日コール

参加者: Aaron Parecki (Okta), Mark Maguire (Aujas Cybersecurity), Shannon Roddy (self/LBL), Kenn Chong (RSA), Sean Miller (RSA), Jeff Bounds (SailPoint), Karl McGuinness (Self), Alex B Chalmers (Self), Dick Hardt (Hellō), Jon Bartlett (Zscaler), Dean H. Saxe (self), George Fletcher (Practical Identity LLC), Bjorn Hjelm (Yubico), Jen Schreiber (Workday), Ameya Hanamsagar (Meta), Travis Tripp (HPE)

主な議論:

  • Identiverse 2025 IPSIE パネル振り返り: 6/3 開催のパネルに 100 人超が参加し、Duo のリーダーがキーノートで IPSIE に言及するなど、対外可視性が高まったと議事録に記載(議事録 2025-06-10 より)
  • Session Lifetime Claim の WG 採択: Dick Hardt のエンタープライズ拡張ドラフトが採択され、リポジトリへの取り込み作業が次のステップとして合意された(後の 6/17 コールで session_lifetimesession_expiry への用語変更要請につながる)
  • SCIM ドラフト: Mark Maguire と Jen Schreiber が提出した SCIM ドラフトについては、現時点では採択基準を満たしていないとの見解。今後数週間でレビューを継続することに(このドラフトが後に PR #72 / SCIM IL1 として 8 月 SCIM IL1 採択コールへとつながる)
  • SL1 シグナリングのギャップ: George Fletcher が「acr 値に文脈情報がなく、JIT のステップアップなのかどうかすら判別できない」と指摘し、ipsie_sl1 という新規 ACR 値を IANA に登録する案を提示。OIDC が assurance level の動的な変更(downgrade)を伝える機構を持たないことを「protocol gap with OIDC」として整理。本件は当日中に Issue #86 として gffletch が起票

アクションアイテム: George Fletcher が ipsie_sl1 ACR 値の Issue 起票(同日中に Issue #86 で完了)。

6 月 17 日コール

参加者: Aaron Parecki (Okta), Dean H. Saxe, Sean Miller (RSA), Kenn Chong (RSA), Qinglan Gao (RSA), Dick Hardt (Hellō), Karl McGuinness, Nick Watson (Google), Jon Bartlett (Zscaler), Travis Tripp (HPE), Alex Chalmers, Jeff Bounds (SailPoint), Vatsal Gupta, Bjorn Hjelm (Yubico), Ameya Hanamsagar (Meta)

決定事項:

  • Issue #84(Attribute Bundles / VCs)のクローズ: スコープ外として close
  • Issue #89(auth_time クレームの規範化)方向確定: ID トークンに auth_time を含める方向で承認
  • Issue #90(max authentication age)の方向: Dean が「RP は max_age を送信、OP は auth_time を返す」を必須化する PR を準備することに合意
  • エフェメラル ID は SL1 ブロッカーにしない: Issue #54 を踏まえ、SL1 プロファイル開発を阻害しないため当面の追加作業を保留することに

主な議論:

  • max_age 必須化の是非: Karl McGuinness が service provider may want to protect itself と発言し、IdP のポリシー設定とは独立に SP(=RP)側にも自衛手段が必要と主張(議事録 2025-06-17 より)。一方 Alex Chalmers は「エンタープライズユースケースに本当に整合するか」を問い、Travis Tripp は「マネージド・サービス・プロバイダのシナリオではセッション終了時に deprovisioning シグナルが必要となる JIT の一時 ID もある」と補足
  • session_lifetime の用語: AB Connect ドラフトで session_expiry が使われていることが共有され、IPSIE 側の用語を session_expiry に揃えることで合意。Dean が Issue #91 を当日起票
  • エフェメラル ID と AB Connect への送り出し: Dean が「エフェメラル ID が IPSIE 固有の問題なのか、業界全体の問題(その場合は AB Connect WG が扱うべき)なのかは Aaron と後日整理する」と表明

アクションアイテム: Dean が session_lifetimesession_expiry の Issue 起票と PR 準備、Aaron が EAP チェアと追加 ACR 値運用について調整、Dean が ML にエフェメラル ID 先送りと Issue #79(Account Resolution)の続報を投稿、Nick Watson が「無限大のタイムスタンプ表現」の標準について ML 上で続報、エフェメラル ID と JIT のガイダンス執筆者を募集。

6 月 24 日コール

参加者: Dean H. Saxe(議長代行、Aaron 不在のため), Sean Miller (RSA), Kenn Chong (RSA), George Fletcher (Practical Identity LLC), Dick Hardt (Hellō), Anatoly Podstrelov (EDETEK), Jon Bartlett (Zscaler), Jeff Bounds (SailPoint), Bjorn Hjelm (Yubico), Shannon Roddy (self/lbl), Jen Schreiber (Workday)

