IPSIE WG 2025 年 7 月活動レポート

執筆日: 2026 年 4 月 28 日

1. 概要

OpenID Foundation の Interoperability Profiling for Secure Identity in the Enterprise (IPSIE) WG は、エンタープライズ ID 連携の相互運用性を高めるため、SSO・ユーザライフサイクル管理・エンタイトルメント・リスクシグナル共有・ログアウト・トークン失効などのテーマごとに既存仕様の プロファイル を策定する WG である。チェアは Aaron Parecki（Okta）と Dick Hardt（Hellō）が務め、毎週火曜 9 時 PT に定例会を開催している。

2025 年 7 月の IPSIE WG では、Common Requirements Profile（共通要件文書、いわゆる「sidecar document」）の Call for Adoption が中心的な動きとなった。Dean H. Saxe が初版ドラフトを 7/9 に公開、同日 Aaron Parecki が 2 週間の採択コール（締切 7/23）を開始。締切後の 7/24 に賛成意見のみで採択完了が告知された。これは 8 月以降の SCIM IL1・SL1 各プロファイルが共通文書を参照する構造へ移行する出発点となる。

並行して、(1) 12 月開催を当初目標としていた インターオプイベントの日程ポーリング、(2) auth_time / amr クレームの実装実態調査（Issue #96 への業界フィードバック収集）、(3) prompt パラメータと max_age の関係整理（Issue #92）、(4) Account Resolution / Subject Identifier の取り扱い（Issue #79・#93）、(5) IdP Chaining シナリオの問題提起（Issue #97）、といった SL1 プロファイルの根幹に関わる論点が WG コール上で順次扱われた。月末（7/29）の定例会は 7/15 コールで先行的にキャンセル決定されており、7 月の定例は 7/1・7/8・7/15・7/22 の 4 回 で構成された。

2. 公開された仕様・ドラフト改訂

当月、OIDF サイトでの正式な Implementer's Draft / Final 公開はなかった。一方で、IPSIE 全体の構造に関わる以下の動きが進行した。

• IPSIE Common Requirements Profile の初版ドラフト公開（Dean H. Saxe、2025-07-09）
  • リポジトリ: deansaxe/draft-saxe-ipsie-common-requirements-profile
  • HTML 版: deansaxe.github.io/draft-saxe-ipsie-common-requirements-profile/
  • 「OpenID Connect SL1 プロファイル等から TLS 等の共通ガイダンスを切り出し、各プロファイルでの重複を避ける」という設計方針。NIST SP800-63C rev4 at FAL2 を主要な参照基準とし、フェデレーションおよび Identity 同期プロファイルに適用可能な範囲のセキュリティ要件を取り込む
  • 関連する既存 Issue（#75, #77, #78, #80, #81, #82, #83 等）に Dean が pending closure ラベルを付与し、本文書での解決を示した
• Call for Adoption 開始（Aaron Parecki、2025-07-09）。期限 2025-07-23
• Call for Adoption 完了告知（Aaron Parecki、2025-07-24）。反対意見ゼロで採択。current version を openid.net/specs に上げる作業を Dean と協議すると告知（実際の openid.net/specs での公開作業および openid/ipsie-common-requirements-profile リポジトリ整備は 8 月以降に持ち越される）
• PR #3（OIDC SL1 Introduction）に関連する文言修正: 7/8 コールで「refresh tokens are optional」「DPoP は API アクセス文脈に限る」とする方向性が確認された。mandate よりも require のほうが規範的に過剰になりにくいといった用語選択も議論された
• PR #4（auth_time / max_age 関連）のマージ（7/8 コールで議論決着）: IdP は auth_time クレームを MUST contain、max_age パラメータを MUST support。RP 側に max_age を送信させることまでは要求しない、という規範境界を確定（議事録 2025-07-08 より）

3. ミーティングと議論

7 月の定例会は 7/1・7/8・7/15・7/22 の 4 回。7/29 は 7/15 コールで事前にキャンセルが決まっていた。各回の議事録は GitHub Wiki（github.com/openid/ipsie/wiki/2025-07-XX）に公開されている。

