idbok

Appearance

OpenID Foundation Shared Signals WG 活動レポート (2025年3月)

執筆日: 2026-05-18(2025 年 3 月分の遡及執筆)

1. 概要

Shared Signals Working Group(以下 SSF WG、旧称 RISC WG)は、ゼロトラスト・継続的アクセス評価のための非同期セキュリティイベント共有プロトコルを策定する OpenID Foundation のワーキンググループである。共同議長は Atul Tulshibagwale (SGNL) ほか。主要成果物は openid/sharedsignals で管理されている以下 3 仕様である:

  • Shared Signals Framework (SSF): Transmitter / Receiver 間の非同期通信 API 基盤
  • Continuous Access Evaluation Profile (CAEP): ゼロトラストにおけるアクセス状態変化通知プロファイル
  • Risk Incident Sharing and Coordination (RISC) Profile: クレデンシャル詰め込み・アカウント乗っ取り対策プロファイル

2025 年 3 月時点では、SSF / CAEP / RISC の 3 仕様はいずれも Implementer's Draft フェーズ にあり、WG は 「v1Final へ向けた仕様確定作業の序盤」 に位置していた。Final 仕様の公開(実際には半年後の 2025 年 9 月)はまだ視界に入っておらず、v1Final ラベル付き Issue を集中的に解決していく工程が始まったところであった。3 月の象徴的な出来事は、月後半の Gartner IAM Summit London (3/24-25) における CAEP / SSF 相互運用デモ であり、WG の標準化作業と実装ベンダのプロダクト統合がはっきりと接続された月でもあった。

3 月のもう一つの大きな運営上の変更点は、定例コールの開催頻度を 隔週から毎週へ変更 したことである。3 月上旬の合意を経て、3/11 のコールから毎週開催への切り替えが試みられた(ただし 3/11 は実際にはホスト不在でキャンセル相当となった)。月内に開催が確認できた定例コールは 3/4 と 3/18 の 2 回で、3/11 と 3/25 はそれぞれ別の事情でキャンセルされた。

月内の主要議題:

  • PR #233(Section 10 の Events / Event Delivery への大規模リファクタ)の 3/5 マージ
  • PR #225(events_supported を well-known に追加)の 3/3 マージと、わずか翌日に提出された PR #239(同改変のリバート)
  • Issue #241(Transmitter が複数バージョンの仕様メタデータを広告する仕組み)の新規起票(3/17, cisco-skolla)と、v1 への取り込み可否を巡る議論
  • Issue #214(無効ストリームに対する Verification の応答コード)の v1Final ラベル除外合意
  • PR #242(stream_id の文字セット制限)の 3/28 マージ
  • Gartner IAM Summit London (3/24-25) における SSF / CAEP 相互運用デモ(公開情報では参加企業数 9〜11 社)

openid-specs-risc ML の投稿数は 3 月通算で約 50 通だが、その大半は GitHub bot による issue / PR コメント通知である。人手による技術投稿は Call notes 2 本(3/4・3/18)3/11 コール不成立の謝罪 1 本(Atul)、そして暦切り替えに伴うカレンダー再招集通知(Bjorn Hjelm、David Brossard)のみで、実質的な技術議論はすべて GitHub の PR / Issue 上で行われていた。

2. 公開された仕様・ドラフト改訂

2025 年 3 月中に Final 仕様の新規公開、Implementer's Draft 投票通知、パブリックレビュー開始通知のいずれも確認できなかった。WG はこの月、v1Final ドラフトに向けた小〜中粒度の修正を順次取り込む段階にあった。3 月にマージされた主要 PR は以下:

PRタイトルauthorマージ日概要
#225Issue-224: events_supported field added to .well-known/ssf-configurationbeyond-james-slocum3/3well-known エンドポイントに Transmitter がサポートするイベント一覧を広告する events_supported フィールドを追加。1/23 起票・2/11 FragLegs 承認を経て tulshi が v1Final ラベルを外した上でマージ
#227Update out of date linksjogu3/4仕様内の外部参照リンクの更新
#237IP Addresses as a formatappsdesh3/4Subject identifier の format に IP アドレス(ip-addresses)を追加。Issue #201 対応。ipsip-addresses かの命名議論を経て後者で決着、iamseanodentity から「Ship it」の承認
#195Minor clarity editsFragLegs3/4表現の明確化を目的とした小幅修正
#233Refactor section 10tulshi3/5Section 10(Profiles)の大規模リファクタ。内容を Events セクションと新設の Event Delivery セクションに分割。規範的記述の追加は行わず構造のみ整理。Issue #228・#226・#223 を同時クローズ
#242Restrictions on the streamId charsetappsdesh3/28stream_id を RFC 3986 の unreserved 文字(英数字 + - . _ ~)に制限。URL パラメータとしての互換性を担保。Issue #229 クローズ

