OpenID Federation 1.0 - draft 46

Workgroup：OpenID Connect Working Group\ Published：2025年12月4日\ Authors：

• R. Hedberg（Ed.） / independent
• M.B. Jones / Self-Issued Consulting
• A.Å. Solberg / Sikt
• J. Bradley / Yubico
• G. De Marco / independent
• V. Dzhuvinov / Connect2id

Abstract

フェデレーションは、互いを信頼する当事者間の合意として表現できる。二者間フェデレーションでは、同一フェデレーションに属する2つの組織の間で直接の信頼を確立できる。多者間フェデレーションでは、二者間の合意は実務上適さないことがあり、その場合、第三者によって信頼を媒介できる。本仕様はこのモデルを用いる。

フェデレーション内のEntityは、やり取りする他のEntityが同一フェデレーションに属していることを信頼できなければならない。また、他のEntityが自らについて公開する情報が、伝送中に改ざんされておらず、フェデレーションのポリシーに準拠していることも信頼できなければならない。

本仕様は、多者間フェデレーションを構築するための基本コンポーネントを定義する。また、OpenID Connect および OAuth 2.0 の文脈でそれらを適用する方法も定義する。これらのコンポーネントは、信頼確立を目的として他のアプリケーションプロトコルでも利用できる。

Table of Contents

• OpenID Federation 1.0 - draft 46
  • Abstract
  • Table of Contents
  • 1. Introduction
    • 1.1. Requirements Notation and Conventions
    • 1.2. Terminology
  • 2. Overall Architecture
    • 2.1. Cryptographic Trust Mechanism
  • 3. Entity Statement
    • 3.1. Claims that MUST or MAY Appear in both Entity Configurations and Subordinate Statements
    • 3.2. Claims that MUST or MAY Appear in Entity Configurations but Not in Subordinate Statements
    • 3.3. Claims that MUST or MAY Appear in Subordinate Statements but Not in Entity Configurations
    • 3.4. Claims Used in Explicit Registration Requests
    • 3.5. Claims Used in Explicit Registration Responses
    • 3.6. Entity Statement Validation
    • 3.7. Entity Statement Examples
  • 4. Trust Chain
    • 4.1. Beginning and Ending Trust Chains
    • 4.2. Trust Chain Example
    • 4.3. Trust Chain Header Parameter
    • 4.4. Peer Trust Chain Header Parameter
  • 5. Metadata
    • 5.1. Entity Type Identifiers
      • 5.1.1. Federation Entity
      • 5.1.2. OpenID Connect Relying Party
      • 5.1.3. OpenID Connect OpenID Provider
      • 5.1.4. OAuth Authorization Server
      • 5.1.5. OAuth Client
      • 5.1.6. OAuth Protected Resource
    • 5.2. Common Metadata Parameters
      • 5.2.1. Extensions for JWK Sets in Entity Metadata
        • 5.2.1.1. Usage of jwks, jwks_uri, and signed_jwks_uri in Entity Metadata
      • 5.2.2. Informational Metadata Extensions
  • 6. Federation Policy
    • 6.1. Metadata Policy
      • 6.1.1. Principles
      • 6.1.2. Structure
      • 6.1.3. Operators
        • 6.1.3.1. Standard Operators
          • 6.1.3.1.1. value
          • 6.1.3.1.2. add
          • 6.1.3.1.3. default
          • 6.1.3.1.4. one_of
          • 6.1.3.1.5. subset_of
          • 6.1.3.1.6. superset_of
          • 6.1.3.1.7. essential
          • 6.1.3.1.8. Notes on Operators
        • 6.1.3.2. Additional Operators
      • 6.1.4. Enforcement
        • 6.1.4.1. Resolution
        • 6.1.4.2. Application
      • 6.1.5. Metadata Policy Example
    • 6.2. Constraints
      • 6.2.1. Max Path Length
      • 6.2.2. Naming Constraints
      • 6.2.3. Entity Type Constraints
  • 7. Trust Marks
    • 7.1. Trust Mark Claims
    • 7.2. Trust Mark Delegation
      • 7.2.1. Trust Mark Delegation JWT
      • 7.2.2. Validating a Trust Mark Delegation
    • 7.3. Validating a Trust Mark
    • 7.4. Trust Mark Examples
  • 7.5. Trust Mark Delegation Example
  • 8. Federation Endpoints
  • 8.1. Fetching a Subordinate Statement
    • 8.1.1. Fetch Subordinate Statement Request
    • 8.1.2. Fetch Subordinate Statement Response
  • 8.2. Subordinate Listings
    • 8.2.1. Subordinate Listing Request
    • 8.2.2. Subordinate Listing Response
  • 8.3. Resolve Entity
    • 8.3.1. Resolve Request
    • 8.3.2. Resolve Response
    • 8.3.3. Trust Considerations
  • 8.4. Trust Mark Status
    • 8.4.1. Trust Mark Status Request
    • 8.4.2. Trust Mark Status Response
  • 8.5. Trust Marked Entities Listing
    • 8.5.1. Trust Marked Entities Listing Request
    • 8.5.2. Trust Marked Entities Listing Response
  • 8.6. Trust Mark Endpoint
    • 8.6.1. Trust Mark Request
    • 8.6.2. Trust Mark Response
  • 8.7. Federation Historical Keys Endpoint
    • 8.7.1. Federation Historical Keys Request
    • 8.7.2. Federation Historical Keys Response
    • 8.7.3. Federation Historical Keys Revocation Reasons
    • 8.7.4. Rationale for the Federation Historical Keys Endpoint
  • 8.8. Client Authentication at Federation Endpoints
    • 8.8.1. Client Authentication Metadata for Federation Endpoints
    • 8.9. Error Responses
  • 9. Obtaining Federation Entity Configuration Information
    • 9.1. Federation Entity Configuration Request
    • 9.2. Federation Entity Configuration Response
  • 10. Resolving the Trust Chain and Metadata
    • 10.1. Fetching Entity Statements to Establish a Trust Chain
    • 10.2. Validating a Trust Chain
    • 10.3. Choosing One of the Valid Trust Chains
    • 10.4. Calculating the Expiration Time of a Trust Chain
    • 10.5. Transient Trust Chain Validation Errors
    • 10.6. Resolving the Trust Chain and Metadata with a Resolver
  • 11. Updating Metadata, Key Rollover, and Revocation
    • 11.1. Protocol Key Rollover
    • 11.2. Key Rollover for a Trust Anchor
    • 11.3. Redundant Retrieval of Trust Anchor Keys
    • 11.4. Revocation
  • 12. OpenID Connect Client Registration
    • 12.1. Automatic Registration
      • 12.1.1. Authentication Request
        • 12.1.1.1. Using a Request Object
  • 8.9. Error Responses
  • 9. Obtaining Federation Entity Configuration Information