7 月 1 日コール

参加者: Dean H. Saxe, Aaron Parecki (Okta), Karl McGuinness (selfie), Filip Skokan (Okta), Dick Hardt (Hellō), Alex B Chalmers (Self), Monika Avalur (CyberArk), Mike Kiser (SailPoint), Jen Schreiber (Workday), Jon Bartlett (Zscaler), Yuval Glasner (CyberArk), Gennady Shulman (self), Qinglan Hsu (RSA), Travis Tripp (HPE), Shannon Roddy (self/lbl)

主な議論:

• PR #3 - OIDC SL1 Introduction のスコープ整理: Aaron が the intro should be more clear about the out of scope (refresh token and DPoP) being relevant to API access, not ID tokens と発言（議事録 2025-07-01 より）。Jen Schreiber は「文書を広げるか、in-scope / out-of-scope を明示的に列挙するか」のいずれかを推奨
• Common Requirements Profile（sidecar 文書）の方向性確認: TLS、DNSSEC など複数プロファイルにまたがる要件の集約が提案された。Jen が「保存時の暗号化詳細は IPSIE のスコープ外として削除すべき」と提案。コール時点では採択を保留し、Dean がセキュリティコントロール節の削除に着手することで合意
• Account Resolution（Issue #79）: Dick と Karl が「RP 側識別子（claim）を活用する」案をプレゼン。avoids needing to JIT a user and avoids falling back on email for account linking と整理し、特にエンタープライズ文脈で email を fallback identifier に使う運用を脱却する設計を示唆。AB Connect WG での継続議論を経由する方向
• Authentication Time Claim（Issue #89）: Dean が auth_time と amr のペアリングを問題提起。Karl は支持、Bertrand は「multi-valued な amr であれば認証手段の履歴を保持できる」という見方を示した

アクションアイテム: Dean が Common Requirements 改訂版を起こす、PR #3 文言の追従更新、JIT Provisioning 議論をオフラインで継続。

7 月 8 日コール

参加者: Dean H. Saxe, Aaron Parecki (Okta), Sean Miller (RSA), Kenn Chong (RSA), Shannon Roddy (self/LBL), Alex B Chalmers, Mark Maguire (Aujas Cybersecurity), Bertrand Carlier (Wavestone), George Fletcher (Practical Identity LLC), Jeff Bounds (SailPoint), Bjorn Hjelm (Yubico), Travis Tripp (HPE)

決定事項:

• PR #3（OIDC SL1 Introduction）のマージ合意: refresh token を optional として明記、DPoP は API アクセス文脈に限定。文中で in-scope/out-of-scope を明示する形に
• PR #4（auth_time / max_age）のマージ: IdP は auth_time を MUST contain、max_age を MUST support。RP に max_age 送信を必須化はしない
• Common Requirements 文書の Call for Adoption 開始合意: 文書の精緻化は採択プロセス中にも進められるとして、Aaron が形式的な採択コールを開始することに合意
• インターオプイベント: 12 月時期、Okta SF オフィスでホストする方向で一致。日程ポーリング（whenavailable）を共有

主な議論:

• RP に対する max_age 検証必須化の是非: Mark Maguire が RP requirements to strengthen CISO confidence in third-party applications という観点から RP 側にも要件を課す立場を主張。最終的には「IdP 側は MUST support、RP 側は MAY 送信」という非対称構造に落ち着く
• multi-amr × auth_time のマッピング困難: リスクベース再認証の際、各 amr 値ごとに auth_time を分けて表現する手段が OIDC コアに存在しない。AB Connect WG 側での拡張提案（new claim）が必要かもしれないという認識が共有され、後の Issue #96（aaronpk 7/8 起票）に直結
• prompt パラメータと max_age の重複: 再認証強制の手段として両者が冗長に存在しうる点が問題視され、後の Issue #92 を起点とした規定整備に繋がる
• FAL2 における RP-Initiated Federation: unsolicited response の脅威があるため、IdP-initiated は許容しない方向。後に 7/22 コールでこの規範がエンタープライズ採用との関係で再検討される

7 月 15 日コール

参加者: Aaron Parecki (Okta), Dean H. Saxe (independent), Filip Skokan (Okta), Kenn Chong (RSA), Bjorn Hjelm (Yubico), Mark Maguire (Aujas), Dick Hardt (Hellō), Bertrand Carlier

決定事項:

