idbok

Appearance

IPSIE WG 2025 年 8 月活動レポート

執筆日: 2026 年 4 月 28 日

1. 概要

OpenID Foundation の Interoperability Profiling for Secure Identity in the Enterprise (IPSIE) WG は、エンタープライズ ID 連携の相互運用性を高めるため、SSO・ユーザライフサイクル管理・エンタイトルメント・リスクシグナル共有・ログアウト・トークン失効などのテーマごとに既存仕様の プロファイル を策定する WG である。チェアは Aaron Parecki(Okta)と Dick Hardt(Hellō)が務め、毎週火曜 9 時 PT に定例会を開催している。

2025 年 8 月の IPSIE WG は、9 月の SCIM IL1 採択コール(9/8 開始)と 2026 年 1 月のインターオプイベントへの 準備期間 にあたる重要な月となった。具体的には次の 4 つの動きが同時に進んだ。

  1. Common Requirements Profile の採択(8/5 コールで全員賛成。openid/ipsie-common-requirements-profile リポジトリへの公開作業へ移行)
  2. 2026 年 1 月インターオプイベントの日程確定(当初 1/29 で議論開始 → 8/19 に 1/22 木曜 Okta SF 本社 へ訂正)
  3. SAML 系ギャップの正面切っての洗い出し(issue #100, #105 と PR #107 が 8 月に集中)
  4. NIST SP 800-63 リファレンス整備(draft 表現の削除と本リリース版への参照統一、PR #106・PR #108)

加えて、Common Requirements 採択を契機に、SCIM IL1(PR #72)と OPC(OpenID Provider Commands)の Account Resolution 設計が ML 上で並行して詰められた。9 月レポートが扱う SCIM IL1 採択投票・Identity Lifecycle → Account Lifecycle 改名・provisioning スコープ再定義の 直接の伏線 となる議論が、すでに 8 月の段階で WG コール上に積み上げられていた点が当月最大の特徴である。

2. 公開された仕様・ドラフト改訂

当月、OIDF サイトでの正式な Implementer's Draft / Final 公開はなかったが、GitHub 上のドラフトには以下の構造的変更がマージされた。

  • openid/ipsie#106 Remove reference to draft SP800-63-rev4(deansaxe 提案 → aaronpk マージ、2025-08-20)
    • ipsie-levels.md から「draft SP800-63-rev4」表現を除去し、本リリース版である 800-63-4 への参照に統一
    • aaronpk は Discussed on 8/19 と注記しており、8/19 コールで方向性が確認されたうえでマージされた
  • openid/ipsie#107 Applications must not accept IdP Init federation at SL2(deansaxe 提案 → aaronpk マージ、2025-08-20)
    • Issue #100 の議論を受け、SL2 ではアプリケーションが unsolicited な federation(SAML の IdP-initiated を含む)を受け入れてはならない という要件を追加
    • SL1 では現行 SAML 実装の互換性確保のため許容、SL2 で禁止という二段構えに合意
  • openid/ipsie#108 Minor editorial changes(gffletch 提案 → aaronpk マージ、2025-08-26)
    • 800-63-4 への参照整理と clarifying text の追加。8/26 コールで議論済みの編集修正

また、IPSIE 全体の前提となる Common Requirements Profile が 8/5 のコールで採択され、openid/ipsie-common-requirements-profile リポジトリでの公開作業に移行した。これにより、SCIM IL1 や Levels 文書がこの共通文書を参照する構造が確立された。

3. ミーティングと議論

IPSIE は毎週火曜開催のため、8 月内の定例会は 8/5・8/12・8/19・8/26 の 4 回。各回の議事録は GitHub Wiki (github.com/openid/ipsie/wiki/2025-08-XX) に公開されている。