決定事項:

  • PR レビュー継続: OIDC SL1 イントロの文言調整 PR は 1 週間オープンのまま追加フィードバックを募集
  • Common Requirements(sidecar)文書: TLS や DNSSec などの共通ガイダンスを集約する方向で WG として正式に位置付け、採択前提でレビューを進める

主な議論:

  • Common Requirements 文書の構想: Dean が前日 ML に投稿した初版ドラフトについて、The IPSIE OpenID Connect SL1 Profile is an implementation of the IPSIE SL1 requirements for the OpenID Connect protocol という位置付けを George が提案。FAL2 オープン Issue 群(#75, #77, #78, #80, #81, #82, #83)を sidecar 文書での解決に集約する戦略が共有された
  • Account Resolution の根本的難しさ: 雇用変更でメールアドレスが変わるケース、組織が新規 SP と関係を持つときのアカウント連結、個人アカウントから企業管理アカウントへの引き継ぎなど、複数識別子の管理が論点に。Anatoly が「企業は通常、非準拠アカウントをブロックする」と現場運用を共有。Shannon は学術界の事情として「在籍中の業績が雇用変更後に失われない仕組みが必要」と指摘。Dick Hardt は It is very RP and enterprise specific と整理し、規範化はせず非規範ガイダンス止まりとする方向で合意(議事録 2025-06-24 より)
  • max_age / auth_time / prompt の絡み: George が「RP に即時再認証を強制させる UX 上の懸念」を提起。Dick は「再認証は明示的なユーザ操作とは限らず、信頼度の再評価を含む(チェックアウト等の高保証要求シナリオ)」と整理。論点は当初想定より深く、追加分析が必要との認識で一致

アクションアイテム: Dean が Account Resolution 文言案を起こす、メンバーは FAL Account Resolution および max_age 関連 PR をレビュー、ML/Slack 間でクロスポストを継続。

4. メーリングリストの主要スレッド

当月の ML(週次アーカイブ)に投稿された技術討議スレッドのうち、主要なものを以下に挙げる。6 月第 1 週(Week-of-Mon-20250602)はアーカイブが存在せず、Identiverse 開催と重なって投稿がなかったとみられる。

4.1 FAL2 - max_age and auth_time for OIDC SL1 - 2025-06-17 開始(7 投稿)

  • 発端: Dean H. Saxe が NIST FAL2 適合のため OP は auth_time を MUST、OP は max_age を MUST support、RP は業務ルールに応じて max_age を MUST send という三段構えを提案。does not introduce any interop concerns と意義を主張
  • Dima Postnikov(6/17 21:47 UTC)の異論: we are mixing 2 approaches: 1) RP asking OP to enforce max_age policy 2) RP asking for raw auth_time to enforce its own policy. I feel like both are not always necessary? とし、両方の MUST 化はコア仕様ではなく特定プロファイルに留めるべきと主張
  • Aaron Parecki の応答: IPSIE は「エンタープライズ IdP とアプリの統合」というユースケースに絞っており、we are trying to avoid adding optionality within an IPSIE level と非任意性の原則を再確認。代替案として another option here is to just make the auth_time claim mandatory, since it is optional in OIDC today, and then just not address the max_age question at all と提示
  • Dean の返答(#000084): auth_time だけ必須にして max_age を任意にすると、RP がリフレッシュ要求の手段を欠く問題が生じると反論し、(1) 両者必須、(2) auth_time だけ必須、(3) OP に prompt=login のサポートを必須化、の三案を提示
  • Simon Canning(#000086、6/17 23:08 UTC): prompt パラメータは UX 制御に使われ複数値を取りうるため、max_age=0 で再認証を表現するほうが意味論的に明確。prompt=login を OP に MUST 化すると他の prompt 値との相互作用を定義する必要が生じ、不必要な複雑さを招くと指摘
  • 結論: スレッド単独では決着せず、6/17 コールで「auth_time を ID トークン必須」「max_age の取り扱いは継続検討」と部分合意。Issue #92(prompt パラメータ)の起票(6/18)と 7 月以降の継続議論につながる

4.2 Draft of the side car requirements doc - 2025-06-23 開始(3 投稿)

  • 発端: Dean H. Saxe が「IPSIE WG が公開する各プロファイルにまたがる共通要件を集めた sidecar 文書」の初版ドラフトを GitHub と GitHub Pages の HTML 版で公開
  • Dick Hardt の質問(#000092、6/25): 実装者は本文書を各プロファイル文書と並行して参照する必要があるのか、動機は単に to not repeat language across profile documents なのか、を確認
  • Dean の応答(#000093、6/26): the idea is to avoid repetition by referencing this separate doc in profiles. Otherwise, we'd repeat common guidance about crypto keys, TLS, etc. と方針を明示。各プロファイル文書では sidecar をリファレンスする構造に
  • 意義: 7 月初頭の Call for Adoption(7/9 開始 / 7/23 締切)の 直接の前提 となる文書定義スレッド。8 月以降の SCIM IL1・OIDC SL1 が共通文書を参照する構造の起点