• 7 月 29 日コールのキャンセル: 出席見込みの薄さを理由に事前キャンセル
• インターオプイベントの日程ポーリングに 1 月候補を追加: ML 投稿および参加者の声を受け、Aaron が whenavailable に January の候補を追加（後に 8 月以降「2026 年 1 月」確定路線に繋がる最初の動き）
• Common Requirements Profile の Call for Adoption 進行中: 7/23 期限。寄せられたフィードバックは支持寄りで、採択後ろ向きの意見はなし
• Issue #89（auth_time クレームの規範化）の決着

主な議論:

• 複数 amr × 個別 auth_time の運用ニーズ評価: Dean が ML 経由で「実際に IdP がどう発行しているか」を尋ねる形にすることに合意。これが翌 7/9 投稿の amr and auth_time claims usage in the real world スレッドおよび Issue #96 の業界アンケート化に繋がる
• prompt パラメータの曖昧性: prompt=login の必須サポートが OIDC 仕様上は MAY であることへの懸念。IPSIE で MUST 化するかどうかは Issue #92 で別途議論
• AB Connect WG とのクロスポスト運用: Dick Hardt が AB Connect 側で進行中の関連 PR を IPSIE にもクロスポストして可視性を上げると報告

7 月 22 日コール

参加者: Aaron Parecki (Okta), Dean H. Saxe (Self), Sean Miller (RSA), Kenn Chong (RSA), Jen Schreiber (Workday), Yuval Glasner (CyberArk), Bjorn Hjelm (Yubico), Bertrand Carlier (Wavestone), Karl McGuinness (Self), Jeff Bounds (SailPoint)

決定事項:

• Common Requirements Call for Adoption の状況確認: 寄せられたフィードバックは一様に好意的で、7/23 締切で採択クローズへ
• RP-Initiated Federation 規範の再評価: 既存の「FAL2 では RP-initiated 必須」という方針を、SL1 でそのまま適用するのではなく SL2+ への移動または削除を検討する 方向に転換。エンタープライズで広く使われる SAML の IdP-initiated を排除しないための調整。Dean が ML 経由で実装者フィードバックを募ることに（後の 8 月 Issue #100 / #105 の伏線）

主な議論:

• Account Resolution（Issue #79）における aud_sub 案: RP 側で持つ既存アカウント識別子を、フェデレーション時に IdP に伝搬させるための claim として aud_sub を導入する案が議論された。これは 8 月以降 OPC（OpenID Provider Commands）への拡張提案へ展開する
• 再認証要求の手段統一: IdP に prompt=login の MUST サポートを課して user-interactive な再認証を強制する仕組みを基準にする方向。Dean が RP-Initiated Federation 仕様におけるセッション識別子のニュアンスを再確認することを引き受け
• Subject Identifier のグローバル一意性（Issue #93）: RP SHALL treat subject identifiers as not inherently globally unique という SP800-63C Rev4 の文言を Common Requirements に取り込む方向で確定。複数 IdP を併用する RP が iss + sub の名前空間を意識せず誤って subject をマージすることを防ぐ規範

アクションアイテム: 7/29 はキャンセル、インターオプ日程は引き続きポーリング、Common Requirements 採択完了の正式アナウンス（7/24 に Aaron が実施）。

4. メーリングリストの主要スレッド

当月の ML（週次アーカイブ）に投稿された技術討議スレッドのうち、主要なものを以下に挙げる。

4.1 Initial Draft of IPSIE Common Requirements - 2025-07-09 開始

• 発端: Dean H. Saxe が共通要件 sidecar 文書の初版ドラフトを ML に告知。This draft consolidates common guidance—such as TLS implementation—from individual specifications と動機を述べ、NIST SP800-63C rev4 at FAL2 を参照基準として明示
• 提供物: GitHub Markdown 版（deansaxe/draft-saxe-ipsie-common-requirements-profile）と HTML エディタコピーを併記
• 関連プロセス: Dean が pending closure ラベルを付ける運用方針を宣言。WG チェアによるクローズ判断のための目印として機能
• 意義: 7/9 同日に Aaron が Call for Adoption スレッドを別立てしたことで、初版告知 → 採択コール → 賛成意見集約 → 7/24 採択告知という一連のプロセスが ML 上で完結した最初の IPSIE 採択フロー