    • 9.1. Federation Entity Configuration Request
    • 9.2. Federation Entity Configuration Response
  • 10. Resolving the Trust Chain and Metadata
    • 10.1. Fetching Entity Statements to Establish a Trust Chain
    • 10.2. Validating a Trust Chain
    • 10.3. Choosing One of the Valid Trust Chains
    • 10.4. Calculating the Expiration Time of a Trust Chain
    • 10.5. Transient Trust Chain Validation Errors
    • 10.6. Resolving the Trust Chain and Metadata with a Resolver
  • 11. Updating Metadata, Key Rollover, and Revocation
    • 11.1. Protocol Key Rollover
    • 11.2. Key Rollover for a Trust Anchor
    • 11.3. Redundant Retrieval of Trust Anchor Keys
    • 11.4. Revocation
  • 12. OpenID Connect Client Registration
    • 12.1. Automatic Registration
      • 12.1.1. Authentication Request
        • 12.1.1.1. Using a Request Object
          • 12.1.1.1.1. Authorization Request with a Trust Chain
          • 12.1.1.1.2. Processing the Authentication Request
        • 12.1.1.2. Using Pushed Authorization
        • 12.1.1.2.1. Processing the Pushed Authentication Request
    • 12.1.2. Successful Authentication Response
    • 12.1.3. Authentication Error Response
    • 12.1.4. Automatic Registration and Client Authentication
    • 12.1.5. Possible Other Uses of Automatic Registration
  • 12.2. Explicit Registration
    • 12.2.1. Explicit Client Registration Request
    • 12.2.2. Processing Explicit Client Registration Request by OP
    • 12.2.3. Successful Explicit Client Registration Response
    • 12.2.4. Explicit Client Registration Error Response
    • 12.2.5. Processing Explicit Client Registration Response by RP
    • 12.2.6. After an Explicit Client Registration
    • 12.3. Registration Validity and Trust Reevaluation
    • 12.4. Differences between Automatic Registration and Explicit Registration
    • 12.5. Rationale for the Trust Chain in the Request
  • 13. General-Purpose JWT Claims
    • 13.1. "jwks" (JSON Web Key Set) Claim
    • 13.2. "metadata" Claim
    • 13.3. "constraints" Claim
    • 13.4. "crit" (Critical) Claim
    • 13.5. "ref" (Reference) Claim
    • 13.6. "delegation" Claim
    • 13.7. "logo_uri" (Logo URI) Claim
  • 14. Claims Languages and Scripts
  • 15. Media Types
    • 15.1. "application/entity-statement+jwt" Media Type
    • 15.2. "application/trust-mark+jwt" Media Type
    • 15.3. "application/resolve-response+jwt" Media Type
    • 15.4. "application/trust-chain+json" Media Type
    • 15.5. "application/trust-mark-delegation+jwt" Media Type
    • 15.6. "application/jwk-set+jwt" Media Type
    • 15.7. "application/explicit-registration-response+jwt" Media Type
    • 15.8. "application/trust-mark-status-response+jwt" Media Type
  • 16. String Operations
  • 17. Implementation Considerations
    • 17.1. Federation Topologies
    • 17.2. Federation Discovery and Trust Chain Resolution Patterns
      • 17.2.1. Bottom-Up Trust Chain Resolution
      • 17.2.2. Top-Down Discovery
      • 17.2.3. Single Point of Trust Resolution
    • 17.3. Trust Anchors and Resolvers Go Together
    • 17.4. One Entity, One Service
    • 17.5. Trust Mark Policies
  • 18. Security Considerations
    • 18.1. Denial-of-Service Attack Prevention
    • 18.2. Unsigned Error Messages
  • 19. Privacy Considerations
  • 20. IANA Considerations
    • 20.1. OAuth Dynamic Client Registration Metadata Registration
    • 20.2. OAuth Authorization Server Metadata Registration
    • 20.3. OAuth Protected Resource Metadata Registration
    • 20.4. OAuth Parameters Registration
  • 20.5. OAuth Extensions Error Registration
  • 20.6. JSON Web Signature and Encryption Header Parameters Registration
  • 20.7. JSON Web Key Parameters Registration
  • 20.8. JSON Web Token Claims Registration
  • 20.9. Well-Known URI Registration
  • 20.10. Media Type Registration
  • 21. References
    • 21.1. Normative References
    • 21.2. Informative References
      • A.2.2. Entity Configuration for https://umu.se
      • A.2.3. Subordinate Statement Published by https://umu.se about https://op.umu.se
      • A.2.4. Entity Configuration for https://swamid.se
      • A.2.5. Subordinate Statement Published by https://swamid.se about https://umu.se
      • A.2.6. Entity Configuration for https://edugain.geant.org
      • A.2.7. Subordinate Statement Published by https://edugain.geant.org about https://swamid.se
      • A.2.8. Verified Metadata for https://op.umu.se
      • A.3. Examples of the Two Ways of Doing Client Registration
      • A.3.1. RP Sends Authentication Request (Automatic Client Registration)
        • A.3.1.1. OP Fetches Entity Statements
        • A.3.1.2. OP Evaluates the RP Metadata
• A.3.2. RP Starts with Client Registration (Explicit Client Registration)
  • Appendix B. Notices
  • Appendix C. Document History

1. Introduction

本仕様は、相互にやり取りしたい2つのEntityが、Trust Anchor と呼ばれる信頼された第三者を介して、どのようにして両者の間で信頼を確立できるかを記述する。Trust Anchor は、Entityについてのステートメントを発行することを主目的とするEntityである。アイデンティティ・フェデレーションは、本仕様を用いて、1段以上の権威レベルにより実現できる。権威の例として、フェデレーション運用者、組織、組織内の部門、個別サイトがある。本仕様は、フェデレーションのような動的かつ分散した信頼ネットワークを作るために必要となる、基本的な技術的信頼インフラの構成要素を提供する。

本仕様が扱うのは、フェデレーション内のEntity同士が互いをどのように知るか、という点に限られる点に注意すること。1つの組織は、フェデレーション内で複数のEntityとして表現されてもよい。さらに、1つのEntityは複数のフェデレーションに属してもよい。2つのEntityが同一フェデレーションに属することを判定することが、本仕様における両者の間の信頼確立の基礎となる。