3 月に新規起票された PRで月内にマージに至らなかったものは以下:

PRタイトルauthor起票3 月末時点
#238Stream ID, authorization header updatesappsdesh3/13/18 にクローズ(PR #233 / #242 で同等内容が取り込まれた重複)
#239Revert "Issue-224: events_supported field added..."tulshi3/4(翌日リバート提案)open のまま継続(実マージは翌 4/15)
#240fixed refs and titles of examplestulshi3 月中旬3/18 にクローズ(「Already incorporated through PR 233」)
#243Fixes issue #208 - Poll endpoint should require authorizationjischr3 月末4/1 マージへ持ち越し
#244Fixes #221 - Add event_metadata to CAEP and RISCjischr3 月末4 月コールで「Thunderdome」と評される議論の末 4/22 クローズへ
#247Clarify Stream Creation default delivery method behaviorjischr3 月末4/1 マージへ持ち越し

特に PR #225 → #239 の経緯は注目に値する。events_supported フィールドを well-known に追加する PR #225 は 1 月起票で 2 月に FragLegs が承認し 3/3 にマージされたが、その翌 3/4 のコールで「v1 範囲外として v1 Final 後に再検討する」方針が再確認され、リバートのための PR #239 が直ちに起票された。これは 2/11 コール時点の合意との整合を取るための運営判断であり、「いったん入った変更でも v1 のスコープに収まらないと判断された段階で速やかにリバートする」という WG の作業規律を示す事例である(実際のリバート PR #239 のマージは 4/15)。

3. ミーティングと議論

Shared Signals WG は通常、火曜日 1pm-2pm EDT / 10am-11am PDT に定例コールを開催している。3/11 のコールから 隔週から毎週開催へ切り替え が実施された(合意は 3 月上旬、Synced invitation 配信は 3/4 付の David Brossard)。2025 年 3 月の開催状況は以下の通り:

日付種別状態
2025-03-04 (火)定例開催。9 名参加
2025-03-11 (火)定例(毎週化初回)実質キャンセル(Atul 旅行不在、副議長によるホストも調整されず参加者のみが Zoom に集まる状態)
2025-03-18 (火)定例開催。6 名参加
2025-03-25 (火)定例キャンセル(Gartner IAM Summit London 出席のため、3/18 コールで事前告知)

3.1 2025-03-04 定例コール

参加者は Atul Tulshibagwale (SGNL)、Shayne Miel (Cisco)、George Fletcher (Independent)、Stan Bounev (VeriClouds)、Thomas Darimont (OIDF)、Apoorva Deshpande (Okta)、Jen Schreiber (Workday)、JD Pawar (Workday)、Sean O'Dell (Disney) の 9 名(議事録 2025-03-04 Call notes より)。主要議題は (1) Section 10 リファクタ PR のレビュー、(2) SSF の金融サービス応用、(3) 仕様化タイムライン、(4) サイバーセキュリティ業界の動き、(5) SSF をサポートする企業の整理 の 5 点であった。

主要議論:

