OpenID Foundation Shared Signals WG 活動レポート (2024 年 11 月)

執筆日: 2026-05-19（2024 年 11 月分の遡及レポート）

1. 概要

Shared Signals Working Group（以下 SSF WG、旧称 RISC WG）は、ゼロトラスト・継続的アクセス評価のための非同期セキュリティイベント共有プロトコルを策定する OpenID Foundation のワーキンググループである。共同議長は Atul Tulshibagwale (SGNL) と Tim Cappalli。主要成果物は openid/sharedsignals で管理されている 3 仕様 (SSF / CAEP / RISC Profile) であり、2024 年 11 月時点ではいずれも Implementer's Draft フェーズにあった。後に 3 仕様すべてが Final 化されるのは 2025 年 9 月であり、本月はその 約 10 か月前に位置する。

11 月は **「v1 Final 化に向けた Issue 仕分け」と「Gartner IAM Summit Dallas (12/9-11) Interop の最終準備」**が活動の二本柱となった月である。定例 WG コールは 2 回 (11/5 と 11/19) が開催され、議論の主軸は次の 3 点に整理できる:

Risk Level Change Event の論点整理 (PR #205): 「リスクレベル変化を独立イベントとして導入することの是非」「low/medium/high というスケールでベンダ間に共通理解が成立するか」が論争。**Stan Bounev (VeriClouds) や Yair Sarig (Omnissa) が「ベンダごとに risk の定義が異なる」**と懸念を表明し、appbugs (Stan の GitHub アカウント) は **「Risk Level Change Event が他の CAEP イベント実装を回避する『catch-all』として使われかねない」**との根本的な批判を 11/5 に PR にコメントした。一方 PR 起票者の appsdesh (Apoorva Deshpande, Okta) は **「このイベントは他の CAEP イベントと何ら変わらず descriptive である」**と反論し、論点が鮮明に対立した
Permanence of streams (Issue #211 / 後の PR #222 の前段): 10 月起票の Issue #211 が 11/13 に Tushar Raibhandare (Google) によって vFinal 化要請とともに再点火される。「Receiver が無反応になった場合、Transmitter が無期限に security event を保持し続ける状態は『potential security hole』である」と問題提起。11/19 コールで正式に議題化され、12 月の PR #222 (Introduce inactivity_timeout) へとつながる伏線が敷かれた
SSF Conformance Tests の開発加速: Thomas Darimont (OIDF) が Java/Spring Boot ベースの Conformance Suite を週内に「mergeable な状態」へ進める目標を 11/19 に表明。caep.dev / Omnissa / Okta の 3 ベンダ実装に対するテスト走行が始まった。本作業は 12/17 コールで報告される 2025-01-28 SSF Conformance Tests Workshop への直接の準備である

加えて、11 月は組織面でも重要な転換点となった月である。共同議長の Tim Cappalli が 11/21 に「2024 年 12 月 31 日付で SSF WG 共同議長を退任する」旨を ML に表明した。後任の選出時期は本月内には議論されなかったが、Dallas Interop 直前というタイミングでの議長交代告知は WG 内に少なからぬ波紋を呼んだ。

openid-specs-risc ML の 11 月の人手投稿は Atul Tulshibagwale による議事録 2 本 (11/5、11/19)、Atul による運営方針投稿 1 本 (11/15)、Tim Cappalli の退任表明 1 本 (11/21)、Michael Jones の仕様ページ整備要請 1 本 (11/23)、Atul による返信 1 本 (11/25) の計 6 本で、残りは GitHub bot による Issue/PR コメント転送である (Atul の 11/5 議事録は 001694 / 001696 の 2 通が送信されているがほぼ同内容)。月内 ML 投稿総数は 21 件で、12 月 (4 件) と比較すれば活発だが、PR #222 のような単一の集中議論はまだ起きていない「論点散開期」の月であった。

GitHub 側では月内に Issue 1 件 (#221) が新規起票・PR 1 件 (#213) がマージされた。マージされた PR #213 は 10 月起票 (Thomas Darimont) の CAEP Interoperability Profile のネットワーク層保護ガイダンスを RFC 7525 から RFC 9325 へ更新するものであり、12/9 Dallas Interop 開幕日までに Interop 用ドラフトを最新の TLS ベストプラクティスに揃える地味だが重要な前掃除に相当する。