もちろん、「trust」という語は日常用語として、エンティティとその行為のセキュリティ、信頼性、完全性に対する確信を含む意味でも用いられる。この種のtrustは、過去の実績、セキュリティ認証、透明性の高い運用慣行などの経験的証拠によって確立されることが多く、これらはセキュリティ標準への準拠や倫理的な行動を継続してきた実績を示す。明確にしておくと、このより広い意味でのtrustは重要ではあるが、本仕様が達成する範囲を大きく超える。

以下は、2つの異なるTrust Anchorを根として、一部のメンバーを共有する2つのフェデレーションの例である。各Entityは、共通のTrust Anchorを少なくとも1つ持つことによって、他の任意のEntityと相互の信頼を確立できる。図では次の略語を用いる：OpenID Provider (OP)、Relying Party (RP)、Resource Server (RS)、Authorization Server (AS)。

.-----------------.            .-----------------.
|  Trust Anchor A |            |  Trust Anchor B |
'------.--.-------'            '----.--.--.------'
       |  |                         |  |  |
    .--'  '---. .-------------------'  |  |
    |         | |                      |  |
.---v.  .-----v-v------.   .-----------'  |
| OP |  | Intermediate |   |              |
'----'  '--.--.--.-----'   |    .---------v----.
           |  |  |         |    | Intermediate |
   .-------'  |  '------.  |    '---.--.--.----'
   |          |         |  |        |  |  |
.--v-.      .-v--.     .v--v.   .---'  |  '----.
| RP |      | RS |     | OP |   |      |       |
'----'      '----'     '----'   |   .--v-.   .-v--.
                                |   | RP |   | RP |
                                |   '----'   '----'
                                |
                        .-------v------.
                        | Intermediate |
                        '----.--.--.---'
                             |  |  |
                       .-----'  |  '----.
                       |        |       |
                    .--v-.   .--v-.   .-v--.
                    | OP |   | RP |   | AS |
                    '----'   '----'   '----'

Figure 1: Two Coexisting Federations with Some Members in Common

1.1. Requirements Notation and Conventions

本書における「MUST」「MUST NOT」「REQUIRED」「SHALL」「SHALL NOT」「SHOULD」「SHOULD NOT」「RECOMMENDED」「NOT RECOMMENDED」「MAY」「OPTIONAL」というキーワードは、ここに示すようにすべて大文字で表記されている場合に限り、BCP 14 [RFC2119] [RFC8174] に記載のとおりに解釈される。

本仕様における JSON Web Signature (JWS) [RFC7515] および JSON Web Encryption (JWE) [RFC7516] のデータ構造の利用はすべて、JWS Compact Serialization または JWE Compact Serialization を用いる；JWS JSON Serialization および JWE JSON Serialization は使用しない。

1.2. Terminology

本仕様は、JSON Web Token (JWT) [RFC7519] で定義される「Claim」「Claim Name」「Claim Value」「JSON Web Token (JWT)」「JWT Claims Set」という用語、OpenID Connect Core 1.0 [OpenID.Core] で定義される「OpenID Provider (OP)」「Relying Party (RP)」という用語、そして OAuth 2.0 [RFC6749] で定義される「Authorization Endpoint」「Authorization Server (AS)」「Client」「Client Authentication」「Client Identifier」「Client Secret」「Grant Type」「Protected Resource」「Redirection URI」「Refresh Token」「Resource Server (RS)」「Token Endpoint」という用語を使用する。

本仕様はさらに、次の用語を定義する：

• Entity：個別かつ独立した存在を持ち、ある文脈において識別できるもの。
• Entity Identifier：1つのEntityに結び付けられた、グローバルに一意な文字列識別子。本仕様で定義されるすべてのEntity Identifierは、httpsスキームを使用し、host要素を持つURLであり、port要素およびpath要素を含んでもよい。query parameter要素またはfragment要素を含んではならない。本仕様のプロファイルは、他種のEntity Identifierおよびそれに付随する処理規則を定義してもよい。
• Trust Anchor：信頼された第三者を表すEntity。
• Federation Entity：EntityからTrust AnchorまでのTrust Chainを構成できるEntity。
• Entity Statement：Entityがフェデレーション（複数可）に参加するために必要な情報を含む、署名付きJWT。これには、自己に関するメタデータ、および当該Entityが権威を持つ他のEntityに適用されるポリシーが含まれる。
• Entity Configuration：Entityが自己について発行したEntity Statement。Entityの署名鍵と、authority hints など、Trust Chain解決プロセスを制御するために用いられる追加データを含む。
• Subordinate Statement：Superior Entity が、その Immediate Subordinate であるEntityについて発行するEntity Statement。
• Entity Type：フェデレーション内でEntityが担う役割および機能。Entityは少なくとも1つの型でなければならず、複数の型であってもよい。例えば、Entityは同時に OpenID Provider と Relying Party の両方になり得る。
• Entity Type Identifier：Entity Type を表す文字列識別子。
• Federation Operator：フェデレーションに対して権威を持つ組織。フェデレーション運用者は、自身のフェデレーション内のEntityのために Trust Anchor（複数可）を管理する。
• Intermediate Entity：Trust Anchor によって発行されたものと Trust Chain の対象（通常は Leaf Entity）によって発行されたものの間のどこかに現れるEntity Statementを発行するEntity。本仕様では Intermediate Entity と Intermediate は同義で用いる。
• Leaf Entity：Subordinate Entities を持たないEntity。Leaf Entityは通常、OpenID Connect の Relying Party や OpenID Provider のようなプロトコル上の役割を担う。本仕様では Leaf Entity と Leaf は同義で用いる。
• Subordinate Entity：信頼階層において Superior Entity（Trust Anchor または Intermediate）の下に位置するEntity（間にIntermediatesが存在してもよい）。本仕様では Subordinate Entity と Subordinate は同義で用いる。
• Superior Entity：信頼階層において1つ以上のEntity（Leaf または Intermediate）の上に位置するEntity（間にIntermediatesが存在してもよい）。本仕様では Superior Entity と Superior は同義で用いる。
• Immediate Subordinate Entity：信頼階層において Superior Entity の直下に位置し、間にIntermediatesが存在しないEntity。本仕様では Immediate Subordinate Entity と Immediate Subordinate は同義で用いる。
• Immediate Superior Entity：信頼階層において1つ以上の Subordinate Entities の直上に位置し、間にIntermediatesが存在しないEntity。本仕様では Immediate Superior Entity と Immediate Superior は同義で用いる。
• Federation Entity Discovery：Trust Chain の対象の Entity Identifier から開始し、選択された Trust Anchor に到達するまでEntity Statementsを収集するプロセス。収集したEntity Statementsから Trust Chain を構築して検証する。Federation Entity Discovery の結果として、Trust Chain から対象のメタデータが構築される。
• Trust Chain：Trust Chain の対象となるEntity Configuration（通常は Leaf Entity）から開始し、Trust Anchor で終わる、Entity Statements の列。
• Trust Mark：認定機関によって定められた、適切にスコープされた信頼および／または相互運用性要件の集合に対する適合を示すステートメント。各Trust Markは Trust Mark type identifier を持つ。
• Trust Mark Issuer：Trust Marks を発行する Federation Entity。
• Trust Mark Owner：Trust Mark type identifier に対する権利を所有するEntity。
• Federation Entity Keys：本仕様で定義される信頼メカニズムに必要な暗号署名に用いる鍵。Federation の参加者はそれぞれ、自身の公開 Federation Entity Keys を Entity Configuration に公開する。
• Resolved Metadata：Trust Chain における metadata policy を、Trust Chain 対象の Entity Configuration 内の metadata に適用した結果得られるメタデータ。Resolved Metadata は、Entityとやり取りする際に使用されるメタデータである。

