Events identity OpenID

OpenID Workshop 速報

Nat 2025/04/08 No Comments

本日日本時間午前4時半〜8時、カリフォリニアのGoogleキャンパスでOpenID財団ワークショップが行われました。近々ビデオとスライドも公開される予定ですが、まずは速報です。

Table of Contents

Gail Hodges(OpenID財団エグゼクティブディレクター)による概況報告

Gail Hodges氏は、過去6ヶ月間のOpenID財団の主な成果を紹介しました:

仕様の進捗:

  • FAPI 2セキュリティプロファイルとアタッカープロファイルが最終版に
  • FAPI 1がISOに公開仕様として提出
  • FAPI 2適合性テストがDPoPをサポート
  • DCP(Digital Credentials Protocol)ワーキンググループの進展:OpenID for Verifiable Presentationsが第3実装者ドラフト、OpenID for VCIが実装者ドラフト2、HAIPプロファイルが実装者ドラフト1に
  • eKYC(Electronic Know Your Customer)とIDA(Identity Assurance)ではOpenID Connect Authority仕様が1.0に、AuthSenが2024年11月に1.0に昇格

イベントとコラボレーション:

  • 4つの異なるワーキンググループが相互運用性テストを実施
  • Shared Signals:テキサスとロンドンでの相互運用イベント
  • DCPワーキンググループ:カリフォルニアでのハッカソン、フィリピンでのMOSIPイベント
  • NISTとのコラボレーション:NCCoEプログラムでの小規模相互運用テスト
  • AuthSen:Gartnerでの初相互運用イベント(盛況)
  • Federation:スウェーデンでのSUnet主催イベント(4月24日週予定)

ガバナンスと運営の進展:

  • プロセス文書とIPR合意の最終化(約7年ぶりの更新)
  • Mark Haine氏による仕様チェックの自動化ツールの開発

思想的リーダーシップ:

  • オーストラリアデジタル信頼コミュニティグループの設立
  • SIDI Hub:Elizabeth Garber氏による9つのレポート公開
  • 政府へのフィードバック:ニューヨーク連邦準備銀行へのブリーフィング、NIST指令とNIST属性サービスへのフィードバック
  • Aspen Instituteの詐欺タスクフォースへの参加
  • きめ細かい許可と豊富な許可リクエストの使用に関する具体的な推奨事項を含むブログ記事(Dima氏による)

メディアでの露出:

  • 財団の活動とイベントの宣伝
  • co-chairとeditorによるブログやポッドキャストでの活発な活動
  • Oktaによるアイデンティティ分野のリーダーの認識:財団のメンバーやパートナーが認められた25人のうち半分以上を占める

eKYC (Electronic Know Your Customer) およびIDA (Identity Assurance) WGアップデート

Hodari氏によるプレゼンテーション:

  • OpenID Connect Authority 1.0の実装が世界中(特にオーストラリアと英国)に広がっている
  • 仕様がISO(国際標準化機構)に公開仕様として提出され、12週間の投票期間がもうすぐ終了
  • Identity Assurance向けの新しいワーキンググループコールが東京時間5:30にスタート
  • 適合性テストスイートがベータを卒業
  • 次フェーズの作業には年齢保証(age assurance)、権限(authority)ユースケースを含む予定
  • Q2 2025には添付ファイル(attachments)が最終版に、Authority仕様が実装者ドラフト2になる見込み

DADE (Death and Digital Estate) コミュニティグループ

Dean Sachs氏によるプレゼンテーション:

  • 2024年9月に設立されたグループで、個人がデジタル遺産を管理する方法の理解を深めることが目的
  • デジタル遺産には、オンラインでの文章、画像、写真、音声ビデオ、コードなどのデジタルデータが含まれる
  • 一時的・永続的な障害や死亡時のユースケースを開発中
  • レガシーコンタクトやサービスのメカニズムに関するデータを収集(プラットフォームごとに非常に一貫性がない)
  • 死をテーマにした議論は文化や言語によって扱いが難しい場合がある
  • Identiverse 2025でDADEパネルを予定
  • 「デジタル遺産管理の現状」と題したホワイトペーパーを企画中で、計画ガイドも含める予定
  • サイバーセキュリティ啓発月間に向けてリリース予定
  • 北米/EMEA向けとAPAC/北米向けの定期的なワーキンググループコールを開催

Q&A:

  • グローバルか特定の地域かという質問に対して:理想的にはグローバルだが、地域レベルでの作業が必要。オーストラリアでグループが立ち上がりつつある
  • MOSIPとの協力についての質問:インドやアフリカなど、MOSIPが活発な地域での知見を活用したい
  • 故人の代わりにサービスにアクセスすることは、時に便利なアンチパターンになる可能性があるという指摘

AI認証に関するパネルディスカッション

モデレーター:Tobin(MITとスタンフォード間の研究者) パネリスト:Aaron Parecki(理事)、George Fletcher(理事)、Dima Postnikov(副理事長)

Tobinによる導入:

  • AIコミュニティでは現在、チャットボットがAPIに接続して行動を起こせることを発見し、認証なしでこれを行おうとしている状況
  • スタートアップやAI企業はより堅牢な認証と許可が必要だと認識しつつあるが、ゼロから構築しようとしている
  • OpenID財団はAIコミュニティが車輪の再発明をしないよう、明確な立場を示す好位置にある

Aaron Pareckiによる最近のブログ記事の要約:

  • Model Context Protocol(MCP)というプロトコルがAIツールへのアクセスを標準化しようとしているが、認証の側面に問題がある
  • 既存のOAuthの考え方を応用することで、ほとんどの問題は解決できる
  • AIの世界では全く新しいものを作ろうとする傾向があるが、既存のAPI利用パターンや認可パターンの多くは一対一で適用可能

Tobinによる補足:

  • スタンフォードでのワークショップではエージェントの認証委任に関する意見の相違があった
  • OpenAIはコンシューマーは「ロボットにタスクを実行させる」だけでよいと主張
  • 一方で、AIが取れる行動を厳しく制限したい人々もいる
  • 人間の介入の役割とOpenIDスタイルのツールがどう役立つかを考慮する必要がある

George Fletcherによる意見:

  • 責任の所在が重要な問題
  • ユーザー同意を増やすと責任はユーザーに移るが、ユーザー体験は低下する
  • エージェントへの委任の程度(例:クレジットカード情報の利用範囲)に関する複雑な許可の質問がある

パネルディスカッション:

  • 委任された権限、意図の表現、スコープの限界に関する議論
  • AIのユースケースと通常のユースケースの違い:予期せぬ行動、意図の表現、学習するエージェント
  • 既存のインフラをベースにすることの重要性
  • 既存のOAuthの仕組みを拡張する可能性

最後に:

  • OpenID財団はAIコミュニティに対して声を上げる場を提供する必要がある
  • ホワイトペーパーの作成を計画中
  • オープンバンキングやデジタルIDクレデンシャルなど、既に解決策がある分野の知見を活用すべき

OpenID Connectワーキンググループアップデート

Mike Jones氏によるプレゼンテーション:

主な進展:

  • OpenID Federationのセキュリティ分析が完了し、重要なセキュリティホールが発見された
  • 認証チームがOpenID Federation向けの認証テストを開発中
  • Federation向けの相互運用イベントがスウェーデンのSUNetで4月末に開催予定

新たに採用された仕様:

  • OpenID Federation Wallet Architecturesドラフト
  • OpenID Connect RP Metadata Choices仕様
  • OpenID Provider Commands仕様(Dick Hardyによって後述)

セキュリティ分析とその対応:

  • シュトゥットガルト大学によるFederationセキュリティ分析で、認可サーバーに送信されるaudience値に関するバグまたは曖昧さが発見された
  • 脆弱性を持つ展開に対して非公開で数ヶ月間議論し修正された
  • OpenID Federation、OpenID Connect Core(エラータドラフト)、FAPI 2、FAPI 1(エラータドラフト)、CIBA Core(エラータドラフト)などに修正が実施された
  • OAuthの仕様にも対応するために7523bisという名のドラフトが採用された

進行中の作業:

  • Federation相互運用イベントの計画(約25参加者、約12実装)
  • RP Metadata Choicesの実装者ドラフトへのレビュー検討
  • 休眠中の3つの仕様(OpenID Connect Claims Aggregation、User Info Verifiable Credentials、Self-issued OpenID Provider V.2)の状況評価

EAP(Enhanced Authentication Profile)ワーキンググループ:

  • OpenID Connect EAP ACR Values仕様の更新
  • フィッシング耐性認証とフィッシング耐性ハードウェア対応認証のACR値を公式レジストリに登録
  • ワーキンググループの最終コールが翌日終了予定