2. 公開された仕様・ドラフト改訂

2024 年 11 月中に Final 仕様の新規公開、Implementer's Draft 投票通知、パブリックレビュー開始通知のいずれも確認できなかった。3 仕様 (SSF / CAEP / RISC Profile) はいずれも Implementer's Draft フェーズに留まる。11/5 コールでは Atul から仕様プロセスに関する以下の発言が記録された:

「We do not need to go to ID-4 in order to call a revised spec final. We can propose a revised spec as the 'final' proposed spec and vote on that.」（議事録 2024-11-05 より、Atul Tulshibagwale の発言要旨）

これは、SSF 仕様を ID-3 → ID-4 と段階的に経由せず、ID-3 を直接 v1 Final 化への候補として進められる旨の運営的整理であった。Apoorva Deshpande (Okta) も「ID-3 を緊急の追加なしで Final へ進めるべき」と賛同し、月内に WG 全体で**「v1Final ラベル運用」**が運営方針として明確化された。v1Final ラベルが付与された Issue/PR は、v1 Final 化に向けて優先的に処理される対象として WG 内で位置付けられる。

月内に main ブランチへマージされた PR は以下 1 件である:

PR	タイトル	author	created	merged
#213	Update Network layer protection guidance in CAEP Interoperability Profile	thomasdarimont	2024-10-08	2024-11-18 19:33:28 UTC

PR #213 は Issue #212 (Thomas 自身による起票) を解消するもので、CAEP Interoperability Profile §2.1 (Network layer protection) が参照していた obsolete な RFC 7525 を RFC 9325 (現行の TLS BCP) に差し替える。マージとともに Issue #212 もクローズされた。Dallas Interop で実装を持ち寄るベンダ各社が参照する Interop Profile を、最新の TLS BCP に整合させた点で時宜にかなった改訂である。

月内に新規起票された Issue は以下 1 件:

Issue	タイトル	author	created	11 月末時点
#221	Addition of Event data field inside events	iamseanodentity	2024-11-07 20:09:47 UTC	open。`spec:SSF`, `v1Final`

Issue #221 は Sean O'Dell (Disney) が起票し、全イベントに対する共通の event_data フィールド導入提案である。提案された構造は次のとおり (Issue 本文より):

json

"events": {
  "https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
    "event_timestamp": 1615304991643,
    "event_data": {
      "something": "foo",
      "blah": "bar",
      "blah2": "example2"
    }
  }
}

Atul は起票翌日 (11/7 21:52 UTC) に **「SSF spec への変更で、任意の追加データは event_data フィールドで送信『SHOULD』する旨の推奨文を追加できる」**とコメント。Sean は 11/8 に「自分で進めて良いか」と志願した。本 Issue は 12 月中にはアクションが取られず、議論再開は 2025 年 3 月以降となる (最終的に 2025-04-22 に PR #250 に統合されてクローズ)。本月内では「v1Final 候補に加わった構造論点」として記録される。

3. ミーティングと議論

11 月の WG 定例コールは 隔週開催 (火曜 1pm-2pm EST) で 11/5 と 11/19 の 2 回が開催された。11/12 は休会で、これは隔週運用に切り替わって初の「skip 週」にあたる。

3.1 2024-11-05 定例 WG コール

参加者は 10 名: Atul Tulshibagwale (SGNL)、Apoorva Deshpande (Okta)、Thomas Darimont (OIDF)、Yair Sarig (Omnissa)、Stan Bounev (VeriClouds)、Martin Gallo (Individual)、Sean O'Neill (EasyDynamics)、Tushar Raibhandare (Google)、Sean O'Dell (Disney)、Keiko Itakura (Okta) (議事録 HackMD 2024-11-05 より)。主要議題は (1) 新提案 CAEP イベント 「Risk level change」(PR #205) のレビュー、(2) SSF-final 化対象 Issue の仕分けの 2 点。

主要議論:

Risk Level Change Event の命名と分類論: 「Risk」という呼称が RISC Profile と混同される懸念から、「Threat Level Change」への改称が代替案として提示された (議事録 2024-11-05 より)。「assurance level change」とどう区別するか (前者はセキュリティ脅威、後者はポリシー) も論点となった
low/medium/high スケールの妥当性: 「ベンダごとに risk の定義 (Identity Threat Detection and Response の成熟度) が異なる」という前提のもと、共通スケールの構築可能性に懐疑論が出た。代替案として:
- 数値スコア (1-5, 1-10 等)
- MITRE classifications の援用
- オフライン (off-spec) でのベンダ間合意
- オプションの「risk type」フィールドの追加
Thomas Darimont からは NIST の脆弱性スコアリングフレームワーク の参考可能性も示唆された (議事録 2024-11-05 より)
Subject 表現の妥当性: 単一の subject 行が「複雑な risk シナリオを表しきれるか」が議論。Transmitter が自由テキストで説明メッセージを event に含められるべき、という方向で合意
SSF-Final Criteria の運営整理: Atul の「ID-4 を経由する必要はない」「revised spec を直接 final 候補として提案・投票できる」発言を経て、v1Final 仕分けの正式運用が始まった。Apoorva の「ID-3 を不要な追加なしで final へ進めるべき」という提言が議事録に記録された
SSF Conformance Testing の告知: Thomas が Java/Spring Boot プロジェクトでの Conformance Suite 開発を **「数週間以内」**に提供する予定を共有。SSF-enabled な環境を提供する複数組織への感謝が述べられた

11/5 コールの直接的成果として、PR #205 のレビューが GitHub 上でも並行して進み、同日中に appbugs (Stan Bounev) / appsdesh (Apoorva) / ysarig75 (Yair) によって計 8 件のレビューコメントが積まれた (§5.1 参照)。

3.2 2024-11-19 定例 WG コール

参加者は 12 名: Erik Gomez (JGSW)、Atul Tulshibagwale (SGNL)、Thomas Darimont (OIDF)、Sean O'Neill (Easy Dynamics)、Jay Leslie (Easy Dynamics)、Jen Schreiber (Workday)、Gail Hodges (OIDF)、Sean O'Dell (Disney)、Keiko Itakura (Okta)、Mike Kiser (SailPoint)、Yair Sarig (Omnissa)、Stan Bounev (VeriClouds) (議事録 HackMD 2024-11-19 より)。Gail Hodges (OIDF Executive Director) が参加している点が本コールの特徴で、議題は (1) Performance/Permanence of streams、(2) Machine readable event schema (Issue #158)、(3) Risk level change event、(4) OpenID Budget 2025、(5) SSWG items、(6) SSF Conformance Tests の状況、の 6 点。

主要議論:

Permanence of streams の正式議題化: 11/13 に Tushar が Issue #211 へ書き込んだ vFinal 化提案がコール議題に格上げされた (Atul が 11/15 にアジェンダ追加をコメント)。コール終了後の 11/19 14:02 UTC に **Tushar が「同様のコンセプトは PULL stream にも有用 (security ではなく『Tx がイベントを長期保持しなくて済む最適化』として)」**との発展案をコメント。これが 12 月の PR #222 における stream_ttl 命名 (push 限定ではなく汎用) への直接の伏線となる
Machine Readable Event Schema (Issue #158): Jen Schreiber (Workday) が現提案を概説。Mike Jones から **「JSON schema だけでは不十分、spec が必要」**との懸念が示された。Jen は「field の semantics を schema description だけで伝えるのは不十分」「ただし spec を別途管理するなら JSON schema アプローチの利点 (spec lifecycle 管理コスト回避) が失われる」と本質的トレードオフを整理。Yair から「common field を別々の schema で繰り返すのか、共通ファイルに置くのか」が問われ、Jen は「schema inheritance か duplication か」を提示。最終的に「実際の event (RISC イベント 1 つ、SCIM イベント 1 つ等) について現提案で何が足りないかを exercise する」アクションが取られた (Issue #158 への 11/19 18:58 UTC コメントとして Atul が記録)
Risk Level Change Event の継続討議: 11/5 から続く論点が再訪。Atul が PR レビューコメント上で「数値レンジは表現力が高いが、標準カテゴリも維持可能か」「subject type だけでは risk が誰/何に関わるかを十分に記述できないのでは」と疑問を提起 (11/19 14:02-14:05 UTC の PR #205 レビューコメント)。これに対し appsdesh は 11/21 に「subject は複数 entity を含み得る、principal claim 追加が解決策」と応答した
OpenID Budget 2025 の議論: SSF WG として 2025 年の戦略目標を Gail Hodges を交えて議論。確認された高レベル目標は (1) Final 仕様の確定、(2) 追加 schema の整備、(3) Gartner Forum 等での Interop イベント、(4) US Government 等の新市場への ecosystem support。Stan Bounev からの提案として **「コンサルティング会社や実装企業の従業員向けに certification を提供できないか」**との発案があり、Gail は IDPro 経由での Certified Shared Signals Expert 認定を OIDF 資金で運営できる可能性を示唆した
SSF Conformance Tests のデモ: Thomas Darimont が caep.dev / Omnissa / Okta の 3 ベンダ実装に対するテスト走行のデモを実施。週末までに mergeable な状態に到達する目標を共有し、GitLab の SSF 開発ブランチから参照可能と説明。Yair Sarig からは **「レスポンスをファイルに保存できるか」**との質問があり、Thomas は **「Download logs 機能で全リクエスト/レスポンスにアクセス可能」**と回答 (議事録 2024-11-19 より)