  • Section 10 リファクタ (PR #233): Shayne が「何も新規追加していない。整理のためだけの PR」と説明し、規範的な追加なしで構造のみ変更するアプローチが確認された。翌 3/5 にマージ。
  • events_supported メタデータの扱い: 直前の 3/3 にマージされた PR #225(events_supported を well-known に追加)について、「v1 後への先送り」を決めた以前の合意と矛盾していることが指摘され、PR #225 をリバートする必要がある という結論に至った。これが PR #239(tulshi が翌 3/4 起票)に直結する。
  • Stream TTL: Apoorva が「Stream TTL の実装は『Stream updated』イベントに依存している」と指摘。Stream の更新を Receiver に伝える手段がない限り TTL の精緻な実装は難しいという論点であり、継続検討事項として残された。
  • 仕様化タイムライン: SSF / CAEP / RISC 各仕様の Final 化に向け、v1Final ラベル付き Issue を順次解決していく方針が再確認された。
  • SSF サポート企業: 約 25 社が SSF をサポートしていると把握されているが、企業側が必ずしも公にしないケースもある。認証プログラム(Conformance)が確立されない限り、コミュニティ管理のリストは非公式の域を出ないという認識が共有された。
  • Conformance テストの整備: Thomas が「管理者でない参加者向けに HTML ファイルへのアクセス提供と、レートリミット制御の追加調査を行う」と表明。

3.2 2025-03-11 コール(実質キャンセル)

このコールは毎週開催への切替後の初回として予定されていたが、Atul は出張で不在となった。共同議長間でのバックアップホスト調整が行われなかった結果、コール時刻にいくつかの参加者が Zoom に入ったものの、ホストが立ち上がらず実質的に開催不成立となった。

Reza Motamedi (Thales) が 3/11 17:08 UTC(コール開始から数分後)に OpenID Shared Signals Working Group Weekly として「ミーティングは始まっているか」と ML に問い合わせ、翌 3/12 10:09 UTC に Atul が Re: OpenID Shared Signals Working Group Weekly で謝罪と経緯説明を行っている。

「申し訳ない。私は旅行中で前日のコールに出席できなかった。私の不在中に誰が代わりにホストできるか共同議長間で調整しておらず、結局誰もコールを進行することができなかった」(Atul Tulshibagwale, 2025-03-12 ML より要約)

毎週開催への切替直後だったこともあり、運営面での反省点として記録された。

3.3 2025-03-18 定例コール

参加者は Atul Tulshibagwale (SGNL)、Apoorva Deshpande (Okta)、Tushar Raibhandare (Google)、Swathi Kollavajjala (Cisco)、Thomas Darimont (OIDF)、Elizabeth Garber (OIDF) の 6 名(議事録 2025-03-18 Call notes より)。主要議題は (1) stream_id の文字制約 (PR #242)、(2) Conformance テスト出力フォーマット、(3) 複数バージョン仕様サポート (Issue #241) の 3 点であった。

主要議論:

  • PR #242 (stream_id の文字セット制限): 文字セットを RFC 3986 unreserved に制限する提案。規範的な変更ではあるが、実装の期待される挙動と整合的である という判断で v1Final 取り込みが承認された。

  • Issue #214 (Verification 応答コード): ストリームの状態に応じた応答コード(disabled なら 400、paused なら 400 等)を返すべきかという議論が再燃。WG は「ストリーム状態に紐付いたエラーコードを返すのは適切でない」と判断。404 は許容できる(リソースが存在しないことを示すため)が、400 や 403 を stream 状態に結びつけるのは不適切であるという結論に至り、v1Final ラベルを除去する ことを決定。Atul がラベル除去を担当することがアクションアイテムとなった。

    同日 17:03 UTC には Issue #214 へのコメント として「Verification と Status エンドポイントは関心事を分離すべき。Receiver がストリームの active 状態を確認したい場合は、Verify を呼ぶ前に Get Status を呼べばよい」という追加意見が ML に転送されている。

  • Issue #241 (複数バージョン仕様サポート): cisco-skolla(Swathi Kollavajjala, Cisco)が 3/17 に新規起票した提案。「Transmitter が複数の仕様バージョン(例: 1.0-ID1, 1.0-ID3)をサポートしたい場合、現状は各バージョンごとに別の well-known エンドポイントを持つ必要がある。これを単一エンドポイントで 1_0-ID3, 1_0-ID1 のようにバージョン別のメタデータをネストして返せるようにすべき」という内容。

    コール内では「自動発見が WG の優先事項として認識されていないため、バージョンごとに別の well-known エンドポイント(必要なら異なる issuer 付き)を持たせるのが実用的なアプローチ」という方向で意見集約。仕様変更(フラットなレスポンスから JSON 配列への変更)は後方互換性を破るためライフサイクルのこの段階では避けるべきとの意見も ML 上で示された(001801, 001812)。v1 Final 後の議論として後送り とすることで合意。

