idbok

Appearance

IPSIE WG 2025 年 9 月活動レポート

執筆日: 2026 年 4 月 25 日

1. 概要

OpenID Foundation の Interoperability Profiling for Secure Identity in the Enterprise (IPSIE) WG は、エンタープライズ ID 連携の相互運用性を高めるため、SSO・ユーザライフサイクル管理・エンタイトルメント・リスクシグナル共有・ログアウト・トークン失効といったテーマごとに既存仕様の プロファイル を策定する WG である。チェアは Aaron Parecki(Okta)と Dick Hardt(Hellō)が務め、毎週火曜 9 時 PT に定例会を開催している。

2025 年 9 月の IPSIE WG では、以下の 3 点が同時に進行した重要な月となった。

  1. SCIM IL1 プロファイルの採択投票(9 月 8 日に Aaron Parecki がコール、9 月 22 日 deadline)
  2. Identity Lifecycle → Account Lifecycle への用語変更(PR #112、9 月 19 日マージ)
  3. IL1(旧)から provisioning を切り離し IL2 に移す再構成(PR #113、9 月 19 日マージ)

特に (2) と (3) は、SCIM IL1 採択コールが進行中の最中に提案された改名・スコープ縮小であり、採択投票完了後に新名 (AL1) と新スコープ(deprovisioning 中心)に合わせた追従修正が必要となる、という意味で WG の運営に直接インパクトを与えた。

2. 公開された仕様・ドラフト改訂

当月、OIDF サイトでの正式な Implementer's Draft / Final 公開はなかった。一方で GitHub 上のドラフトには以下の構造的変更がマージされた。

  • openid/ipsie#112 change identity lifecycle to account lifecycle(dickhardt 提案 → aaronpk マージ、2025-09-19)
    • 「IL(Identity Lifecycle)」を「AL(Account Lifecycle)」に統一
    • George Fletcher (gffletch) のレビューコメントで定義文の追加が提案され、An Account is the representation of an enterprise Identity Provider (IdP) user's identity at a Relying Party (RP) といった文言が議論された
  • openid/ipsie#113 move provisioning from IL1 to IL2(dickhardt 提案 → aaronpk マージ、2025-09-19)
    • IL1 から provisioning(create/update)を取り除き、IL2 へ移動
    • IL1 には delete/suspend(実質的な deprovisioning)のみが残る
    • レビュー過程で aaronpk から I updated this PR to use the new "AL" term とのコメントがあり、PR #112 のリネームと連動して反映

3. ミーティングと議論

IPSIE は毎週火曜開催のため、9 月内に少なくとも 5 回の定例会(9/2, 9/9, 9/16, 9/23, 9/30)が予定されていたと考えられる。HackMD ベースの議事録(hackmd.io/zbL4VSdhTcWnxlSwl43qVA)の各回の公開状況は外部からの確認が難しいため、ML から再構成可能な決定事項を中心に記述する。

9 月 16 日コール

  • ML 上の Aaron Parecki 9 月 17 日メール [ipsie] renaming Identity Lifecycle to Account Lifecycle(投稿 #000140)に「Dick がコールの後で 2 本の PR を立てた」と明記されている
  • すなわち 9 月 16 日コールで以下が議論されたことが分かる:
    • 用語変更: Identity Lifecycle → Account Lifecycle に改名する方向で「general agreement」(Aaron Parecki 表現)
    • IL1 のスコープ再定義: provisioning を切り出し、IL1 を deprovisioning 中心とする方向で合意
  • Aaron Parecki は if we are going to change the name that doing it sooner rather than later is better と述べ、SCIM IL1 採択投票(締切 9/22)を理由に金曜(9/19)マージを提案
  • 重要な留意点として we will have a short list of updates to make to the adopted draft after Monday to use the new name and scope of AL1 と、採択後の追従修正が必要であることをアナウンス

9 月 23 日コール周辺

  • Dick Hardt が PDF of Identity Fabric -- Less Oopsie with IPSIE というスレッド(9/23)で IdentityFabric 2025.pdf へのリンクを ML に共有
  • IPSIE が Identity Fabric の文脈で位置付けられる方向性を示す資料共有と読める

4. メーリングリストの主要スレッド

当月の ML(週次アーカイブ)に投稿された技術討議スレッドのうち、主要なものを以下に挙げる。

4.1 Call for adoption of IPSIE SCIM IL1 - 2025-09-08 開始

  • 発端: Aaron Parecki が、Jen Schreiber と Mark Maguire が前回 WG 会合でプレゼンした IPSIE SCIM IL1 仕様を 採択投票(call for adoption) にかけた
  • deadline: 2025-09-22
  • 賛成表明:
    • Karl McGuinness (I support adoption、9/9 16:06 UTC)
    • Sean Miller (RSA、I am in favour of adopting this、9/9 16:07 UTC)
    • George Fletcher (Practical Identity LLC、I support adoption、9/9 16:24 UTC)
    • Dick Hardt(9/15 16:17 UTC)
  • 反対意見の投稿は確認されず、採択方向で進行