11/19 コールは、Permanence / Schema / Risk Level / Conformance Tests / Budget の 5 つの大きな論点が並行して動いていることを WG 全体が共有する場として機能した。Gail Hodges の参加と Budget 議論が、後に 12 月で議論される Special Topic Group / FS-ISAC 連携の運営的下地を作った点も特筆される。

4. メーリングリストの主要スレッド

openid-specs-risc ML のアーカイブは週次インデックス形式で提供されている。2024 年 11 月の状況:

アーカイブ週	投稿数	主な内容
Week-of-Mon-20241104	9	11/5 コール議事録、PR #205 関連 4 件、Issue #221 起票通知、Issue #221 コメント
Week-of-Mon-20241111	3	Atul「Issues based discussions in WG meetings」、Issue #211 への Tushar コメント転送
Week-of-Mon-20241118	8	11/19 コール議事録、Issue #211/#158 コメント転送、Issue #212 クローズ通知、Tim Cappalli 退任表明、Mike Jones の specs 整備要請
Week-of-Mon-20241125	1	Atul の Mike Jones への返信

人手による ML 投稿は 5 本 (Atul 議事録 ×2、Atul 返信 ×1、Tim Cappalli 退任表明、Mike Jones の specs 整備要請)、残りはすべて GitHub bot 通知。以下に技術的・運営的に重要な 3 スレッドを取り上げる。

4.1 Call notes (2024-11-05 コール議事録) - Atul Tulshibagwale, 2024-11-05 19:04:44 UTC

11/5 コール直後 (コール終了から約 5 分後) に Atul が ML へ共有した議事録投稿。本文は HackMD 議事録への参照と要点要約。12 月以降も継続される「HackMD と ML 双方への議事録共有」運用の確立を示す。Risk Level Change Event の議論で「ベンダ間で low/medium/high の解釈が異なるため、数値スコアや MITRE classification の援用、または off-spec のベンダ間合意を検討すべき」「v1Final ラベル付き Issue を全員でレビューして欲しい」というアクションが ML 上にも明示された。同投稿には 001696.html として再送版 (19:06:55 UTC) も存在する。

4.2 Issues based discussions in WG meetings - Atul Tulshibagwale, 2024-11-15 00:12:14 UTC

タイトルは「WG ミーティングを Issue ベースで進める運営」。本投稿は議事録ではなく、Atul による WG コール運営方針の提案である。11/13 に Tushar が Issue #211 を vFinal 化提案として再起動させたことを受け、「議論を Issue 上で先行させ、コールではその追認・決定を行う」運営を改めて明示した投稿と読める (本文要点 = HackMD アジェンダにリンクを貼り、議題の v1Final ラベル付き Issue 群を事前レビュー要請する流れ)。「v1Final 仕分けの ML での運営宣言」の最初の例と位置付けられる。

4.3 stepping down - Tim Cappalli, 2024-11-21 19:04:20 UTC

**SSF WG 共同議長 Tim Cappalli が「2024 年 12 月 31 日付で SSF WG 共同議長を退任する」**旨を表明した投稿。本人は今後もグループとの関わりは継続するとしつつ、議長としての役割からは退く意向を示した。Dallas Interop (12/9-11) 直前というタイミングでの議長交代告知は、Interop および v1 Final 化に向けた WG 運営に少なからぬ影響を与えた。後任の共同議長選出議論は 11 月内には ML/コール記録上行われず、12 月以降の課題として持ち越された。