  • アドミニ事項: 3/25 コールは Gartner IAM Summit London 出席のためキャンセル、4/1 コールは共同議長の可用性次第と告知された。

3.4 2025-03-25 コールのキャンセル

3/18 コール内で告知された通り、3/25 は Gartner IAM Summit London (3/24-25) に共同議長層が現地参加するためキャンセルとなった。Gartner IAM Summit London は SSF / CAEP の主要実装ベンダが CAEP 相互運用デモを実施する SSF WG にとって最大級の業界イベントであり、対面議論を優先する判断であった。

4. メーリングリストの主要スレッド

openid-specs-risc ML のアーカイブは週次インデックス形式で提供されている。2025 年 3 月の状況:

アーカイブ週投稿数主な内容
Week-of-Mon-2025030393/4 Call notes、Issue 224/194/186/201/223/226/228 のクローズ通知、PR #239 への最初のコメント
Week-of-Mon-2025031043/11 コール不成立に関する問い合わせと Atul の謝罪、毎週開催への Synced invitation 通知
Week-of-Mon-20250317213/18 Call notes、Issue #241 を巡る活発な議論、Issue #214 / #221 / #238 / #208 / #197 / #209 などへのコメント通知群
Week-of-Mon-202503245Issue #221 / #214 / #208 / #229 のコメント・クローズ通知(Gartner IAM 開催週で人手投稿はゼロ)
Week-of-Mon-202503312(3/31 分のみ)David Brossard による Synced invitation の更新(毎週開催スケジュール、PDT 切替対応)。後半は 4 月分

人手による技術投稿は Call notes 2 本(3/4・3/18)3/11 コール不成立の Q&A 2 本(Reza・Atul)、および カレンダー再招集の Synced invitation 4 本(Bjorn Hjelm × 2、David Brossard × 2) のみで、それ以外はすべて GitHub bot による issue / PR コメントの転送である。3 月の ML は 「コール議事録の共有」と「毎週開催への切替に伴う運営連絡」 が中核を占め、実質的な技術議論はすべて GitHub と HackMD 議事録上で行われていた。

4.1 Call notes (2025-03-04) - Atul Tulshibagwale, 2025-03-04 開始

3/4 コール直後の議事録共有。Section 10 リファクタ (PR #233)、events_supported のリバート方針、Stream TTL と「Stream updated」イベントの依存関係、SSF サポート企業の認識整理が要約されている。この投稿は PR #239(events_supported リバート)の起票根拠として後の PR 履歴に紐付けられた。

4.2 OpenID Shared Signals Working Group Weekly - Reza Motamedi (Thales), 2025-03-11 開始

3/11 17:08 UTC、コール開始予定時刻直後に「ミーティングは始まっているか」と問いかける短い投稿。直後に同日中に Bjorn Hjelm からの追加 Synced invitation も配信された。毎週開催に切り替えた最初のコールでホスト不在となった事象が顕在化した瞬間 であり、運営オーバーヘッドの可視化として記録に残った。

4.3 Re: OpenID Shared Signals Working Group Weekly - Atul Tulshibagwale, 2025-03-12 開始

Reza の問い合わせへの謝罪返信。出張中で前日のコールに出席できず、副議長間でホスト代行が調整できていなかったことを率直に説明している。後の月の運営(共同議長間でのバックアップ調整、キャンセル告知の早期化)に影響を与えた。

4.4 Call notes (2025-03-18) - Atul Tulshibagwale, 2025-03-18 開始

3/18 コール直後の議事録共有。stream_id 文字制約(PR #242)、Issue #214 の v1Final 除外、Issue #241 の v1 後送り、Conformance テスト出力フォーマットの整備、3/25 コールキャンセルおよび 4/1 の予定が要約されている。

4.5 Issue #241 を巡る GitHub bot 経由のコメント転送群 (Week-of-Mon-20250317)

3/17 起票の Issue #241 に対し、3/18 だけで複数のコメントが GitHub から ML へ転送された(001800, 001801, 001806, 001807, 001808, 001811, 001812)。「マルチテナント環境でのバージョン移行に有用」「後方互換性破壊につながるためライフサイクル後期では避けるべき」「バージョンごとに別 well-known を持つ運用で十分」といった意見が交わされ、最終的に「v1 後の議論として後送り」で着地した。3 月の Issue 議論の中で最も投稿数が多かったトピックである。