OpenID Provider Commands

Dick Hardt氏によるプレゼンテーション:

  • OPがRPに対してコマンドを送信するシンプルな概念
  • コマンドはOPによって署名されたJWTトークンであり、RPはIDトークンと同様に署名を検証できる
  • アカウントライフサイクルのすべての段階(ISOで定義)をサポート:アカウントの有効化、維持、停止、アーカイブ、再有効化、復元、削除
  • テナントレベルのコマンドもサポート(メタデータコマンド、監査テナント、一時停止テナント、アーカイブテナント、削除テナント)
  • Server-Sent Eventsを使用して長いレスポンスの課題に対処
  • SCIM(System for Cross-domain Identity Management)と比較して導入の障壁を下げることを目指す

Q&A:

  • 現在の課題:コマンドURIの名前をcommand endpointに変更する提案など、いくつかの小さな変更
  • エラーイベントの追加など、実装からのフィードバックによる改善点

AuthZen(Authorization)ワーキンググループアップデート

Omri Gazitt氏(リモート参加)によるプレゼンテーション:

  • 2023年後半に設立されたワーキンググループで、ポリシー実施ポイントと決定ポイント間の通信標準化を目的とする
  • 2024年11月に初めてのコアAPIドラフト(評価API)を公開、2025年1月に評価バッチAPI、3月に検索API用のドラフトを公開
  • Gartner IAM 2024ロンドンでの相互運用イベントで、APIゲートウェイプロファイルの策定を開始

相互運用テスト:

  • APIゲートウェイ(中粒度認可)とアプリケーション(細粒度認可)という2つのポリシー実施ポイントをテスト
  • 2024年12月から2025年3月にかけて参加ベンダーが大幅に増加
  • PDPベンダー(Authzen実装)が17社に増加
  • APIゲートウェイベンダー7社が新たに参加(Amazon API Gateway、Broadcom’s L7 Gateway、Envoy、Kongなど)

今後のロードマップ:

  • 評価APIと評価バッチAPIは安定し、変更の予定なし
  • 検索API、部分評価、ディスカバリーを含む第2実装者ドラフトへ進む予定
  • 2025年夏または秋にAuthzen 1.0最終版を目指す
  • 2025年の取り組み:APIゲートウェイプロファイルの正式化、ステートフルPDPのイベント配信(Shared Signalsの活用)、IDPプロファイルの検討
  • 商用実装:TopazがネイティブAuthzenエンドポイントをサポート、ZuploがネイティブAuthzenサポート、AmazonのCedarが2025年後半にAuthzenサポート予定

IPSIE(Interoperability Profiles for Secure Identity in the Enterprise)

Dean Sachs氏とAaron Parecki氏によるプレゼンテーション:

  • 企業IDにおける相互運用性とセキュリティの課題に対処するためのワーキンググループ
  • 2024年10月に設立、多くの標準と各標準の多くのオプションがあるという課題
  • 既存の標準を用いたプロファイルを定義し、オプション性と曖昧さを減らすことが目的
  • 企業の成熟度に応じたレベル別のアプローチ:セッションライフサイクルトラック(SL)とIDライフサイクルトラック(IL)、各3レベル
  • 初期ドラフトとしてOpenID Connectプロファイルが提案され、採用のための公開コールを実施中
  • SAMLを適用してSL1の目標を達成する方法を説明する別のドラフトも貢献されている
  • ID(プロビジョニング)ライフサイクルに関するドラフトも作業開始
  • 2025年12月のGartner IAMでSL1の相互運用イベントを目指す

Q&A:

  • アプリケーションとIDサービスの列について:IDサービスはエンタープライズが運営するIDを管理するすべてのもの(IDP、脅威監視サービスなど)を指す

Shared Signals Framework

Atul氏によるプレゼンテーション:

概要:

  • 協力するパーティ間で情報を非同期かつ確実に提供するフレームワーク
  • どのような情報を誰について交換するかの交渉の枠組みを提供
  • ストリームの開始、停止、一時停止、再開のコントロールを提供
  • Risk(アカウントセキュリティ)とCAPE(セッション管理)のアプリケーションプロファイルがある
  • SCIM Eventsはアカウント管理変更を伝えるドラフト

アーキテクチャ:

  • 受信者が通信を開始し、送信者に対してどのイベントについて聴取したいかを伝える
  • 実際のイベントは非同期輸送を通じてJWTとして送信される
  • Security Event Tokens(SET)という特定の構造のJWTを使用