8 月 5 日コール

参加者: Aaron Parecki (Okta), Sean Miller (RSA), Dick Hardt (Hellō), George Fletcher (Practical Identity LLC), Dean H. Saxe, Karl McGuinness, Jon Bartlett (Zscaler), Mark Maguire (Aujas), Bjorn Hjelm (Yubico), Jeff Bounds (SailPoint), Alex Chalmers, Kenn Chong (RSA)

決定事項:

  • Common Requirements Document の採択: call for adoption が全員賛成で通過。Aaron と Dean が openid.net 上での公開準備を進める。SCIM プロファイルおよび各セキュリティレベル文書はこの共通文書を参照する形で再構成される
  • インターオプイベントの月: 1 月開催の方向で固まる(具体的日付は Aaron が後日確定)

主な議論:

  • セッション管理モデル: IdP 側のセッションライフサイクルを SL1 で規定すべきかが論点。Dick Hardt は「グローバルログアウトの仕組みがないまま IdP セッション管理を SL1 に入れるべきではない」と主張。コンセンサスは RP セッションを優先し IdP セッションは規定しない 方向に。George Fletcher が IdP の「primary session」と RP の「secondary session」を独立した状態モデルとして文書化することを引き受けた
  • FAL2 と IdP-initiated Federation: Karl McGuinness が「現実のエンタープライズ実装には IdP-initiated フローを許容しなければ採用が進まない」と主張。Aaron は「特定の脅威と緩和策を識別したうえで、規範的な禁止ではなく条件付き許容を検討する」方向を示唆

アクションアイテム: 脅威モデル文書化(Dean)、セッション状態モデル文書化(George)、Levels 文書の FAL カバレッジ部分整理(Dean)、Common Requirements ドラフト公開(Aaron・Dean)。

8 月 12 日コール

参加者: Aaron Parecki, Dean H. Saxe, Dick Hardt, Kenn Chong, Sean Miller, Alex B Chalmers, Jeff Bounds, Bjorn Hjelm, George Fletcher, Karl McGuinness, Travis Tripp (HPE)

決定事項:

  • インターオプイベント日程の暫定確定: 当初 2026 年 1 月 29 日 Okta サンフランシスコ本社 で確定(後の 8/19 コールで 1/22 へ訂正される)。SL1 プロファイルの IdP・RP 実装テストを主目的とし、リモートと現地参加の両方を歓迎
  • ドラフト公開タイムライン: SL1 ドラフトを 9 月末 目標で公開、1 月のイベントでテスト可能な状態を目指す
  • Common Requirements Profile の公開完了: 関連 issue のクローズに着手

主な議論:

  • Account Resolution と IdP Chaining: フェデレーションチェーン(中間エンティティが RP かつ IdP として振る舞うケース)の扱いが議論された。Karl McGuinness は「既存のアカウント識別子を持つ brownfield デプロイは greenfield と本質的に異なる」と指摘し、複数 IdP が存在する場合のアカウント乗っ取りリスクに警鐘を鳴らした
  • SAML vs OIDC のスコープ: Dean は「目下のインターオプは OIDC SL1 が中心、SAML 固有の論点は後送り」と整理。一方 Dick Hardt は「OIDC 側のギャップで SAML との一貫性に響くものは早めに潰す必要がある」と慎重論
  • Subject 識別子のグローバル一意性: Issue #101 として整理。インターオプ成功のため重要

アクションアイテム: OIDF ブログでのインターオプ告知調整(Aaron)、subject 識別子の文言を 1 週間以内に確定(Dean)、IdP chaining デプロイパターンの issue 整理(Karl)、proxy assertion 取り扱いの WG 提案文言整備。

8 月 19 日コール

参加者: Aaron Parecki, Shannon Roddy, Karl McGuinness, Kenn Chong, Jen Schreiber (Workday), Jeff Bounds, Dean H. Saxe, George Fletcher, Alex B Chalmers, Dick Hardt

決定事項:

  • インターオプイベント日程の訂正: 1/29 から 1/22 木曜 Okta SF 本社 へ正式訂正
  • SCIM IL1 プロファイル: 採択コールへ移行することに合意。PR #72 マージ後に Aaron がコール用メールを送付する
  • PR #57 の延期: SL1 における phishing-resistant authentication の必須化提案(PR #57)は延期。「VDI などレガシー環境では採用障壁が高すぎる」というコンセンサスから、SL1 の認証要件は MFA 相当に据え置き、必要に応じて将来バージョンで引き上げる方針

主な議論:

  • MFA vs Phishing Resistance: 議事録より、George Fletcher が「multi-factor という用語自体に曖昧さがあり、something you know を別ファクタにカウントしてしまっている実装も多い」と指摘。セキュリティ姿勢と実装現実の緊張が露呈した
  • Authentication Context Requirements: Karl McGuinness が「主要 IdP の典型的なシナリオに対応する標準化された ACR 値群を策定すべき」と提案。Issue #86(ipsie_sl1 ACR 値の登録案、gffletch 6 月起票)の AAL2 ギャップ議論と接続
  • リスクベース認証: リスクベース評価で auth_time を更新すべきか議論。結論は auth_time はインタラクティブなユーザ操作時のみアンカーする、セッションの有効性追跡はそれと別に管理する、という整理

アクションアイテム: PR #106・#107・#5 のコール後マージ、SCIM IL1 採択メールの送付(Aaron)、phishing 耐性要件への外部フィードバック収集、主要 IdP のデフォルト認証ポリシーの調査・文書化。

8 月 26 日コール

参加者: Aaron Parecki, Kenn Chong, Jon Bartlett, Sean Miller, Mike Kiser (SailPoint), Jeff Bounds, George Fletcher, Bjorn Hjelm, Shannon Roddy

決定事項:

  • インターオプ日程の最終確認: Date confirmed Thursday, January 22nd, 2026 at Okta HQ San Francisco(議事録より)
  • PR の承認: PR #108(編集修正)と refresh token 関連 PR の承認

主な議論:

  • 認証要件の再確認: Aaron が IDP are required to show something to the user と発言、コンプライアンス上 IdP がユーザに何らかの提示を行う必要性を確認。George が max_age パラメータに関する OpenID Provider 仕様セクションを更新する
  • Refresh Token の取り扱い: RP に refresh token サポートを必須化すべきかが論点。サポートしないシステムは新規サインオンフローを開始すれば許容、という方向性。これが Issue #104(aaronpk 起票)と PR の動きに直結
  • インターオプ向け優先順位整理: SL2/SL3 ラベルの issue は後送り、SL1 のスコープに収まるものを優先。Aaron がインターオプチェックリストを refresh token 要件が分かりやすい形に再フォーマットする
  • 今後のイベント: Authenticate(10/13-15)、IIW XVI(10/21-23)、IETF 124(11/1-7)に WG メンバーが参加予定

4. メーリングリストの主要スレッド

当月の ML(週次アーカイブ)に投稿された技術討議スレッドのうち、主要なものを以下に挙げる。

4.1 SAML and IdP Initiated federation - 2025-08-04 開始

  • 発端: Dean H. Saxe が WG コール後に GitHub Issue #100 を起票し、ML にも問題提起。SAML based federations are highly dependent upon IdP initiated federation flows と前提を述べたうえで、Common Requirements の更新で RP-initiated を必須化する方向は SAML を実質的に排除すると指摘
  • 提案された二択:
    • (A) SL1 では RP-initiated 必須を緩和し、SAML の IdP-initiated を許容、SL2 で禁止
    • (B) SL1 でも RP-initiated を維持しつつ、OIDC の Third-Party Initiated Login 相当の SAML 機構を新設する
  • 反応: Issue #100 上で alexbchalmers, mcguinness, sbroddy らが 8 件のコメント。Weekly digest によれば Karl McGuinness が「現実のエンタープライズ採用」立場から (A) を強く支持
  • 結論: 8/19 コールで (A) 路線が採用され、PR #107(SL2 で禁止、SL1 では許容)として 8/20 にマージ