5. GitHub 上の議論

openid/sharedsignals リポジトリの 2025 年 3 月の活動:

  • Issue 新規起票: 1 件(#241)
  • PR 新規起票: 6 件(#238, #239, #240, #242, #243, #244, #247 のうち月内起票分)
  • PR マージ: 6 件(#195, #225, #227, #233, #237, #242)
  • Issue クローズ: #194, #186, #201, #223, #226, #228, #224, #229, #241 など複数

3 月は 「v1Final ラベル付き Issue を順次取り込む」「v1 範囲外と判断された変更は早期にリバートする」両方向の作業が並行する 月であった。新規起票された Issue #241 は典型的な「v1 では後送り、v2 で本格対応」型のテーマとして扱われ、PR #233 / PR #242 の 2 大マージで Section 10 の整理が一気に進んだ。

5.1 openid/sharedsignals#241 — Support for advertising Transmitter metadata for multiple versions of spec(新規起票)

  • author: cisco-skolla (Swathi Kollavajjala, Cisco)
  • 起票: 2025-03-17
  • 3 月末時点: クローズ(3/18 に as not planned 相当でクローズ、後続議論は v1 後に持ち越し)

3 月最大の新規テーマ。「Transmitter が複数バージョンの仕様(ID1, ID2, ID3)をサポートしたい場合、現状は各バージョンごとに別の .well-known/ssf-configuration エンドポイントを維持する必要がある」という問題提起。提案された解決策は、レスポンスをバージョン別の JSON オブジェクト(1_0-ID3, 1_0-ID1 等のキー)にネストして返すというもの。

主要論点:

  • 提案側(cisco-skolla): マルチテナント環境でバージョン段階移行を行う際、古い Receiver と新しい Receiver が混在する。両者が同じ Transmitter に問い合わせて自分が理解できるバージョンのメタデータを取得できる仕組みが必要
  • 後方互換性懸念派: 単一 JSON オブジェクトから配列・ネストへの変更は「後方互換性を破る。仕様ライフサイクルのこの段階では避けるべき」(001801
  • 実用案: 「バージョンごとに別の well-known エンドポイント(必要なら異なる issuer 付き)を持たせるのが現実的」(001812)。自動発見は WG の優先事項ではないため、運用で吸収可能

3/18 コール(§3.3)で正式議論され、「v1 では仕様変更を行わず、自動発見の仕組みは v1 Final 後の議論に回す」方針が固まった。Issue は 3/18 にクローズ(completed)された。

5.2 openid/sharedsignals#225 — Issue-224: events_supported field added to .well-known/ssf-configuration

  • author: beyond-james-slocum
  • 起票: 2025-01-23
  • マージ: 2025-03-03

well-known エンドポイントに Transmitter がサポートするイベント一覧を広告する events_supported フィールドを追加する PR。2/11 に FragLegs が承認し v1Final ラベルを付与、3/3 に tulshi がラベルを外した上でマージした。

しかし翌 3/4 のコールで「2/11 の合意では『events_supported は v1 後への先送り』と決めていた」ことが再確認され、PR #225 はリバートが必要との判断に至った。リバート PR #239 が翌 3/4 に tulshi により起票されている。

この一連の経緯は、(1) PR レビュー段階で過去の WG 合意が十分に確認されなかった事例として、(2) 「v1 で全てを完璧に解決するのではなく、コアな相互運用性を担保した最小限で Final 化する」という WG の方針が運営面でも徹底されつつあった事例として、両面から記憶されるべき出来事である。

5.3 openid/sharedsignals#233 — Refactor section 10

  • author: tulshi (Atul Tulshibagwale, SGNL)
  • 起票: 2025-02-12
  • マージ: 2025-03-05

Section 10 (Profiles) の大規模リファクタ。コンテンツを Events セクションと新設の Event Delivery セクションに分割する構造変更で、規範的記述の追加は行わない。FragLegs が「関連 Issue (#223, #202, #228 のうち項目 3-4) も本 PR で扱ってほしい」とコメントし、tulshi が同 PR 内で対応。最終的に FragLegs (3/5 承認)・appsdesh・jischr の 3 名レビューを経て 3/5 マージ。Issue #228・#226・#223 を同時クローズ。