仕様の進捗:

  • いくつかの課題が解決された後、3つの仕様(共有シグナルフレームワークコア、ケープ、リスク)が最終版に進む予定
  • 実装フィードバックに基づく問題と仕様の整理に関する問題に対応中

相互運用テスト:

  • 2024年12月のGartner IAM(テキサス)で多数のベンダーが参加するテストを実施
  • 2025年3月のロンドンでは送信者が適合テストに合格することを条件に参加
  • 相互運用性テストのレベルを徐々に引き上げ、3回目のイベントではさらに厳格に

採用状況:

  • Apple、Okta、Signal、Jamfなどが実際の製品でSSFをサポート
  • ベータや実装計画の発表も増加
  • 金融サービス向けのホワイトペーパーを準備中
  • Aspen Instituteとの取り組み:詐欺対策における共有シグナルの可能性に関して

Modrna(Mobile Operator Discovery, Registration & autheNticAtion)

Bjorn Hjelm氏によるプレゼンテーション:

ワーキンググループの最新状況:

  • CIBA Core仕様が最終版に到達済み
  • Discovery ProfileとModrna CIBA Profileのワーキンググループ最終コールを完了予定
  • CIBA Coreのエラータ作業中
  • GSMAコミュニティ(モバイルネットワークオペレーターの業界団体)、ETSI、CAMARAプロジェクト(Linux Foundation)へのアウトリーチ
    • CAMARA: Identity and Consent Management SP, KnwoYourCustomer SP
  • GSMAとのリエゾン合意に向けた取り組み

計画:

  • Q3に第2版のエラータ、年末にGSMAとの合意を目指す

ITU(国際電気通信連合)提出について

Bjorn Hjelm氏による続き:

  • ITUは国連の一部であり、ISOと同様の正式標準化団体
  • 一部の政府は正式な標準化団体(ISOまたはITU)の仕様を要求
  • OpenID仕様をITUに採用してもらうことで、より多くの地域で実装を可能にする取り組み
  • ISOではリファレンスによる採用(仕様をそのままISOのカバーシートで発行)だったが、ITUでは実装による採用(仕様をITU形式に再フォーマット)が必要
  • OpenID Connect Core仕様をITU形式に変換し、レビューのために提出
  • 次週の会議でフィードバックを得る予定
  • 一度にすべての仕様ではなく、まず1つの仕様でプロセスをテスト

SIDI Hub

Elizabeth Garber氏によるプレゼンテーション:

概要と原則:

  • デジタルIDのグローバル相互運用性達成のための要件について協力するグローバルマルチステークホルダーコミュニティ
  • 25か国以上が参加、OECDや世界銀行などの政府間組織とも連携
  • 5大陸で5つのサミットを開催:パリ、ケープタウン、ベルリン、ワシントンDC、東京(最新)
  • 次回イベントは2025年5月のアディスアベバ(IDフォーアフリカ)
  • 人間中心主義、国内主権、多国間連携、実際のユースケースを基礎とし、技術と政策の両方に焦点

2024年の成果:

  • 9つのレポートを公開:各イベント後のレポート、3つのチャンピオンユースケース(難民、教育/教育資格、銀行口座開設)
  • グローバル資格エコシステムガバナンスに関するレポート
  • 年次レポートでは短期・中期・長期の目標を設定

現在の活動:

  • 「デジタルコモンズ」構築:政策、技術、その他のツールのオープンスイート
  • 技術ワークストリーム:信頼管理に注目し、OpenID Federation、LUCI’s工作、Trainなどの既存モデルを分析
  • 信頼フレームワークワークストリーム:Open Identity Exchangeの分析を拡大し、国境を越えたエコシステムとの橋渡しを目指す
  • 金融活動作業部会(FATF)などのコンテキストでの信頼フレームワーク検討
  • 欧州の証明ルールブックへのアプローチ

FAPIアップデート

Joseph Heenan氏によるプレゼンテーション:

主な進展:

  • FAPI 2セキュリティプロファイルとアタッカーモデルが最終仕様として公開
  • 適合性テスト開発中、2025年4月中にベータリリース予定
  • エコシステムの拡大:BIS(国際決済銀行)プロジェクト、英国のSelectID、チリとコロンビアでのグラント管理仕様採用検討
  • オーストラリア政府との継続的な連携
  • FDXがFAPI 2に移行中