2. Overall Architecture

基本コンポーネントは Entity Statement であり、これは暗号学的に署名された JSON Web Token (JWT) [RFC7519] である。Entity Statements の集合は、Entity（通常は Leaf Entity）から Trust Anchor までの経路を形成できる。Entityが自己について発行する Entity Configurations は、Trust Chain 解決プロセスを制御する。

Leaf または Intermediate Entity の Entity Configuration には、セクション3.2で説明される authority_hints パラメータにおいて、Immediate Superiors への参照が1つ以上含まれる。これらの参照は、各 Immediate Superior の Entity Configuration をダウンロードするために利用できる。Federation Entity Discovery の間、Trust Anchor に到達するまで、1つ以上の Entity Configurations が順に辿られる。

Trust Anchor とその Intermediates は、Immediate Subordinate Entities についての Entity Statements を発行し、これらを Subordinate Statements と呼ぶ。Superior と Subordinate の関係を検証する Entity Configurations と Subordinate Statements の列が、Trust Anchor に向かう経路に沿って、Trust Chain の対象（通常は Leaf Entity）が Trust Anchor を根とするフェデレーションのメンバーであることの証明を形成する。

Entity Configurations 同士を結び付ける Trust Chain は、セクション4で述べるとおり、各 Entity Configuration の署名によって検証される。

検証済みの Trust Chain が得られたら、フェデレーションのポリシーが適用され、セクション6で述べるとおり、フェデレーション内の Trust Chain 対象のメタデータが導出される。

本仕様は信頼操作を扱う；メタデータ導出および交換以外のプロトコル操作は扱わないし、対象にも含めない。OpenID Connect の用語では、これらは OpenID Connect Discovery 1.0 [OpenID.Discovery] および OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] で規定されるプロトコル操作である。

本仕様の多くの例では OpenID Connect を用いるが、これは本仕様が OpenID Connect でしか使えないことを意味しない。むしろ、他のプロトコルのためのフェデレーション構築にも利用できる。

2.1. Cryptographic Trust Mechanism

本仕様が定義する、参加者間の暗号学的信頼を確立するために使用されるオブジェクトは、公開鍵暗号を用いて署名付きJWTとして保護される。とりわけ、これらのオブジェクトを保護するための鍵は、それらを制御するEntityによって管理され、保護に用いる公開鍵は、それらのオブジェクト自身を通じて配布される。この種の信頼メカニズムは、研究および学術フェデレーションにおいて10年以上利用されてきた。

この暗号学的信頼メカニズムは、署名鍵のために Web PKI / TLS [RFC9525] 証明書に依存しないよう意図的に設計されている。どのTLS証明書を信頼済みとみなすかは、どの認証局を信頼するかに依存してシステム間で大きく異なり、信頼されているはずの証明書が侵害された顕著な事例も存在する。これらの理由により、本仕様は Web PKI への依存を明確に避け、自己管理の公開鍵に依拠する。本件では、JSON Web Keys (JWKs) [RFC7517] として表現される鍵である。

3. Entity Statement

Entity Statement は、Entity Statement の対象であるEntityがフェデレーション（複数可）に参加するために必要な情報を含む。Entity Statement は署名付きJWTである。JWTのsubjectはEntity自身である。JWTのissuerは Entity Statement を発行した当事者である。フェデレーション内のすべてのEntityは、自己についてのEntity Statementを公開し、これを Entity Configuration と呼ぶ。フェデレーション内の Superior Entities は、Immediate Subordinate Entities についての Entity Statements を公開し、これを Subordinate Statements と呼ぶ。

Entity Statement JWTs は、[RFC8725] のセクション3.11に従い、JWT間の混同を防ぐため、typ ヘッダーパラメータを entity-statement+jwt に設定して明示的に型付けしなければならない。typ ヘッダーパラメータがない、または異なる typ 値を持つ Entity Statements は拒否しなければならない。

Entity Statement は、issuer Entity の秘密鍵のいずれかを用いて JSON Web Signature (JWS) [RFC7515] として署名される。実装は、OpenID Connect Core がサポートを要求しているため（alg 値が RS256）、RSA SHA-256 アルゴリズムによる署名検証をサポートすることが望ましい。フェデレーションは、実装必須のアルゴリズムとして別のものを指定してもよい。Trust Chain には異なる署名アルゴリズムで署名された Entity Statements を含められる点に注意すること。各署名が、使用中の信頼フレームワークおよび実装がサポートする署名アルゴリズムを用いている限り、このことは許容される。

Entity Statement JWTs は、使用した署名鍵の Key ID に等しい値を持つ kid（Key ID）ヘッダーパラメータを含まなければならない。

Entity Statement に含まれる Claims を以下に示す。Entity Statements を利用するアプリケーションおよびプロトコルは、追加の Claims を指定して使用してもよい。

3.1. Claims that MUST or MAY Appear in both Entity Configurations and Subordinate Statements

• iss\ REQUIRED。Entity Statement のissuerの Entity Identifier。iss と sub が同一である場合、issuerは自己についての Entity Statement（Entity Configuration）を作成している。