3 月の最も重い構造改善 PR であり、後続の PR #242(streamId charset)や PR #248(Error Table 整理)が依拠する土台となった。

5.4 openid/sharedsignals#242 — Restrictions on the streamId charset

  • author: appsdesh (Apoorva Deshpande, Okta)
  • 起票: 2025-03-18
  • マージ: 2025-03-28

Issue #229(thomasdarimont, 2025-01-27 起票)への対応。stream_id を RFC 3986 unreserved 文字(英数字 + - . _ ~)に制限し、Transmitter がすべての stream_id 値がこの制約に従うことを検証する責務を明記する PR。

3/18 コール(§3.3)で「規範的変更ではあるが実装の期待挙動と整合的」として v1Final 取り込みが承認された。tulshi (3/18 承認) と FragLegs (3/25 承認) のレビューを経て、3/28 にマージ。Issue #229 を同時クローズ。

stream_id は URL パスパラメータとして使われるため、未エンコード時にパス解釈の曖昧性が発生する潜在的リスクがあった。RFC 3986 unreserved への制約はこれを根絶する保守的な選択である。

5.5 openid/sharedsignals#239 — Revert "Issue-224: events_supported field added..."

  • author: tulshi (Atul Tulshibagwale, SGNL)
  • 起票: 2025-03-04(PR #225 マージの翌日)
  • 3 月末時点: open のまま継続(実マージは 4/15)

PR #225 のリバート PR。3/4 コール(§3.1)での「2/11 合意の再確認」を受けて即日起票された。FragLegs は「非破壊的な変更だった」とコメントしつつも、v1 範囲を意識的に絞り込む WG 方針には同意。v1Final ラベル付き。

3 月中はマージに至らず、4 月へ持ち越し。これは「v1 範囲を意識的に絞り込み、Final 化への道筋を最短化する」WG 運営方針が、PR レビュー段階で過去合意との整合チェックを含むようになる契機となった。

5.6 openid/sharedsignals#237 — IP Addresses as a format

  • author: appsdesh (Apoorva Deshpande, Okta)
  • マージ: 2025-03-04

Subject identifier の format に IP アドレスを追加する PR。Issue #201 対応で、PR #206 からの継続。命名について tulshi が「ips の方が好みだが ip-addresses も OK」とコメント、最終的に ip-addresses で決着した。iamseanodentity が「Ship it」と承認、3/4 マージ。v1Final ラベル付き。

5.7 openid/sharedsignals#238 — Stream ID, authorization header updates

  • author: appsdesh (Apoorva Deshpande, Okta)
  • 起票: 2025-03-01
  • クローズ: 2025-03-18

Issue #229 と #223 への対応を狙った PR だが、FragLegs から「Issue #223 は完全には解決しない。残りは PR #233 で対応すべき」と指摘され、最終的に PR #233(Section 10 リファクタ)と PR #242(streamId charset)に内容が分散・吸収されたため、3/18 に「Dup of #242」として appsdesh 自身がクローズ。重複 PR 整理の好例。

5.8 openid/sharedsignals#214 — Verification request should return a 400 response if the stream is not enabled

  • author: ysarig75 (Yair Sarig, Omnissa)
  • 元起票: 2024-10-09
  • 3 月の動き: 3/18 コール(§3.3)で v1Final ラベル除去の合意

無効ストリームに対する Verification 要求の応答コード仕様化を求める Issue。3 月時点では「ストリーム状態に応じた応答コード(disabled なら 400、paused も 400 等)を返すべき」という方向で議論されていたが、3/18 コールで方針転換。「Verification と Status エンドポイントは関心事として分離すべきであり、ストリーム状態に紐付けたエラーコードを返すのは適切でない」という結論に至り、Atul が v1Final ラベル除去を担当することがアクションアイテムとなった(後に Issue 自体は as not planned でクローズ)。