FAPI 2実装者ドラフトから最終版への主な変更:

  • プライベートキーJWTクライアント認証のaudience値に関する変更(セキュリティ脆弱性対応)
  • 実装移行は比較的容易と予想

今後の取り組み:

  • FAPI 2メッセージ署名仕様を最終版に進める作業
  • 実装と展開のアドバイス文書への注力
  • 金融サービスに関心のある地域(チリ、ブラジルなど)向けの共有シグナルホワイトペーパー計画

DCP(Digital Credentials Protocol)アップデート

Joseph Heenan氏による続き:

最近の実装者ドラフトのリリース:

  1. OpenID for Verifiable Presentations(VP)第3実装者ドラフト:
    • デジタル資格照会言語(DQCL、「duckle」と発音)の追加
    • トランザクションデータの追加(ユーザーが確認したデータの埋め込み)
    • SD-JWTプロファイルとX.509認証方法の追加
    • プレゼンテーション交換でのクライアントIDの受け渡し方法の変更(セキュリティ問題解決)
    • ブラウザデジタル資格APIの付録追加
  2. OpenID for Verifiable Credential Issuance(VCI)第2実装者ドラフト:
    • Nonceエンドポイントの実装(複数のユーザー操作の問題を解決)
    • 同じ資格の一括発行によるUnlinkabilityの向上
    • Batch Endpointの削除(複雑さを軽減)
  3. High Assurance Interoperability(HAIP)第1実装者ドラフト:
    • ブラウザでのデジタル資格API上のMDOC表示プロファイルを含む
    • ISO/IEC 18013-7との連携
    • DQCLの使用を義務付け

現在の取り組み:

  • OpenID for VPからプレゼンテーション交換を完全に削除し、DQCLに一本化
  • 信頼できる機関(Trusted Authorities)のサポート
  • Multi-RP認証の課題への対応

適合性テスト:

  • Verifiable Credential Issuance向けのアルファテスト開発(SD-JWTに焦点)
  • Verifiable Presentations向けのウォレットテストのアップデート(実装者ドラフト3対応)
  • Verifiable Presentations向けの検証者テストの追加

連携:

  • 欧州委員会と緊密に連携し、EU実装法の次回改訂時にOpenID仕様が明示的に参照されることを目指す

NIST NCCoE(National Cybersecurity Center of Excellence)相互運用性テスト

Juliana(Microsoft)氏によるプレゼンテーション:

イベントの背景:

  • NISTのNational Cybersecurity Center of Excellenceプロジェクトの一環
  • モバイル運転免許証/デジタルIDに関する取り組み
  • 銀行口座開設と高保証レベルでの定期的なアクセスのユースケース

テスト概要:

  • 複数のウォレット、複数のブラウザ、複数のOS、単一の検証者(Mattr)でテスト
  • ISO mDLのAnnex Cプロファイルと4つの異なるOpenID for VP構成をテスト
  • リモートでの相互運用テストを可能にするアーキテクチャを構築

結果:

  • 2025年4月4日のテストでは、約87%の成功率
  • mdocでは80ペアのテスト中、unsigned 1件、signed 8件が失敗
  • SD-JWTでは27ペアが合格、1ペアが失敗
  • 週末に既知のギャップの一部が解消された報告あり
  • プロトコル自体に関する重大なフィードバックはなし

今後の予定:

  • 4月25日と5月5日に追加テストを実施
  • 5月5日午前中にSDO(標準化団体)と政府関係者向けの詳細デモ、午後に公開ウェビナー

適合性・認証プログラムアップデート

Joseph Heenan氏による最後のプレゼンテーション:

複数の仕様に対するテスト開発:

  • FAPI:DPOPサポートの提供、FAPI 2最終テストをまもなくベータリリース
  • Federation:ベータテストあり、相互運用イベントに向けて自動登録フロー対応テストを開発中
  • eKYC:テストのアップグレード中、認証プログラムの詳細を検討中
  • Shared Signals:送信者のテストを実施、受信者のテストも開始
  • Verifiable Credentials:VP向けテストは相互運用テストで使用、VCI向けテストはまもなく

欧州委員会との連携:

  • テストの潜在的な活用方法について継続的な会話

クロージング

参加者全員で記念撮影を行い、ワークショップは終了しました。理事会メンバーはさらに2時間の会議が控えていることが案内されました。

Pin

コメントを残す

This site uses Akismet to reduce spam. Learn how your comment data is processed.