• sub\ REQUIRED。subjectの Entity Identifier。

• iat\ REQUIRED。数値。ステートメントが発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。

• exp\ REQUIRED。数値。この時刻以後、ステートメントは処理のために受理してはならない。[RFC7519] に従い、Seconds Since the Epoch で表す。

• jwks\ REQUIRED。subjectの Federation Entity 署名鍵の公開部分を表す JSON Web Key Set (JWKS) [RFC7517]。対応する秘密鍵は、Entityが自己についての Entity Configuration に署名するため、Trust Anchors および Intermediate Entities が Immediate Subordinates についての Subordinate Statements に署名するため、ならびに Trust Mark 署名など、Federation Entities によって行われるその他の署名のために使用される。ただし、本Claimはセクション12.2.3で定義される Explicit Registration Response として返される Entity Statement では OPTIONAL であり、それ以外のすべての場合は REQUIRED である。JWK Set 内の各JWKは一意の kid（Key ID）値を持たなければならない。Key IDは、鍵のSHA-256ハッシュ関数を用いた JWK Thumbprint [RFC7638] にすることが推奨される。

  これらの Federation Entity Keys は、他のプロトコルでは使用しないことが望ましい。（OpenID Connect など他のプロトコルで使用する鍵は、openid_provider および openid_relying_party の Entity Type Identifiers 配下の metadata など、当該プロトコルの Entity Type Identifiers のメタデータ要素で伝達される。）

• metadata\ OPTIONAL。Entityが担う役割（Entity Types）を宣言し、それらの Entity Types のメタデータを含むJSONオブジェクト。JSONオブジェクトの各メンバー名は Entity Type Identifier であり、各値は、その Entity Type のメタデータスキーマに従ったメタデータパラメータを含むJSONオブジェクトでなければならない。

  Entityが1つ以上の Entity Types を伴って1つ以上のフェデレーションに参加する場合、その Entity Configuration は、対応する各 Entity Type Identifiers ごとに、JSONオブジェクト値を持つ metadata Claim を含まなければならない。値が空のJSONオブジェクト {} であっても（Entity Type に関連メタデータがない場合、または Immediate Superiors が必要なメタデータを提供する場合）、含めなければならない。

  Immediate Superior は、Subordinate Statement の metadata Claim を使用して、Immediate Subordinate に対して選択したメタデータパラメータ、またはすべてのメタデータパラメータを提供してもよい。Subordinate Statement で metadata を使用する場合、それは subject の Entity Configuration に存在する Entity Types にのみ適用される。さらに、metadata は Subordinate Statement の subject のみに適用され、subject の Subordinates には影響しない。Subordinate Statement 内の metadata パラメータは、subject の Entity Configuration 内の同一 Entity Type 配下で同名のパラメータより優先され、上書きする。Subordinate Statement に metadata と metadata_policy の両方が現れる場合、セクション6.1.4.2で述べるとおり、述べられた metadata を metadata_policy の前に適用しなければならない。

• crit\ OPTIONAL。Entity Statements は、セクション13.4で定義される crit（critical）Claim が理解され処理されることを要求する。本Claimの値である配列に含まれる Claim Names を持つ Claims は理解され処理されなければならない。本仕様が Entity Statements での使用を指定する Claims は、このリストに含めてはならない。

3.2. Claims that MUST or MAY Appear in Entity Configurations but Not in Subordinate Statements

• authority_hints\ OPTIONAL。Intermediate Entities または Trust Anchors の Entity Identifiers（Entityの Immediate Superiors）を表す文字列の配列。本Claimは、Leaf および Intermediate Entities のように少なくとも1つの Superior を上位に持つEntityの Entity Configurations では REQUIRED である。その値は Immediate Superiors の Entity Identifiers を含まなければならず、空配列 [] であってはならない。Superiors を持たない Trust Anchors の Entity Configurations には本Claimが存在してはならない。

• trust_anchor_hints\ OPTIONAL。Entityが信頼する Trust Anchors の Entity Identifiers を表す文字列の配列。その値は空配列 [] であってはならない。Superiors を持たない Trust Anchors の Entity Configurations には本Claimが存在してはならない。

• trust_marks\ OPTIONAL。各要素が Trust Mark を表すJSONオブジェクトである配列。

  • trust_mark_type\ REQUIRED。Trust Mark の型の識別子。本Claimの値は、このオブジェクト内の trust_mark Claim の値である Trust Mark JWT に含まれる trust_mark_type Claim の値と同一でなければならない。
  • trust_mark\ REQUIRED。Trust Mark を表す署名付き JSON Web Token。

  Trust Marks はセクション7で説明する。

• trust_mark_issuers\ OPTIONAL。Trust Anchor は、本Claimを用いて、どの Trust Mark type identifiers と issuers の組み合わせがフェデレーションから信頼されているかを示してもよい。本Claimは、Trust Anchor ではないEntityの Entity Configuration に存在していても無視しなければならない。これはJSONオブジェクトであり、メンバー名は Trust Mark type identifiers、各対応する値は、その識別子を持つ Trust Marks の認定機関を代表するものとして信頼される Entity Identifiers の配列である。Trust Mark type identifier に続く配列が空の場合、その識別子を持つ Trust Marks は誰でも発行してよい。Trust Marks はセクション7で説明する。

• trust_mark_owners\ OPTIONAL。Federation Operator が、Trust Mark type identifier が Trust Mark Issuer とは異なるEntityにより所有されていることを知っている場合、その知識は本Claimで表現しなければならない。本Claimは、Trust Anchor ではないEntityの Entity Configuration に存在していても無視しなければならない。これはJSONオブジェクトであり、メンバー名は Trust Mark type identifiers、各対応する値は次のメンバーを含むJSONオブジェクトである：

  • sub\ REQUIRED。Trust Mark Owner の Identifier。
  • jwks\ REQUIRED。署名に用いられる所有者の Federation Entity Keys を含む JSON Web Key Set (JWKS) [RFC7517]。

  他のメンバーも定義して使用してよい。

3.3. Claims that MUST or MAY Appear in Subordinate Statements but Not in Entity Configurations

• constraints\ OPTIONAL。セクション6.2で説明される Trust Chain 制約を定義するJSONオブジェクト。制約は、この Subordinate Statement の subject であるEntityだけでなく、それに従属するすべてのEntityにも適用される。