4.4 The Shared Signals specs are missing from openid.net/wg/connect/specifications/ - Michael Jones, 2024-11-23 18:02:45 UTC

Michael Jones (Self-Issued Consulting、AB/Connect WG エディタ) が SSF/CAEP/RISC 仕様が AB/Connect WG の specifications ページから欠落していると指摘し、「chairs and/or editors, can you please add them?」「SSWG specs page も他 WG と同じ構造を採るべき」と要請した投稿。11/25 16:21:55 UTC に **Atul が「SSWG specifications page は最新であると認識している、Shared Signals specs を A/B Connect WG ページに入れる必要があるのはなぜか？」**と疑問を返信 (001713.html)。Mike Jones の問題意識は OpenID Foundation 全体での仕様カタログの一貫性にあり、SSF WG ページに留まらず Connect WG ページからも横断的にリンクされるべきという外形的な編集要請であったが、月内には解決を見ず議論は持ち越された。

5. GitHub 上の議論

openid/sharedsignals リポジトリの 2024 年 11 月の活動:

Issue 新規起票: 1 件 (#221)
Issue クローズ: 1 件 (#212、PR #213 マージに伴う)
PR 新規起票: 0 件
PR マージ: 1 件 (#213)
main ブランチへの commit: 1 件 (04b683b、PR #213 マージ)
既存 Issue/PR への新規コメント: PR #205、Issue #211、Issue #158、Issue #221 で活発

11 月は GitHub 上で新規 PR 起票がゼロという静かな月だったが、既存 PR #205 と既存 Issue #211 / #158 で議論が大きく動いた月である。以下に重要な議論を 4 件取り上げる。

5.1 openid/sharedsignals#205 — New CAEP event - Risk level change event

author: appsdesh (Apoorva Deshpande, Okta)
起票: 2024-09-20
ラベル: v1Final
11 月末時点: open (最終的に 2025-02-11 にクローズ・マージなし)

11/5 コールでの議題化を受け、PR レビューコメントが集中した。月内のレビューコメント抜粋 (PR Review Comments API より):

11/5 18:56 UTC, appbugs (Stan Bounev): 「The Risk level change event can be used by implementers as a 'catch all' event.」「a receiver could decide to use Risk level change instead of implementing the CAEP events」「prescriptive な性質を持ち込むことになる」と批判
11/5 19:05 UTC, appsdesh (Apoorva): 反論。「This event is the same as any other event in the CAEP spec, and it is NO WAY prescriptive.」「The Receiver may decide to do NOTHING on the risk being HIGH, same way as they chose to ignore existing Session Revoked or Credential Change events.」
11/5 19:48 UTC, appbugs: 再反論「Risk level change event は他の CAEP イベントを集約した何かであり、Tx は既存 CAEP イベントを直接使えばよい」
11/5 20:15 UTC, appsdesh: 「risk indicators は Tx の成熟度の関数。Risk 計算は仕様のスコープ外。Risk は CAEP / RISC 仕様の枠を越え得るもので、risk を first-class object として共有する独立イベントとして扱うべき」
11/5, ysarig75 (Yair Sarig, Omnissa): typo 指摘 (「Session Presented event」→「Risk Level Change event」)、および 「LOW/MEDIUM/HIGH 限定よりも数値 (1-5 や 1-10) のほうが企業の多様性を扱える」
11/19 14:02 UTC, tulshi (Atul): 「数値レンジは表現力が高いが、標準カテゴリもサポートできる形にすべき」「subject type だけで risk が何に関するかを十分記述できるか疑問」
11/21, appsdesh: 「subject は複数 entity (USER + DEVICE 等) を含み得る、principal claim の追加で明確化できる」と提案

論点の核は (1) 「Risk Level Change」を独立イベントとして導入すべきか / それとも構成要素イベントの組み合わせで表現すべきか、(2) low/medium/high という ordinal スケールがベンダ横断で意味を持つか、(3) subject 表現で risk の対象を十分に記述できるか、の 3 点。月内に合意に至らず、12 月コールでの risk_reason MUST → RECOMMENDED 降格合意へと持ち越された。