4.2 OPC: Account Resolution - 2025-08-10 開始

  • 発端: Dick Hardt が、IPSIE の Account Resolution(Issue #79、5 月起票)議論を踏まえ、OPC(OpenID Provider Commands)側に以下の追加が必要だと提案:
    • aud_sub パラメータ: RP 側のアカウント識別子
    • aud_sub_required メタデータ: RP がこれを要求するかどうかの宣言
    • managed_by クレーム: アカウント管理責任者の明示
    • manage コマンド: 運用上の OP 側アカウント管理変更
  • 関連リソース: openid-provider-commands リポジトリの PR #27 と Issue #25 を参照。PR #26 は誤マージのため再作成(8/11 のフォロー投稿)
  • 意義: IPSIE Issue #79 の「Account Resolution は JIT provisioning に限るべきか」という議論を、OPC 側の設計変更として具現化する動き。9 月以降の Identity Lifecycle → Account Lifecycle 改名議論の 意味的下準備 にあたる

4.3 SAML SL1 - Identifying known gaps - 2025-08-14 開始

  • 発端: Dean H. Saxe が Issue #105 として SAML SL1 ギャップの体系的洗い出しを提案。OIDC SL1 requirements might be finalized that SAML cannot satisfy, requiring post-interop revisions という危機感の表明
  • 例示された 2 ギャップ:
    • IdP-initiated federation: SAML で広く使われているが NIST 800-63 Rev4 が事実上禁止。SL1 では許容、SL2+ で制限する方針
    • AMR claims: SAML には認証手段リファレンスを伝える標準機構がなく、ベンダー固有の実装しかない。SL1 プロファイル組み込みのため、SAML での amr 風クレームの規範的標準を IPSIE が定める案を提示
  • 意義: 「OIDC ファースト・SAML 後追い」という 8/12 コールでの整理に対し、「SAML を後追いにするにせよ、SL1 確定前にギャップを公式に列挙しないと後戻りコストが大きい」と先回りした issue。Common Requirements 採択後の SAML 取り扱い議論を 後送りにせず正面化する 役割

4.4 Issues to complete for the January 2026 interop event - 2025-08-18 開始

  • 発端: Dean H. Saxe が GitHub に「January 2026 Interop」ラベルを新設し、9 月末完了を目指す 9 件の優先 issue を初版指定
  • スタンス: a first pass, not a final list。次回 WG コールで取り上げ、追加・除外を議論する前提
  • 意義: 8/12 コールで合意した「9 月末ドラフト → 1 月インターオプ」のスケジュールを、issue tracker 上で実際の作業項目として可視化した最初のステップ。9/8 開始の SCIM IL1 採択コールはこのラベリングに沿った優先順位整理の延長線上にある