4.2 change identity lifecycle to account lifecycle? - 2025-09-15 開始

  • 発端: Dick Hardt が Identity is an overloaded term in our industry. In my experience, everyone has a slightly different idea of what they mean when they say the term. と問題提起
  • 反対意見: Shannon Day(9/16)が identity を擁護A customer may have an "account" for your mobile app, another for your e-commerce website, and a third for your loyalty program. と例示し、account はシステム固有の限定的な用語、identity は複数チャネルを跨ぐ顧客像を表す上位概念と主張
  • 結論: 9/16 コールで「general agreement」と判断され、PR #112 として実装。Shannon Day の懸念は B2C 文脈の話であり、IPSIE が想定するエンタープライズ B2B 文脈では「アカウント」のほうが RP 用語に近いという論理で押し切られた形

4.3 IL1 => deprovisioning is 80% of the value - 2025-09-16 開始

  • 発端: Dick Hardt が Quoting both Karl and ChatGPT, 80% of the value in directory sync is deprovisioning. と引用しつつ、IL1 を deprovisioning 中心に再定義することを提案
  • 提案フレーム:
    • JIT/手動 provisioning は IL1 のスコープ外
    • IL1 では identity service が account resolution を行い、アプリ ID と identity service ID をリンクする
    • アプリは identity service の指示で account を deprovision する
    • provisioning を identity service に委譲するアプリは IL2 に移動(profile・group membership を含む)
  • 反応: Shannon Day は長文で、deprovisioning 偏重の戦略的価値(セキュリティ・コンプライアンス・ライセンス費用削減)と懸念点(provisioning フォーカスの希薄化、暫定アクセスニーズへの未対応、社内用語の混乱)を整理。80% という数字自体は「Karl と ChatGPT 出典で、引用可能な普遍的な指標ではない」と慎重姿勢を示しつつも、傾向としては支持
  • 結論: PR #113 で実装され 9/19 にマージ

4.4 renaming Identity Lifecycle to Account Lifecycle - 2025-09-17 開始

  • 発端: Aaron Parecki が、9/16 コール後に Dick が立てた PR #112・#113 を WG 全体に告知
  • 重要発言: it sounded on the call that there was general agreement on this, and that if we are going to change the name that doing it sooner rather than later is better / we have the pending call for adoption out for the SCIM IL1 profile that ends Monday. If we proceed with these changes, we will have a short list of updates to make to the adopted draft after Monday to use the new name and scope of AL1.
  • 当該スレッドへの直接のチャレンジは ML 上で確認できず、9/19 にマージ完了

5. GitHub 上の議論

PR は §2 でカバー済み。当月新規作成された Issues のうち議論を呼んだものを以下に挙げる。

  • openid/ipsie#110 - Signaling of IPSIE requirements/interop for IdPs that will have to support non-IPSIE RPs(sbroddy、2025-09-09 起票)
    • IPSIE 要件を実装した IdP が、非 IPSIE 対応の RP も同時にサポートしなければならない場合に、どのようにシグナリングするかという論点
    • エンタープライズ IdP が現実には混在環境にあるという実装者視点の問題提起
  • openid/ipsie#115 - Use of access_token by RP in IPSIE level 1(gffletch、2025-09-24 起票)
    • IL1 / AL1 において RP が access_token をどう使うかについての論点
  • openid/ipsie#116 - Should enterprise IDPs be required to support public clients(gffletch、2025-09-24 起票)
    • エンタープライズ IdP に public client サポートを要求すべきか否か
    • iGov Draft 08 が同じ時期に「FAPI 整合のため public client サポート廃止」を打ち出していたのと方向性が対照的で、IPSIE 側は「廃止するか否か」自体を論点として開いている形

なお、9 月 7 日付の Weekly github digest に、GitHub Issue で refresh tokens vs full page redirects - how should the resource authorization server check the IdP session? という既存 Issue が close されたこと、および initial testing checklist for January 2026 interop event という PR が aaronpk から提出されたことが報告されている。後者は 2026 年 1 月の相互接続イベントに向けた準備の起点となる動きである。

6. 関連イベント

当月、IPSIE WG が中核的に関与した OIDF 主催の対外イベントは確認できなかった。なお、9 月後半に Dick Hardt が共有した IdentityFabric 2025.pdf は、IPSIE が「Identity Fabric」全体像の中でどの位置を占めるかを説明するための資料であり、9 月後半の WG コミュニケーションの中で WG 外への露出を意識し始めた兆候と読める。

7. 今後の予定

9 月末時点で当時予定されていた次月以降の動きは以下のとおり。

  • SCIM IL1 採択完了後の追従修正: 9/22 deadline 後、PR #112・#113 で確定した「AL1」「deprovisioning 中心」を採択済みドラフトに反映する短いリスト
  • 2026 年 1 月の相互接続イベント: aaronpk による initial testing checklist PR を起点に、テスト項目の整備が継続
  • 新規 Issue の議論: #110, #115, #116 を 10 月以降の定例会で順次取り上げ

8. 参考情報源