• metadata_policy\ OPTIONAL。セクション6.1で説明されるメタデータポリシーを定義するJSONオブジェクト。メタデータポリシーは、この Subordinate Statement の subject であるEntityだけでなく、それに従属するすべてのEntityにも適用される。Subordinate Entities に適用される点が、subject 自身にのみ適用される metadata と、metadata_policy を区別する。

• metadata_policy_crit\ OPTIONAL。セクション6.1.3.1で定義される標準のもの以外で、理解し処理しなければならない重要なメタデータポリシー演算子を指定する文字列配列。含める場合、その値は空配列 [] であってはならない。列挙されたポリシー演算子のいずれかが理解されサポートされていない場合、Subordinate Statement、ひいてはそれを含む Trust Chain は無効と見なさなければならない。

• source_endpoint\ OPTIONAL。セクション8.1で規定されるとおり、Entity Statement が発行された取得用エンドポイントURLを含む文字列。このパラメータにより、発行権威の federation_fetch_endpoint を発見するために通常必要となる Entity Configuration へのリクエストを省略し、Subordinate Statements、ひいては Trust Chain を最適化して更新できる。エンドポイントURLが変更されている場合など、source_endpoint から Entity Statement を取得できないときは、issuer の Entity Configuration を取得することにより、現在の federation_fetch_endpoint の場所を特定できる。

3.4. Claims Used in Explicit Registration Requests

• aud\ OPTIONAL。"aud"（audience）の値は OP の Entity Identifier でなければならず、他の値を含んではならない。本Claimは Explicit Registration requests で使用される；一般的な Entity Statement Claim ではない。

3.5. Claims Used in Explicit Registration Responses

• aud\ OPTIONAL。"aud"（audience）の値は RP の Entity Identifier でなければならず、他の値を含んではならない。本Claimは Explicit Registration responses で使用される；一般的な Entity Statement Claim ではない。

• trust_anchor\ OPTIONAL。その値は、セクション12.2.3で規定されるとおり、OPが Explicit Registration request を処理するために選択した Trust Anchor の Entity Identifier でなければならない。本Claimは Explicit Registration responses に固有である；一般的な Entity Statement Claim ではない。

3.6. Entity Statement Validation

Entity Statements は以下の方法で検証しなければならない。これらの手順は、結果（Entity Statement を受理するか拒否するか）が同一である限り、異なる順序で実行してもよい。

• Entity Statement は署名付きJWTでなければならない。
• Entity Statement は、値が entity-statement+jwt である typ ヘッダーパラメータを持たなければならない。
• Entity Statement は、許容されるJWS署名アルゴリズムである値を持つ alg（algorithm）ヘッダーパラメータを持たなければならず、none であってはならない。
• Entity Statement が参照するEntityの Entity Identifier は、sub（subject）Claim の値と一致しなければならない。
• Entity Statement は、値が妥当な Entity Identifier である iss（issuer）Claim を持たなければならない。
• iss（issuer）Claim Value が sub（subject）Claim Value と一致する場合、Entity Statement はこのEntityの Entity Configuration である。一致しない場合、Entity Statement は Subordinate Statement である。Entity Statement が Subordinate Statement である場合、iss Claim Value は、sub Claim の値である Entity Identifier を持つEntityの Entity Configuration 内の authority_hints 配列の値のいずれかと一致しなければならない；そうでない場合、Federation グラフは整形式ではない。
• 現在時刻は、iat（issued at）Claim が表す時刻より後でなければならない（時計ずれを考慮して小さな許容差を認めてもよい）。
• 現在時刻は、exp（expiration）Claim が表す時刻より前でなければならない（時計ずれを考慮して小さな許容差を認めてもよい）。
• jwks（JWK Set）Claim は存在しなければならず、その値は妥当な JWK Set [RFC7517] でなければならない。
• 発行Entityの Entity Configuration、すなわち Entity Statement の iss（issuer）Claim に見いだされる Issuer Identifier を持つEntityの Entity Configuration を取得する。iss と sub の Claim Values が一致する場合、これは検証対象の Entity Statement 自身である。そうでない場合、Trust Chain から、またはセクション9に記載のとおり取得して得られる。
• Entity Statement の kid（Key ID）ヘッダーパラメータ値は長さ0ではない文字列でなければならず、発行Entityの Entity Configuration の jwks（JWK Set）Claim 内の鍵の kid 値と完全に一致しなければならない。
• Entity Statement の署名は、kid 値で識別される発行Entityの鍵を用いて検証できなければならない。
• crit Claim が存在する場合、このClaimの値の各配列要素は、本仕様で定義されていない Entity Statement Claim を表す文字列でなければならず、そのClaimは理解され、実装で処理できなければならない。
• authority_hints Claim が存在する場合、Entity Statement は Entity Configuration でなければならない。セクション3.2で規定されるとおり、その値が構文的に正しいことを確認する。実装はさらに、authority_hints 配列に列挙された各 Entity Identifier を持つEntityの Subordinate であることを検証してもよい。
• trust_anchor_hints Claim が存在する場合、Entity Statement は Entity Configuration でなければならない。セクション3.2で規定されるとおり、その値が構文的に正しいことを確認する。
• metadata Claim が存在する場合、セクション5で規定されるとおり、その値が構文的に正しいこと、metadata の値として null を使用していないことを確認する。
• metadata_policy Claim が存在する場合、Entity Statement は Subordinate Statement でなければならない。セクション6.1で規定されるとおり、その値が構文的に正しいことを確認する。
• metadata_policy_crit Claim が存在する場合、Entity Statement は Subordinate Statement でなければならない。このClaimの値の各配列要素は、本仕様で定義されていない Metadata Policy 演算子を表す文字列でなければならず、その演算子は理解され、実装で処理できなければならない。
• constraints Claim が存在する場合、Entity Statement は Subordinate Statement でなければならない。セクション6.2で規定されるとおり、その値が構文的に正しいことを確認する。
• trust_marks Claim が存在する場合、Entity Statement は Entity Configuration でなければならない。本Claim Value の構文が Claim 定義に適合することを検証する。とりわけ、Claim Value である配列の各要素について、trust_mark_type メンバーが存在し、その値が trust_mark メンバーの値である Trust Mark JWT 内の trust_mark_type Claim Value と一致することを検証する。構文検証は、特定の Trust Marks が信頼された当事者により発行され、信頼されているかどうかの評価とは別である；そのプロセスはセクション7.3で説明され、構文検証とは別の手順として実施してもよい。
• trust_mark_issuers Claim が存在する場合、Entity Statement は Entity Configuration でなければならない。そのClaim Value が、Trust Mark type identifiers をメンバー名、Entity Identifiers の配列を値とするJSONオブジェクトであることを検証する。
• trust_mark_owners Claim が存在する場合、Entity Statement は Entity Configuration でなければならない。そのClaim Value が、Trust Mark type identifiers をメンバー名とし、sub メンバー（値は Entity Identifier）および jwks メンバー（値は JSON Web Key Set）を含むJSONオブジェクトを値とするJSONオブジェクトであることを検証する。
• source_endpoint Claim が存在する場合、Entity Statement は Subordinate Statement でなければならない。そのClaim Value がURLであることを検証する。実装はさらに、このURLへの取得呼び出しを行い、これが Entity Statement が発行された取得エンドポイントであることを検証してもよい。
• aud Claim が存在する場合、Entity Statement が Explicit Registration request であるなら値がOPの Entity Identifier であることを検証し、または Entity Statement が Explicit Registration request であるなら値がRPの Entity Identifier であることを検証する。本Claimは、拡張でその使用が別途指定されている場合を除き、Explicit Registration requests または responses ではない Entity Statements に存在してはならない。
• trust_anchor Claim が存在する場合、その値が https スキームを使用するURLであることを検証する。実装は、その Entity Identifier がデプロイメントに設定された Trust Anchors のいずれかと一致することを検証することが望ましい。さらに、実装は、その Entity Identifier の Entity Configuration が、設定された Trust Anchor 情報（特に鍵）と互換の情報を含むことを検証することが望ましい。本Claimは、拡張でその使用が別途指定されている場合を除き、Explicit Registration responses ではない Entity Statements に存在してはならない。
• trust_chain ヘッダーパラメータが存在する場合、セクション4で規定されるとおり、その値が構文的に妥当な Trust Chain であることを検証する。Trust Chain の最初のエントリは、このEntityの Entity Configuration でなければならない。実装は、Trust Chain の末尾にある Trust Anchor の Entity Identifier が、デプロイメントに設定された Trust Anchors のいずれかと一致することを検証することが望ましい。
• peer_trust_chain ヘッダーパラメータが存在する場合、セクション4で規定されるとおり、その値が構文的に妥当な Trust Chain であることを検証する。実装は、Trust Chain の末尾にある Trust Anchor の Entity Identifier が、デプロイメントに設定された Trust Anchors のいずれかと一致することを検証することが望ましい。