4.2 Call for adoption of IPSIE Common Requirements - 2025-07-09 開始

• 発端: Aaron Parecki が 2 週間の採択コールを開始。7/8 コール決定事項を根拠に reply-all by Wednesday July 23rd saying whether you are in favor of adoption, and a brief explanation of why と要請
• 賛成表明:
  • Dean H. Saxe（7/9）: This draft helps us consolidate common language for all future IPSIE profiles, eliminating duplicate and possibly inconsistent language
  • Jennifer Schreiber (Workday、7/10): +1 to what Dean said. This draft puts us in a great position for upcoming IPSIE documents
  • Mark Drummond (Empire Life、7/11): IdP-initiated login 禁止文言（Unsolicited federation requests SHALL NOT originate from the IdP）を高く評価。新規メンバーながら賛成表明
  • Wesley Dunnington (Ping Identity、7/13): this gathering of cross-cutting requirements in one place will simplify updates and revisions to those common requirements
• 反対意見の投稿は確認されず
• 結論: Aaron が 7/24 に採択完了を告知（Week of 2025-07-21 #000112）。current version を Dean と連携して openid.net/specs に上げる方針を共有

4.3 amr and auth_time claims usage in the real world - 2025-07-09 開始

• 発端: Dean H. Saxe が Issue #96 のコメント #issuecomment-3053621466 を ML に展開し、IdP 各社からの実態フィードバックを募集
• 質問項目（同投稿は 2025-07-15 議事録でアクションアイテムとして追認された）:
  • 単一 amr 値か複数値か
  • 複数値の場合、特定の順序規則を持っているか
  • 初期認証後にリスクベース認証 (RBA) を行うか
  • RBA が発生した際、amr を rba に書き換えるか追記するか
  • auth_time は RBA イベントの時刻か、当初の認証時刻か
• 動機: understand what the common patterns in use are in order to minimize any disruption of existing services。IPSIE が現実の IdP 実装と乖離した規範を出さないための事前調査
• 意義: Issue #96 を「IPSIE 内部の論点」から「業界全体への質問状」に拡張。後の AB Connect WG への拡張提案（multiple amr ↔ auth_time のマッピング機構）の素地となる

4.4 Interop event planning - 2025-07-09 開始 / 続報 2025-07-15

• 発端: 7/8 コール後、Aaron が「Gartner イベントから独立して 12 月にインターオプイベントを開催、Okta SF オフィスでホスト、リモート参加可」と告知し whenavailable で日程ポーリング開始
• 7/15 続報: 1 月候補を追加。Aaron は the goal of the interop event is to demonstrate implementations of the OpenID SL1 profile working together と目標を再確認し、We are still aiming to have the OpenID SL1 profile in a good enough shape by September in order to provide enough time to implement by the interop event と SL1 ドラフトのスケジュール感を明示
• 意義: 「9 月 SL1 ドラフト → 12 月（後に 2026 年 1 月）インターオプ」という IPSIE のマイルストーン構造が公開的に語られた最初のスレッド

5. GitHub 上の議論

§2・§4 で扱った PR / 議論以外で、当月新規作成された Issue・既存 Issue で議論が活発化したものを以下に挙げる。

• openid/ipsie#96 - multiple auth_time and amr values（aaronpk、2025-07-08 起票、ラベル: agenda, FAL2, sl1）
  • 7/8 コール議論を直接 issue 化。amr が複数値を持つときに各値ごとの auth_time をどう表現するかの問題提起。amr: hwk, rba と auth_time_amr のような対応オブジェクトを暫定例示
  • 7/13 weekly digest で 3 コメント、7/20 digest で 1 コメント。Dean が ML フィードバック収集を開始したことで、issue 内議論は実装者フィードバック待ちフェーズへ
• openid/ipsie#97 - IPSIE IdP Chaining（deansaxe、2025-07-09 起票、ラベル: sl1）
  • フェデレーションチェーン（SharePoint federated to EntraID itself being federated to Okta）の典型例で、auth_time を中継 IdP がどう伝搬すべきかを問う
  • 設計案: app2 は idp1 が設定した t0 を受け取るべき（idp2 が追加 MFA をかけない限り）。中継 IdP（RP 兼 IdP として振る舞う）に対し、受信した認証時刻を下流に転送する規範を IPSIE に置く案
  • 7/20 digest で 6 コメント（deansaxe, mcguinness, sbroddy）と当月最も活発に議論された issue。8 月の 8/12 コールで Karl McGuinness の brownfield デプロイ問題提起へと展開する起点
• openid/ipsie#98 - FAL2 Compliance - Considering the processing of xAL's in this spec（amonika230995、2025-07-12 起票）
  • 高セキュリティ RP に対し、xAL（拡張アシュアランスレベル）の処理を SHALL として要件化すべきという提案。NIST SP 800-63-4 の xAL 要請ガイダンスを根拠とする
• openid/ipsie#99 - Role/Group mapping of a user at the RP side for access controls or contextual policies（amonika230995、2025-07-12 起票）
  • SCIM が provisioning を担う一方で、ログイン時のリアルタイムなロール/グループマッピングを SL1 に標準化として組み込むよう要望
• openid/ipsie#79 - FAL2 - Account Resolution（既存、ラベル: FAL2, sl1）
  • 7/27 weekly digest で deansaxe からの 1 コメント。7/22 コールで議論された aud_sub 案を踏まえた更新と推察される
• openid/ipsie#92 - OIDC SL1 - prompt parameter（既存、ラベル: agenda, FAL2, sl1）
  • 7/27 weekly digest で mcguinness から 1 コメント。prompt=login と max_age=0 の意味的重複に関する議論の延長線上

