OpenID Foundation IPSIE WG 活動レポート (2025年11月)

本記事は 2026-04-24 に遡及執筆されたものです。

概要

IPSIE WG (Interoperability Profiling for Secure Identity in the Enterprise) は、エンタープライズ環境における安全なアイデンティティ統合のための相互運用プロファイルを策定するワーキンググループ。2025年11月は IETF 124 Montreal、Veterans Day、Thanksgiving 週 が重なり、11月18日の1回のみのミーティング開催となった月であった。

月内の最大のトピックは 共同議長 (co-chair) の交代 である。2024年以来 Aaron Parecki (Okta) と共同議長を務めてきた Dean H. Saxe が Remitly での新ポジションに専念するため辞任を表明し、後任に Dick Hardt (Hellō) が就任することが ML で告知された。11月18日のミーティングでは Dick の就任が確認されると同時に、Karl McGuinness から SL1 の SAML プロファイルを SAML2int をベースラインに構築し、OpenID Connect SL1 とのパリティを取る 提案が提示され、共有攻撃者モデル（トークン盗難・OAuth フィッシング）の議論が開始された。

この月はまだ SL1/AL1 の作業が前進していたが、翌12月には「SL1/AL1 の議論が長引いてモメンタムを失っている」との懸念が表面化し、プロトコル別サブグループ体制への再編議論につながっていく（詳細は 2025年12月レポート）。

公開された仕様・ドラフト改訂

2025年11月中に、IPSIE WG が公開した仕様の Final / Implementer's Draft / Editor's Draft の改訂、およびパブリックレビュー開始・投票通知は確認できなかった。openid/ipsie メインリポジトリへの 11月中のコミット・新規 PR・新規 Issue はいずれも 0 件であった。

作業は主にミーティング内の議論と既存 Issue (#115, #116) 上のコメントにとどまり、文書化は翌月以降に持ち越された。WG が取り組んでいた採択済みドラフトは以下の3本で、いずれも Editor's Draft 段階（GitHub wiki 上の一覧より）:

Common Requirements Profile
OpenID Connect SL1
SCIM AL1

ミーティングと議論

2025年11月は以下のスケジュールで運営された（ML 投稿 Upcoming call schedule 2025-11-10 より）:

日付	状況	事由
2025-11-04	休会	IETF 124 Montreal と重複
2025-11-11	休会	Veterans Day / Remembrance Day
2025-11-18	開催	月内で唯一のミーティング
2025-11-25	休会	Thanksgiving 週

2025-11-18 ミーティング

議事録 (ML 投稿) および GitHub wiki 2025-11-18 ページより再構成。

参加者 (6名): Aaron Parecki (Okta, co-chair)、Dick Hardt (新 co-chair)、Pablo Valarezo、Karl McGuinness、Jon Bartlett (Zscaler)、Travis Tripp (HPE)

主要議題:

共同議長の交代: 月初に ML で告知された通り、Dean H. Saxe の辞任に伴い Dick Hardt の共同議長就任がミーティング内で確認された。Dean は Remitly での新役職と DADE CG での活動に注力するため IPSIE の共同議長業務から退くが、Common Requirements Profile ドラフトの完成・発行までは責任を持って継続すると表明していた。

SL1 の SAML プロファイル構築方針: Karl McGuinness が 「SAML2int をベースラインに、OpenID Connect SL1 とパリティを取る修正を加えた SL1 SAML プロファイル」 の提案を提示した。議事録では以下の調整が明記されている（原文: "no SAML logout requirement, no assertion encryption to align with OIDC SL1, signed authn request for public clients"）:

除外する要件: SAML Logout、アサーション暗号化 (Assertion Encryption)
- 理由: OIDC SL1 と同等の低位ベースラインとするため
追加する要件: Public Client 向けの署名付き認証リクエスト (signed authn request) を必須化
SL2/SL3 での強化: 暗号化や Confidential Client 要件等を上位レベルで追加

Microsoft の適合性プロファイルを確認したところ「no dealbreakers（致命的な障壁なし）」であり、Azure 側の既存実装とも整合することが示された。Jon Bartlett は 「I like it, minimal investment」（気に入った、最小限の投資で済む）と発言し、提案への支持を表明した。議事録は全体として一般的な支持があったと記録している。