4.3 Ephemeral Identities in IPSIE - 2025-06-17 開始

  • 発端: Dean が Issue #54(2 月起票)が休眠状態にあったが、NIST SP800-63C rev4 DRAFT で類似議論が立ち上がったことを受けて 6/17 コールで再浮上したと報告
  • 結論: we have decided to defer any further work on ephemeral identities in IPSIE to ensure we do not block the development of the SL1 profiles として、SL1 プロファイル開発をブロックしない範囲で先送りすることを WG 決定として共有
  • 今後: Dean と Aaron が「IPSIE 固有の問題」か「業界全体の問題で AB Connect WG が扱うべき問題」かを後日判断し、コミュニティから Issue へのフィードバックを募集する形に

4.4 Just In Time Provisioning - 2025-06-18 開始

  • 発端: Dean が「JIT プロビジョニング機構自体は IPSIE のスコープ外」という従来決定を踏まえつつ、JIT で作成されたアカウントが本来の所有者と紐付けられる仕組みを文書化していない問題を提起。Issue #88 と SP800-63C Rev4 §4.6.3 / §4.6.7 を参照
  • 質問項目:
    • アカウント解決手順
    • アカウント解決失敗時の取り扱い
    • 管理外の JIT 作成アカウントに対するクリーンアップ(reaper)プロセスの要否
  • スタンス: Dean は non-normative guidance を望むが、コンセンサスがあれば標準化に踏み込む余地も残す立場。複数の SL* プロファイルにまたがるドキュメントへの集約を意図
  • 意義: Issue #88 と Issue #79(Account Resolution)の議論を結ぶ役割。後の OPC(OpenID Provider Commands)への aud_sub 提案など、8 月以降の Account Resolution 設計の素地を 6 月時点で提示

4.5 FAL2 Compliance - Authentication and Attribute Disclosure - 2025-06-17 開始

  • 発端: Dean が 5/13 コールでの議論を引いて、privacy/disclosure requirements を sidecar 文書に集約する方針を提示。Issue #77 への意見集約をコミュニティに依頼
  • 意義: 6/24 公開の sidecar 初版ドラフトの内容構成(FAL2 関連 Issue を集約する構造)を予告するスレッド

そのほか、6/30 に Dean が ML に投稿した IPSIE WG July 1 agenda + Request for WG members では、コール時点で the common requirements document is directionally correct and in a state that is ready for WG adoption というコンセンサスが得られたら Aaron に正式 adoption プロセス開始を要請する旨を予告し、7/9 の Call for Adoption 開始に直接つながった。