「ピンポイントで仕様化するより、Receiver が事前に Get Status を呼ぶ運用パターンで吸収する」という v1 範囲絞り込みの典型例。

6. 関連イベント

6.1 Gartner IAM Summit London 2025 (2025-03-24〜25, London)

3 月の SSF WG にとって最大のイベントは Gartner Identity and Access Management Summit の London 開催である。OpenID Foundation にとっては同サミットでの相互運用セッション開催 3 回目(過去 2 回は London と Texas)で、Atul Tulshibagwale (SGNL CTO, OpenID Foundation Corporate Board Member) が 3/24 11:45-12:15 GMT に "Building a Trust Fabric with the OpenID Shared Signals Framework" を発表した(出典: Shared Signal WG Returns to Gartner IAM for Interoperability 2025-01-28)。

CAEP / SSF 相互運用デモは事前告知の段階で 3 セッション × 5 スロット = 15 デモスロット が予定されていた(出典: 同 OIDF 2025-01-28 アナウンス)。事後のレポートでは、デモ参加企業として SGNL, Google, IBM, Okta, Omnissa, Relock, SailPoint, Thales, Beyond Identity の 9 社 が挙げられている(出典: openid.net: AuthZEN & Shared Signals in the Gartner IAM 2025 Spotlight 2025-04-02)。SGNL 側のレポートでは CAEP 相互運用デモには「11 ベンダーが参加」と記述があり、両者の集計には差異がある(出典: SGNL Director of Product Marketing Mat Hamlin の Gartner IAM London 2025: key takeaways from the ground 2025-03-31)。Mat Hamlin は同レポートで「150 名以上の参加者がデモを見学しに来た」と推計している。同期間に AuthZEN WG も別途 15 社規模のデモを実施しており、両セッションの 2 日間累計で 200 名超の参加者を集めた(出典: OIDF Spotlight 2025-04-02)。

デモ参加要件は事前公開された Program Rules: 2025 CAEP Interop at Gartner Summit London に明記されており、(1) Transmitter は configuration metadata discovery / stream operations / push delivery / trigger verification / event parsing の Conformance テスト合格、(2) SSF verification イベント + CAEP イベント(session revoked / credentials changed / device compliance change / risk level changed のいずれか 1 つ以上)のサポート、(3) 少なくとも 1 つの他社実装との相互運用テスト成功 が条件であった。

この相互運用デモの成立は、Conformance テストプログラム(Thomas Darimont が 3 月コールで継続整備中と報告)と仕様の v1Final 化作業を両輪で進める WG の戦略が結実した第一歩として位置付けられる。実装ベンダ側の準備が整いつつあることが対外的に可視化されたことで、5 月後半に計画される WG Last Call、6 月の Identiverse 2025、9 月の Final 化承認という工程に向けた市場期待が形成された。

6.2 同期間中の WG 運営への影響

Gartner IAM Summit London は SSF WG の議長層・主要実装者が現地参加する大型イベントであり、3/25 の定例コールがキャンセルされた。3/18 コール内で事前告知されており、4 月の IIW XL / RSA Conference 2025 によるコールキャンセル前例の参照点となった。

7. 今後の予定(2025 年 3 月末時点の視点)

3 月末時点(当時の視点)で予定されていた次月以降の動き:

  • 4 月の毎週定例コール継続: 4/1(共同議長可用性次第と告知)、4/8(IIW XL との重複懸念)、4/15、4/22、4/29(RSA Conference との重複懸念)の 5 回が予定
  • PR #239(events_supported リバート)のマージ: 4 月コールで再確認のうえマージ予定
  • Issue #221 (event_metadata 追加) の本格議論: 3 月末に PR #243・#244・#247 が起票され、4/1 コールで「Thunderdome」と評される深い議論が予定される段階
  • Conformance テスト整備の継続: Thomas Darimont が HTML アクセス整備とレートリミット制御の実装を継続
  • Gartner IAM Summit London デモ参加 9 社からのフィードバック整理: 相互運用デモで判明した実装上の不整合・仕様の曖昧箇所を Issue / PR にフィードバック
  • 複数バージョン仕様サポート (Issue #241) の v1 後送り: WG 合意済みのため v2 / vFuture の議論として継続観測

3 月の地道な範囲絞り込み作業と相互運用デモの成功が、4 月の「v1Final へ向けた仕上げ作業」と 5 月の WG Last Call 発出への前提を整える格好となった。

8. 参考情報源

議事録

メーリングリスト

GitHub

公式・関連情報