これらの検証手順のいずれかが失敗した場合、Entity Statement は拒否しなければならない。

3.7. Entity Statement Examples

以下は、Entity Statement の JWT Claims Set の非規範的な例である。この例には、Entity Statement に対する critical extension である jti（JWT ID）と、ポリシー言語に対する critical extension である regexp（Regular expression）が1つ含まれている。

{
  "iss": "https://feide.no",
  "sub": "https://ntnu.no",
  "iat": 1516239022,
  "exp": 1516298022,
  "jwks": {
    "keys": [
      {
        "kty": "RSA",
        "alg": "RS256",
        "use": "sig",
        "kid": "NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs",
        "n": "pnXBOusEANuug6ewezb9J_...",
        "e": "AQAB"
      }
    ]
  },
  "metadata": {
    "openid_provider": {
      "issuer": "https://ntnu.no",
      "organization_name": "NTNU"
    },
    "oauth_client": {
      "organization_name": "NTNU"
    }
  },
  "metadata_policy": {
    "openid_provider": {
      "id_token_signing_alg_values_supported": {
        "subset_of": ["RS256", "RS384", "RS512"]
      },
      "op_policy_uri": {
        "regexp": "^https:\\/\\/[\\w-]+\\.example\\.com\\/[\\w-]+\\.html"
      }
    },
    "oauth_client": {
      "grant_types": {
        "one_of": ["authorization_code", "client_credentials"]
      }
    }
  },
  "constraints": {
    "max_path_length": 2
  },
  "crit": ["jti"],
  "metadata_policy_crit": ["regexp"],
  "source_endpoint": "https://feide.no/federation_api/fetch",
  "jti": "7l2lncFdY6SlhNia"
}

Figure 2: Example Entity Statement JWT Claims Set

以下は、trust_mark_owners Claim Value の非規範的な例である：

{
  "https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf": {
    "sub": "https://refeds.org/sirtfi",
    "jwks": {
      "keys": [
        {
          "alg": "RS256",
          "e": "AQAB",
          "kid": "key1",
          "kty": "RSA",
          "n": "pnXBOusEANuug6ewezb9J_...",
          "use": "sig"
        }
      ]
    }
  }
}

Figure 3: Example trust_mark_owners Claim Value

以下は、trust_mark_issuers Claim Value の非規範的な例である：

{
  "https://openid.net/certification/op": [],
  "https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf": [
    "https://swamid.se"
  ]
}

Figure 4: Example trust_mark_issuers Claim Value

4. Trust Chain

Trust Chain を構成するステートメントを持つEntityは、次のように分類される：

• Trust Anchor：信頼された第三者を表すEntity。
• Leaf：OpenID Connect のアイデンティティ・フェデレーションでは RP または OP、OAuth 2.0 のフェデレーションでは Client、Authorization Server、または Protected Resource。
• Intermediate：Leaf Entity でも Trust Anchor でもないEntity。

Trust Chain は、Trust Chain の対象である Entity Configuration から始まり、これは通常 Leaf Entity である。Trust Chain は、Intermediates が Immediate Subordinates について発行する Subordinate Statements を0個以上持ち、Trust Anchor が最上位 Intermediate（Intermediates がある場合）または Trust Chain の対象（Intermediates がない場合）について発行する Subordinate Statement を含む。Trust Chain は、場合によっては Trust Chain を表すJSON配列から省略されてもよいが、論理的には常に Trust Anchor の Entity Configuration で終わる。

Trust Chain には、評価時点において Trust Chain の対象に適用されるフェデレーションの構成が含まれる。

簡単な例：Federation F のメンバーである Organization A に属する RP があるとする。このような構成の Trust Chain には、次の Entity Statements が含まれる：

• RPが自ら公開する、RPについての Entity Configuration
• Organization A が公開する、RPについての Subordinate Statement
• F の Trust Anchor が公開する、Organization A についての Subordinate Statement
• Trust Anchor が自ら公開する、F の Trust Anchor についての Entity Configuration

Trust Chain 内の Entity Statements を ES[j] と呼ぶことにする。ここで j = 0,...,i であり、0は最初の Entity Statement のインデックス、iは最後の Entity Statement の0始まりインデックスである。すると：