5. GitHub 上の議論

§2・§4 で扱った PR / Issue 以外で、当月新規作成された Issue・既存 Issue で議論が活発化したものを以下に挙げる。

  • openid/ipsie#86 - Define an IPSIE SL1 specific acr value and register it(gffletch、2025-06-10 起票、ラベル: sl1)
    • 6/10 コールでの「protocol gap with OIDC」議論を直接 Issue 化。NIST AAL2 整合の認証要件(フィッシング耐性に限らず 2 認証チャレンジ)を表現する acr 値として ipsie_sl1 を IANA 登録する案。OIDC §3.3.1 が IDP に ID トークンへの acr クレーム返却を MUST としていることを根拠に、SL1 プロファイル整合の標準値を提供する狙い
    • 関連: Issue #67
  • openid/ipsie#88 - FAL2: JIT provisioning at SL1(deansaxe、2025-06-12 起票、assignee: deansaxe、ラベル: FAL2, sl1)
    • SP800-63C Rev4 §4.6.3 / §4.6.7 を参照し、JIT 作成アカウントの所有者紐付け、紐付け失敗時の挙動、reaper プロセスの 3 観点を整理。PR #71 と関連付け
  • openid/ipsie#89 - FAL2 - Section 4.7 requires the use of the auth_time claim(deansaxe、2025-06-12 起票、ラベル: FAL2, sl1)
    • SP800-63C Rev4 §4.7 の IdP SHALL communicate ... time of the subscriber's latest authentication event を引用し、IPSIE SL1 では auth_time クレームを ID トークンに必須化する方針を提案。6/17 コールで承認方向、後に PR #4(7/8 マージ)として実装
  • openid/ipsie#90 - FAL2 - max authentication age(deansaxe、2025-06-12 起票、ラベル: FAL2, pending close, sl1)
    • SP800-63C Rev4 §4.7 の RP ... SHALL specify the maximum acceptable authentication age to the IdP を引用し、max_age クレームを RP → OP のリクエストで使う要件を IPSIE OIDC SL1 に追加する提案。6/17 コールで PR 提出方向、ML スレッド §4.1 に直結
  • openid/ipsie#91 - session_lifetime --> session_expiry(deansaxe、2025-06-18 起票、ラベル: FAL2, agenda, sl1)
    • 6/17 コールでの議論を反映し、AB Connect ドラフトとの用語整合のため session_lifetimesession_expiry にリネーム。当月内(6/30 までに)クローズ
  • openid/ipsie#92 - OIDC SL1 - prompt parameter(deansaxe、2025-06-18 起票、ラベル: FAL2, sl1)
    • Issue #89 / #90 の議論で「prompt が再認証強制の手段としても使われる」点が浮上したことを受けて新設。setting max_age=0 is effectively setting prompt=login と意味論的重複を指摘し、IPSIE での具体要件を 6/23 コール議題に追加
  • openid/ipsie#93 - FAL2 - Subject identifier global uniqueness(deansaxe、2025-06-23 起票、ラベル: FAL2, pending close, sl1)
    • RP が複数 IdP と通信する場合に subject 識別子をグローバル一意とみなしてはならない(issuer の名前空間に閉じる)旨の規範を sidecar 文書に取り込む提案。後の 7/22 コールでの議論および 8/12 コールでの「インターオプ成功に必須」位置付けにつながる
  • openid/ipsie#94 - FAL2 - RP initiated federation is required(deansaxe、2025-06-23 起票、ラベル: FAL2, sl1)
    • SP800-63C Rev4 が RP-initiated federation を必須としていることを sidecar 文書に取り込む提案。後の 7/22 コール(SAML の IdP-initiated 互換性懸念)および 8 月の Issue #100 / PR #107 へとつながる、当月最大の伏線
  • openid/ipsie#95 - FAL2 - Assertion Presentation(deansaxe、2025-06-23 起票、ラベル: FAL2, sl1)
    • SP800-63C Assertions MAY also be proxied to facilitate federation between IdPs and RPs using different presentation methods を引用し、proxied federation の IPSIE 適用可否をアジェンダ追加要請

これら 6 月起票 Issue 群は、いずれも 6/12 〜 6/23 の短期間に Dean H. Saxe が SP800-63C Rev4 ドラフトを通読しながら章節単位で起票したもので、6 月後半の sidecar 文書構想に集約されていく。6/12 〜 6/22 の Weekly GitHub digest によれば、既存 FAL2 関連 Issue(#75 / #77 / #78 / #79 / #80 / #81 / #82 / #83)にも Dean を中心に 14 件のコメントが付いており、sidecar への移管対象としてラベル整理が進んだことが読み取れる。

6. 関連イベント

  • Identiverse 2025(6/3-6、Mandalay Bay)の IPSIE パネル: 6/3 13:30-14:20 開催。Aaron Parecki(Okta)、Dean H. Saxe(Beyond Identity)、Atul Tulshibagwale(SGNL)、Jen Schreiber(Workday)が登壇。6/10 コール議事録によれば 100 人以上が参加し、Duo(Cisco)のキーノートでも IPSIE が言及されたとされる
  • 6/24 コール議事録では、夏以降の関連イベントとして IETF 123(7/19-25 Madrid)Authenticate(10/13-15 Carlsbad)IIW XVI(10/28-30 Mountain View)IETF 124(11/1-7 Montreal) が共有された

7. 今後の予定

6 月末時点で当時予定されていた 7 月以降の動きは以下のとおり。

  • Common Requirements(sidecar)文書の Call for Adoption 開始: 6/30 ML 投稿で Dean が示した方針に基づき、7/1 コールで方向性確認が得られれば Aaron に正式採択コール開始を依頼する流れ
  • SL1 OIDC プロファイルの FAL2 適合 PR 連発: Issue #89(auth_time 必須)、#90(max_age 必須)、#91(session_lifetime → session_expiry)の PR 化
  • OIDC SL1 イントロ文言: 1 週間のレビュー期間後に PR マージ予定(後の 7/8 コールで PR #3 として決着)
  • Account Resolution の文言整理: Dean が非規範的ガイダンスとして文言案を起こす
  • エフェメラル ID と JIT のガイダンス執筆者募集: 6/17 コールで未確定。AB Connect WG への送り出し可否を Dean と Aaron が判断
  • 新規 ACR 値 ipsie_sl1: Issue #86 を起点に、Aaron が EAP チェアと追加 ACR 値運用について調整

8. 参考情報源