5.2 openid/sharedsignals#211 — Permanence of streams

author: tulshi (Atul Tulshibagwale)
起票: 2024-10-08
ラベル: spec:SSF, v1Final
11 月末時点: open

10 月起票の Issue。11/13 に Tushar Raibhandare (Google) が決定的なコメントを書き込み議論が点火した:

「I'd like to propose that this be added to v1Final instead of vFuture. Reasoning The main issue is security. Permanent access to data (security events) for PUSH receivers is a potential security hole.」（Issue #211 コメント、2024-11-13 18:46:10 UTC）

Tushar は「OAuth grant が scope と duration の両方で限定されるのに対し、PUSH stream は duration limit が欠落しており、Receiver が無反応のままでも Tx は無期限にデータを送り続けることが期待される設計になっている」「PUSH と PULL の非対称性 (PULL Rx は polling 毎に re-auth されるが、PUSH Rx は stream 作成後何年も通信しない可能性がある)」を問題化。Google Tx の実装は **「auto-expire streams を strongly preferred」**としているため、Tx 側で stream expiry duration を通信できる手段を spec に追加すべきと提案。ID-3 後方互換性を保てる旨も主張した。

Atul は 11/15 に **「11/19 コールのアジェンダに追加した」**と応答。コール後 (11/19 14:02 UTC) に Tushar は **「同様のコンセプトは PULL stream にも有用 (security 目的ではなく Tx のイベント長期保持回避という最適化目的)」**と発展案を提示。appsdesh も同日 17:08 UTC に **「PUSH stream の expiration は分かるが、SSF 仕様は exp claim の使用を discourage している」**と spec 内整合性の論点を追加した。

本 Issue の議論成果は PR #222 (Introduce inactivity_timeout、12/3 起票) の素地を形成した。11 月時点では PR は未起票だが、論点 (Tx 側のデータ保持コスト、PUSH/PULL 非対称性、auto-expire 通信手段) は出揃った。

5.3 openid/sharedsignals#158 — Explore machine reachable approach to event definitions

author: tulshi
起票: 過去 (詳細省略)
11 月末時点: open

11/19 コールで議論された Machine Readable Event Schema の Issue。Atul が 11/19 18:58 UTC に **「Notes from the call on 11/19」**として議論内容をコメントとして書き起こした。本文 (Issue #158 への 11/19 コメントより):

「- Jen reviewed the current proposal / - Mike Jones had some concerns about how this would work? / - He thought a JSON schema won't be sufficient, and a spec would be required / - (Jen) So does the WG think that just the schema is sufficient or we need a spec. / - (Atul) What's an example of the insufficiency? / - (Jen) Using the schema description of a field is not sufficient to describe the semantics of the field / - (Jen) Not managing the spec lifecycle is one of the main benefits of the JSON schema approach, so if we need a schema, we will negate that benefit. / - (Yair) do we need to specify the same common field across different schemas, or do we need to specify them in a common file? / - (Jen) The schemas could have inheritance, but we could duplicate if required / - (Yair) But if you duplicate, then it will get complicated / - (Jen) A good exercise would be to go through a few events and see where this proposal falls short.」

論点は 「JSON Schema 単体で semantics を表現できるか」「**spec が必要となれば JSON Schema 採用の主目的 (spec lifecycle 管理コストの回避) が失われる」**というジレンマであり、Jen から **「実際の RISC / SCIM イベントを 1 つずつ取り上げて現提案で何が不足するかを exercise する」**という具体アクションが提案された。本 Issue は 12 月以降も継続討議となる。

5.4 openid/sharedsignals#221 — Addition of Event data field inside events

author: iamseanodentity (Sean O'Dell, Disney)
起票: 2024-11-07 20:09:47 UTC
ラベル: spec:SSF, v1Final
11 月末時点: open (最終的に 2025-04-22 に PR #250 へ統合してクローズ)

§2 で詳述した Issue。11 月内のコメントは Sean の起票本文、Atul の SHOULD レコメンデーション化提案 (11/7 21:52 UTC)、Sean の自薦 (11/8 17:15 UTC) の 3 件で、続く議論は 2025 年 3 月まで休眠する。**「v1Final 候補として認識されたが、月内には具体実装に進まなかった event_data 統一構造論点」**として記録される。