共有攻撃者モデルの定義開始: Aaron Parecki が「私が見ている主要な脅威は2つ: token theft（トークン盗難）と OAuth phishing だ」（"Two main threats I see are token theft and OAuth phishing"）と問題提起し、エンタープライズ環境における実践的な脅威を対象とする攻撃者モデルの定義に着手した。議論の焦点:

トークン盗難: セッションクッキー盗難とアクセストークン盗難を区別して扱う必要性
OAuth フィッシング: 攻撃経路としての整理
セッション保証 (session assurance): Karl McGuinness がベアラトークンのセキュリティに関する目標として言及
DBSC (Dual Bearer Session Cookies) 等の先進防御策: 現在のエンタープライズ展開では広く普及していない現状認識

決定事項:

Dick Hardt を IPSIE WG 共同議長に承認
12月のミーティング日程を確定: 12月2日・9日・16日（12月23日・30日・1月6日は年末年始休会）
SL1 SAML プロファイルを SAML2int ベースで策定する方針を基本合意
攻撃者モデル定義作業を継続し、次回ミーティングで深化

次回への持ち越し:

2026年の WG 目標 (objectives) の議論
OpenID Foundation への 2026年リソース要求の整理

メーリングリストの主要スレッド

pipermail の週次インデックスを確認した結果、2025年11月中の ML スレッドは実質的に事務連絡とリーダーシップ交代告知に集中した。技術議論スレッドは立ち上がらず、主要論点はすべてミーティング内で取り扱われた。

IPSIE chairs update - 2025-11-14 開始 (3 返信)

月内で最も実質的なスレッド。Aaron Parecki が Dean の辞任と Dick の共同議長就任について、WG メンバーから支持または懸念のフィードバックを求めた:

First I want to thank Dean for having co-chaired the IPSIE working group with me for the past year. [...] he has to step down as co-chair of IPSIE as he transitions to a new role. [...] Dick has confirmed that he is willing to step up as co-chair. — Aaron Parecki, 2025-11-14

主要参加者と立場:

Dean H. Saxe (辞任当事者、返信): Remitly での新ポジションが想定より多忙であり、DADE CG での役割と並行して IPSIE 共同議長を務める時間的余裕がないため即時辞任すると説明。ただし「Common Requirements Profile ドキュメントを発行まで見届ける」責任を明言し、WG コールへの出席頻度は減るものの完全離脱はしないと表明した。新規参加者への継続的なメール／Slack でのサポート意思も表明。
Jeff Reich (Identity Defined Security Alliance エグゼクティブディレクター、返信): 簡潔な謝意と将来への期待表明。
Gail Hodges (OpenID Foundation エグゼクティブディレクター、返信): Dean の貢献を「IPSIE を現実のものにし、この重要な作業の軌道を形作った」と評価。Dick の立候補を歓迎し、WG による迅速な承認を期待する旨を述べた。

論点の対立: このスレッドに表立った反対意見や対立は記録されていない。論争ではなく手続き的な承認プロセスとして機能した。

合意: 11月18日ミーティング内で Dick の共同議長就任が正式に確認された。

Upcoming call schedule - 2025-11-10 (0 返信)

Aaron Parecki がコール休会日程（11/11・11/25・12/23・12/30・2026/1/6）と開催日程（11/18・12/2・12/9・12/16・2026/1/13）を事前告知。GitHub wiki および OpenID Foundation のカレンダー両方を更新した旨を明記。

no call Nov 4 - 2025-11-04 (0 返信)

Aaron Parecki が IETF 124 Montreal との重複を理由に 11月4日のコールを急遽中止。

2025-11-18 IPSIE WG Meeting Minutes - 2025-11-18 (0 返信)

ミーティング当日の夜に Aaron Parecki が議事録を ML に投稿。GitHub wiki の 2025-11-18 ページと同内容。

Weekly GitHub digest (ボット投稿)

週次で自動投稿される GitHub Activity Summary によると、11月のリポジトリ活動は以下の通り（編集ラベル付き項目を除く）:

11月3日週 (000150.html): Issue #116 に gffletch と timcappalli から2コメント、Issue #115 に gffletch から1コメント
11月10日週 (000156.html): Issue #116 に gffletch から1コメントのみ
11月17日週以降: 新規投稿なし