加えて、Issue #93（subject identifier のグローバル非一意性）、#94（FAL2 で RP-initiated を要件化するか）、#89（auth_time を IdP に必須化）は当月までに pending close ラベルが付いた状態で Common Requirements に取り込まれ、採択完了とともに事実上クローズへ向かった。

6. 関連イベント

当月、IPSIE WG が中核的に関与した OIDF 主催の対外イベントは確認できなかった。インターオプイベントの日程ポーリングは 7/9 に開始されたが、当月内に開催されたものではなく 12 月（後に 2026 年 1 月）開催に向けた事前調整段階である。

なお、7/15 コールで Dick Hardt が AB Connect WG での関連 PR 進行を共有しており、IPSIE 単独の議論というより OIDF 内の他 WG（AB Connect、SCIM 仕様の関連で SailPoint・Workday・Aujas 等）との横連携が継続していることが議事録から読み取れる。

7. 今後の予定

7 月末時点で当時予定されていた 8 月以降の動きは以下のとおり。

• Common Requirements Profile の openid.net/specs 上での公開: 7/24 採択告知時に Aaron が Dean と連携作業に入ると告知
• 9 月末を目標とした SL1 プロファイルのドラフト固め: 7/15 ML スレッドで Aaron が明示。インターオプ実装に十分な時間を確保するため
• インターオプイベント日程の確定: 12 月か 2026 年 1 月かを whenavailable で確定。Okta SF オフィスでのハイブリッド開催
• amr / auth_time 実装実態調査の集約: ML 経由のフィードバック収集（Issue #96）。AB Connect への拡張提案要否判断に繋げる
• prompt パラメータの IPSIE 規範整理（Issue #92）と aud_sub 案を含む Account Resolution 議論（Issue #79）の継続
• RP-Initiated Federation の SL1 取扱い再検討: 7/22 コール決定事項。Dean が ML 経由で実装者の声を募る方向

8. 参考情報源

• IPSIE WG 公式ページ
• IPSIE GitHub リポジトリ
• openid-specs-ipsie ML 公開アーカイブ
  • Week of 2025-06-30
  • Week of 2025-07-07
  • Week of 2025-07-14
  • Week of 2025-07-21
• IPSIE WG ミーティング議事録（GitHub Wiki）
  • 2025-07-01
  • 2025-07-08
  • 2025-07-15
  • 2025-07-22
• 当月起票・更新された主要 Issue
  • Issue #96: multiple auth_time and amr values
  • Issue #97: IPSIE IdP Chaining
  • Issue #98: FAL2 Compliance - Considering the processing of xAL's in this spec
  • Issue #99: Role/Group mapping of a user at the RP side for access controls or contextual policies
  • Issue #79: FAL2 - Account Resolution
  • Issue #92: OIDC SL1 - prompt parameter
  • Issue #93: FAL2 - Subject identifiers SHALL not be assumed to be globally unique
  • Issue #94: FAL2 - RP Initiated federation
  • Issue #89: FAL2 - auth_time claim
• IPSIE Common Requirements ドラフト（Dean H. Saxe 個人リポジトリ）
  • GitHub: deansaxe/draft-saxe-ipsie-common-requirements-profile
  • HTML editor's copy
• IPSIE HackMD 議事録ハブ