6. 関連イベント

6.1 Gartner IAM Summit Dallas (Grapevine, Texas) Interop の最終準備

11 月は Gartner IAM Summit Dallas (12/9-11 開催) での 2 回目の Shared Signals Interop の最終準備月であった。本 Interop は OIDF 公式アナウンス Shared Signals Interop Event at Gartner's IAM Summit (2024-07-19 公開) で **「up to 10 implementers」**を募集して始動し、11 月時点ではすでに参加企業が確定し各社の実装テストが進行中であった (Thomas Darimont が 11/19 コールで caep.dev / Omnissa / Okta の Conformance Suite 走行結果を共有した点に対応)。

最終的に 12/9-11 に参加することになる 14 社 (AppOmni、caep.dev、Cisco、Delinea、Google、IBM、Jamf、Okta、Omnissa、SailPoint、Saviynt、SGNL、Thales、WinMagic) のうち多くが、11 月中に Conformance Suite との連携テスト・実装最終調整を行ったとみられる。

PR #213 (CAEP Interop Profile のネットワーク層保護ガイダンス更新、11/18 マージ) は、この Dallas Interop でベンダ各社が参照する Interop Profile を 最新の TLS BCP (RFC 9325) に整合させるための直前更新であり、Interop 前掃除としての位置付けが明確である。

6.2 OpenID Foundation 公式ブログ記事

確認できた範囲で、月内に openid.net 上で SSF WG に関する新規記事の公開は確認できなかった。Dallas Interop 開催予告 (OIDF Returns to Gartner IAM Summit to Showcase Shared Signals) は 12/6 に公開されるため、本月の対象外である。

6.3 議長交代の予告

11/21 の Tim Cappalli による 12/31 付退任表明 (§4.3) は、対外的なイベントではないが SSF WG のガバナンス上の重要な動きである。後任の共同議長選出プロセスは月内には始動せず、Atul Tulshibagwale が単独議長として Dallas Interop に臨むこととなった。

7. 今後の予定 (2024 年 11 月末時点の視点)

11 月末時点 (当時の視点) で予定されていた次月以降の動き:

Gartner IAM Summit Dallas Interop (12/9-11): メインセッション「Building a Trust Fabric with the OpenID Shared Signals Framework」(12/9) と Interop デモセッション 6 枠 (12/10-11) を予定。14 社の実装ベンダが参加
次回 WG コール (12/3): 隔週運用で 12/3 が Dallas Interop 開幕の 6 日前。Risk Level Change Event の継続討議と Permanence of streams (PR 起票予定) が主要議題
PR #205 (Risk Level Change Event) の論点整理: 11 月内に出尽くした論点 (catch-all 化懸念、ordinal vs numeric スケール、subject 表現) について、12 月コールでの合意形成を目指す。risk_reason の規範要件レベル調整が次の焦点となる見込み
Issue #211 (Permanence of streams) → PR 起票: Tushar が「自分が PR を送る」と 11/13 にコメントしていたとおり、12 月の早期に具体 PR が起票される予定
Issue #158 (Machine Readable Schema) の exercise: Jen Schreiber の提案する「RISC イベント / SCIM イベントを実際に取り上げて現提案で不足する点を洗い出す」exercise が次フェーズ
SSF Conformance Tests の mergeable 化と Workshop: Thomas Darimont が週内 mergeable 化を目標としており、12 月以降の Workshop 開催 (後に 2025 年 1 月へ延期となる) が予定
Tim Cappalli 退任 (12/31) と後任選出: 12 月の WG コールで後任議長選出プロセスが議題化される見込み
OpenID Budget 2025 確定: 11/19 コールで議論された 4 つの高レベル目標 (Final 仕様、追加 schema、Interop イベント、ecosystem support) と Certified Shared Signals Expert 認定構想を、12 月以降に具体化

11 月の活動 (Risk Level Change Event の論点整理、Permanence of streams の議題化、SSF Conformance Tests の開発加速、PR #213 マージによる Interop Profile の TLS BCP 更新、Tim Cappalli 退任予告) は、12 月の Dallas Interop 成功と PR #222 起票、Special Topic Group / FS-ISAC 連携、Conformance Tests Workshop の 2025 年 1 月延期決定（2024 年 12 月レポート参照）への直接の伏線となった。