GitHub 上の議論

2025年11月中に openid/ipsie リポジトリで新規作成された Issue・PR・コミットは 0 件であった。ただし、9月に開設された既存 Issue 2件が継続議論の対象となった。

openid/ipsie#116 - Should enterprise IDPs be required to support public clients

開設: 2025-09-24 (gffletch / George Fletcher)
11月の活動: 週次 digest によると Nov 3 週に gffletch・timcappalli から 2 コメント、Nov 10 週に gffletch から 1 コメント（合計 3 件の新規コメント）
論点: エンタープライズ IdP が Public Client（PKCE を用いる動的登録・非機密クライアント）のサポートを必須とすべきか。SPA やデスクトップ / モバイルアプリの認証フローとの関係、Public Client の発行ポリシー（ユーザごと／組織ごと／開発者ごと）などが議論の軸となっている。この Issue は SL1 要件の粒度を定める上で重要であり、11月18日ミーティングの SAML プロファイル議論とも関連する論点を含んでいた。

openid/ipsie#115 - Use of access_token by RP in IPSIE level 1

開設: 2025-09-24 (gffletch / George Fletcher)
11月の活動: Nov 3 週に gffletch から 1 コメント
論点: SL1 において Relying Party がアクセストークンをどのように扱うべきか。OIDC SL1 におけるアクセストークンの位置づけと、Token Introspection・スコープ制限・audience 検証の要件レベル。

両 Issue は11月末時点で未解決のまま残り、12月以降の SL1/AL1 議論へ持ち越された。

今後の予定（2025年11月末時点）

12月2日・9日・16日に定例ミーティング開催（12月後半〜1月6日は休会）
11月18日ミーティングで開始された 攻撃者モデル（Threat Model）定義 の継続深化
SL1 SAML プロファイル を SAML2int ベースで策定開始。OIDC SL1 とのパリティ確保のため SAML Logout・アサーション暗号化を除外し、Public Client 向け signed authn request を必須化する方向
2026年の WG 目標 の議論開始、および OpenID Foundation への 2026年リソース要求の整理
Issue #115・#116 を含む SL1 要件に関する継続議論

参考情報源

IPSIE WG ページ (openid.net) - WG 概要・フォーカス領域
openid/ipsie GitHub リポジトリ - 仕様ソースと Issue トラッカー
IPSIE WG GitHub Wiki - ミーティング議事録一覧
2025-11-18 ミーティング議事録 (ML 投稿) - 11月18日ミーティング詳細
ML: IPSIE chairs update - 共同議長交代告知（Aaron Parecki, 2025-11-14）
ML: Dean H. Saxe reply - 辞任説明
ML: Jeff Reich reply
ML: Gail Hodges reply
ML: Upcoming call schedule - 11月〜1月のミーティング日程告知
ML: no call Nov 4 - IETF 124 重複による中止告知
ML Weekly digest 11/3週 - GitHub Activity Summary
ML Weekly digest 11/10週 - GitHub Activity Summary
openid-specs-ipsie pipermail アーカイブ - メーリングリスト週次アーカイブ一覧
Issue #116 - Should enterprise IDPs be required to support public clients
Issue #115 - Use of access_token by RP in IPSIE level 1
IETF 124 Montreal - 11月4日コール中止の原因となった並行開催イベント

OpenID Foundation IPSIE WG 活動レポート (2025年11月) ​

概要 ​

公開された仕様・ドラフト改訂 ​

ミーティングと議論 ​

2025-11-18 ミーティング ​

メーリングリストの主要スレッド ​

IPSIE chairs update - 2025-11-14 開始 (3 返信) ​

Upcoming call schedule - 2025-11-10 (0 返信) ​

no call Nov 4 - 2025-11-04 (0 返信) ​

2025-11-18 IPSIE WG Meeting Minutes - 2025-11-18 (0 返信) ​

Weekly GitHub digest (ボット投稿) ​

GitHub 上の議論 ​

openid/ipsie#116 - Should enterprise IDPs be required to support public clients ​

openid/ipsie#115 - Use of access_token by RP in IPSIE level 1 ​

関連イベント ​

今後の予定（2025年11月末時点） ​

参考情報源 ​