5. GitHub 上の議論

§2 で扱った PR 以外で、当月新規作成された issue・既存 issue で議論が活発化したものを以下に挙げる。

  • openid/ipsie#100 - SAML and IdP initiated federation flows(deansaxe、2025-08-04 起票、ラベル: agenda, sl1, sl2)
    • §4.1 で記述した二択提案。Weekly digest(8/10)によれば 8 件の新規コメントが alexbchalmers、mcguinness、sbroddy らから入り、議論の起点として機能。8/19 コールで PR #107 として実装着手
  • openid/ipsie#101 - Unique subject identifiers(deansaxe、2025-08-04 起票、ラベル: sl1)
    • 7/22 WG コールでの議論を受け、Common Requirements OIDF 移管後に subject 識別子の用語整理を行うタスク。3 つの方針(単一テナント RP は issuer + subject、マルチテナントは issuer + subject + tenant claim、テナント別の独立 subject 設定機構)を提示
    • 8/12 コールで「インターオプ成功に必須」と位置付けられ、Dean が 1 週間以内の文言確定を引き受けた
  • openid/ipsie#102 - Session Model(gffletch、2025-08-05 起票、ラベル: sl1)
    • 8/5 コールで George Fletcher が引き受けた「primary session(IdP)/ secondary session(RP)」モデル文書化を issue 化
    • session management is in the context of the enterprise を出発点に、確立・延長・終了といった状態を Levels 文書に組み込む構想
    • R&E(Research and Education)セクタとの用語整合性に懸念が表明されており、外部からのレビュー要請が含まれている
  • openid/ipsie#103 - Update common requirements doc with the latest NIST SP800-63 reference(deansaxe、2025-08-06 起票、ラベル: FAL2, sl1)
    • 8/5 採択された Common Requirements Profile を最新の NIST SP 800-63 リファレンスに更新するタスク。PR #106 でクローズに向かう
  • openid/ipsie#104 - remove refresh token requirement on RPs(aaronpk、2025-08-12 起票、ラベル: sl1)
    • OIDC SL1 プロファイルの「RP は refresh token とそのローテーションをサポートしなければならない」要件の撤廃を提案
    • 論拠: access tokens are only for OP resources。RP 側にとって access token は OP リソースアクセスのためのものであり、refresh token を RP に強制する根拠が薄い
    • 8/26 コールで承認方向となり、月末(8/31 digest 時点)で close 済み
  • openid/ipsie#105 - Create a list of known SAML gaps at SL1(deansaxe、2025-08-14 起票、ラベル: sl1)
    • §4.3 と対応。SAML 系 SL1 ギャップの体系的列挙を要求。8/24 digest によれば、issue #100、#94(FAL2 RP-initiated 要件)、#69(SL1 での DPoP 要件)、#3(タスクフォース設立)と並んで活発に議論された
  • openid/ipsie#97 - IPSIE IdP Chaining(既存、ラベル: sl1)
    • 8/12 コールでの IdP Chaining 議論を受け、canders3 と cmedfisch が 8/17 までに 2 コメントを追加(8/17 digest)。Karl McGuinness の brownfield デプロイ問題提起を発端としたコメント

6. 関連イベント

当月、IPSIE WG が中核的に関与した OIDF 主催の対外イベントは確認できなかった。8/26 コールでは 10 月以降の Authenticate(10/13-15)IIW XVI(10/21-23)IETF 124(11/1-7) が WG メンバーの参加予定イベントとして言及されており、これらが秋以降の WG 外露出機会となる位置付けである。

また、SCIM IL1 ドラフト(PR #72)の作者である Mark Maguire(Aujas)と Jen Schreiber(Workday)は 8/5・8/19 コールで主要参加者として議論に加わっており、9/8 から始まる SCIM IL1 採択コールに向けたプレゼン準備が 8 月後半に WG 内で進行していたことが議事録から読み取れる。

7. 今後の予定

8 月末時点で当時予定されていた 9 月以降の動きは以下のとおり。

  • SCIM IL1 採択コール: PR #72 マージ後に Aaron Parecki が ML にコール用メールを送付する予定(8/19 コール決定事項)。9 月初週に開始される見込み
  • SL1 ドラフトの 9 月末公開: 8/12 コール決定事項のタイムライン。1 月インターオプでのテスト対象とする
  • インターオプ準備: 「January 2026 Interop」ラベル付き 9 件の優先 issue(Dean が 8/18 に列挙)の解消
  • Common Requirements 周辺整備: NIST SP 800-63-4 リファレンスの整理(PR #106・#108)、subject 識別子の文言確定(Issue #101)、Session Model 文書化(Issue #102)の継続
  • SAML SL1 ギャップ整理: Issue #105 の AMR クレーム機構案・IdP-initiated 許容範囲の文書化
  • インターオプイベント: 2026 年 1 月 22 日(木)Okta サンフランシスコ本社にて開催確定

8. 参考情報源