8. 参考情報源

議事録

Shared Signals WG Meetings Wiki — 定例コール議事録一覧
WG Meeting 2024-11-05 (HackMD) — Risk Level Change Event の命名・スケール論、SSF-final 化方針、Conformance Tests 告知
WG Meeting 2024-11-19 (HackMD) — Permanence of streams 正式議題化、Machine Readable Schema 議論、Risk Level Change 継続討議、OpenID Budget 2025、Conformance Tests デモ

メーリングリスト

openid-specs-risc ML アーカイブ — 週次インデックス
Week-of-Mon-20241104 thread index — 11/5 コール議事録、PR #205 関連 4 件、Issue #221 起票
Week-of-Mon-20241111 thread index — Issue ベース運営宣言、Issue #211 への Tushar コメント
Week-of-Mon-20241118 thread index — 11/19 コール議事録、Issue #211/#158 議論、Issue #212 クローズ、Tim Cappalli 退任表明、Mike Jones の specs 整備要請
Week-of-Mon-20241125 thread index — Atul による Mike Jones への返信
Call notes (Atul Tulshibagwale, 2024-11-05) — 11/5 WG コール議事録
Issues based discussions in WG meetings (Atul, 2024-11-15) — Issue ベース運営宣言
Call notes (Atul, 2024-11-19) — 11/19 WG コール議事録
stepping down (Tim Cappalli, 2024-11-21) — 12/31 付退任表明
The Shared Signals specs are missing... (Michael Jones, 2024-11-23) — AB/Connect WG specifications ページからの欠落指摘

GitHub

PR #213: Update Network layer protection guidance in CAEP Interoperability Profile — thomasdarimont 起票・11/18 マージ。RFC 7525 → RFC 9325
Issue #212: Outdated Network layer protection guidance in CAEP Interoperability Profile 1.0 — PR #213 マージで 11/18 クローズ
PR #205: New CAEP event - Risk level change event — 11/5 コール議題、月内に PR レビュー集中
Issue #211: Permanence of streams — 11/13 Tushar コメントで再点火、11/19 コール議題化
Issue #158: Explore machine reachable approach to event definitions — 11/19 コール議題、Atul の議事録コメント
Issue #221: Addition of Event data field inside events — Sean O'Dell 起票、event_data 共通フィールド提案

公式・関連情報

Shared Signals Working Group - OpenID Foundation — WG 公式ページ
Shared Signals Working Group – Specifications — Shared Signals 仕様一覧
Shared Signals Interop Event at Gartner's IAM Summit — OIDF 公式アナウンス (2024-07-19)、Dallas Interop 募集
RFC 9325 - Recommendations for Secure Use of Transport Layer Security (TLS) — PR #213 で参照に切り替えられた現行 TLS BCP

OpenID Foundation Shared Signals WG 活動レポート (2024 年 11 月) ​

1. 概要 ​

2. 公開された仕様・ドラフト改訂 ​

3. ミーティングと議論 ​

3.1 2024-11-05 定例 WG コール ​

3.2 2024-11-19 定例 WG コール ​

4. メーリングリストの主要スレッド ​

4.1 Call notes (2024-11-05 コール議事録) - Atul Tulshibagwale, 2024-11-05 19:04:44 UTC ​

4.2 Issues based discussions in WG meetings - Atul Tulshibagwale, 2024-11-15 00:12:14 UTC ​

4.3 stepping down - Tim Cappalli, 2024-11-21 19:04:20 UTC ​

4.4 The Shared Signals specs are missing from openid.net/wg/connect/specifications/ - Michael Jones, 2024-11-23 18:02:45 UTC ​

5. GitHub 上の議論 ​

5.1 openid/sharedsignals#205 — New CAEP event - Risk level change event ​

5.2 openid/sharedsignals#211 — Permanence of streams ​

5.3 openid/sharedsignals#158 — Explore machine reachable approach to event definitions ​

5.4 openid/sharedsignals#221 — Addition of Event data field inside events ​

6. 関連イベント ​

6.1 Gartner IAM Summit Dallas (Grapevine, Texas) Interop の最終準備 ​

6.2 OpenID Foundation 公式ブログ記事 ​

6.3 議長交代の予告 ​

7. 今後の予定 (2024 年 11 月末時点の視点) ​

8. 参考情報源 ​

議事録 ​

メーリングリスト ​

GitHub ​

公式・関連情報 ​