• ES[0]（Trust Chain 対象の Entity Configuration）は、ES[0]["jwks"] 内の鍵を用いて署名される。
• Entity Statement の iss Claim は、次の Entity Statement の sub Claim に等しい。記号的に言い換えると、各 j = 0,...,i-1 について、ES[j]["iss"] == ES[j+1]["sub"]。
• Entity Statement は、次の Entity Statement の jwks Claim 内の鍵を用いて署名される。記号的に言い換えると、各 j = 0,...,i-1 について、ES[j] は ES[j+1]["jwks"] 内の鍵によって署名される。
• ES[i]（Trust Chain における Trust Anchor の Entity Configuration）は、ES[i]["jwks"] 内の鍵を用いて署名される。

Trust Anchor の公開鍵は、ES[i]（Trust Anchor の Entity Configuration）および ES[i-1]（Trust Chain における Immediate Subordinate についての Trust Anchor の Subordinate Statement）の署名検証に用いられる。Trust Anchor の公開鍵は、Trust Chain を検証する必要があるEntityに対して、本書で説明されない安全なアウト・オブ・バンドの方法で配布される。

4.1. Beginning and Ending Trust Chains

Trust Chain は、信頼を確立しようとしている Entity の Entity Configuration から始まる。これが Trust Chain の subject である。この Entity は通常、OpenID Provider や OpenID Relying Party のようなプロトコル上の役割を担う。

このような Entity は通常 Leaf Entity だが、他のトポロジーもあり得る。例えば、ある Entity が同時に OpenID Provider であり Intermediate Entity でもあり、OpenID Relying Parties および／または他の Intermediates がそれに対して Subordinate である、ということがあり得る。この場合、Trust Chain の subject は Leaf Entity ではない。

Trust Chain は Trust Anchor の Entity Configuration で終わる。Trust Anchors は通常 Superiors を持たないが、Trust Anchor が別のフェデレーションで Intermediate Entity としても機能する場合、Trust Anchor は Superior を持つことになる。これは、フェデレーションが階層化されている場合に該当する。

したがって、Trust Chain が Superiors を持たない Trust Anchor で終わるのが一般的ではあるものの、Trust Chain が Superior Entities を持つ Trust Anchor で終わる状況も存在する。

4.2. Trust Chain Example

以下は、Leaf の Entity Configuration と、Intermediate Entity および Trust Anchor によって発行された Subordinate Statements から構成される Trust Chain の例である。ここでは、3つの Entities、それらの Entity Configurations、およびそれらの Subordinate Statements の関係を示す。Subordinate Statements は、subject の Immediate Superior の federation_fetch_endpoint から取得される。federation_fetch_endpoint のURLは、Immediate Superior の Entity Configuration から発見される。なお、Trust Chain の最初のメンバー（Leaf）は図の下側に描かれ、最後のメンバー（Trust Anchor）は上側に描かれている。

.----------------.  .---------------------------.         .---------------------------.
| Role           |  | .well-known/              |         | Trust Chain               |
|                |  | openid-federation         |         |                           |
.----------------.  .---------------------------.         .---------------------------.
| .------------. |  | .-----------------------. |         | .-----------------------. |
| |            | |  | | Entity Configuration  | |         | | Entity Configuration  | |
| |Trust Anchor+-+--+->                       +-+---------+->                       | |
| |            | |  | | Federation Entity Keys| |         | | Federation Entity Keys| |
| '-----.------' |  | | Metadata              | |         | | Metadata              | |
|       |        |  | | Trust Mark Issuers    | |         | | Trust Mark Issuers    | |
|       |        |  | |                       | |         | |                       | |
|       |        |  | '-----------------------' |         | '-----------------------' |
|       |        |  |                           |         |                           |
|       |        |  |                           |Fetch    | .-----------------------. |
|       |        |  |                           |Endpoint | | Subordinate Statement | |
|       |        |  |                           |         | |                       | |
|       +--------+--+---------------------------+---------+->                       | |
|                |  |                           |         | | Federation Entity Keys| |
|                |  |                           |         | | Metadata Policy       | |
|                |  |                           |         | | Metadata              | |
|                |  |                           |         | | Constraints           | |
|                |  |                           |         | |                       | |
|                |  |                           |         | '-----------.-----------' |
| .------------. |  | .-----------------------. |         |             |             |
| |            | |  | | Entity Configuration  | |         |             |             |
| |Intermediate+-+--+->                       | |         |             |sub and key  |
| |            | |  | | Federation Entity Keys| |         |             | binding     |
| '------.-----' |  | | Metadata              | |         | .-----------v-----------. |
|        |       |  | | Trust Marks           | |         | | Subordinate Statement | |
|        |       |  | |                       | |         | |                       | |
|        |       |  | |                       | |         | | Federation Entity Keys| |
|        |       |  | '-----------------------' |Fetch    | | Metadata Policy       | |
|        |       |  |                           |Endpoint | | Metadata              | |
|        +-------+--+---------------------------+---------+->                       | |
|                |  |                           |         | '-----------.-----------' |
|                |  |                           |         |             |sub and key  |
|                |  |                           |         |             | binding     |
| .------------. |  | .-----------------------. |         | .-----------v-----------. |
| |            | |  | | Entity Configuration  | |         | | Entity Configuration  | |
| | Leaf       +-+--+->                       +-+---------+->                       | |
| |            | |  | | Federation Entity Keys| |         | | Federation Entity Keys| |
| '------------' |  | | Metadata              | |         | | Metadata              | |
|                |  | | Trust Marks           | |         | | Trust Marks           | |
|                |  | |                       | |         | |                       | |
|                |  | |                       | |         | |                       | |
|                |  | '-----------------------' |         | '-----------------------' |
'----------------'  '---------------------------'         '---------------------------'

Figure 5: Relationships between Federation Entities and Statements Issued in a Trust Chain

4.3. Trust Chain Header Parameter

trust_chain JWS header parameter は、Entity と選択された Trust Anchor の間の Trust Chain を構成する Entity Statements の並びを含むJSON配列である。通常、Trust Chain は、このヘッダーパラメータが現れるJWTの subject の Entity Configuration から始まる。しかし、セクション8.3.2で定義される Resolve Response の場合のように、Trust Chain が issuer など別の Entity の Entity Configuration から始まることもある。JWTの issuer は、Trust Chain の先頭にある Entity とJWTの audience が共通に持つ Trust Anchor を選択することが望ましい。そうでない場合でも、issuer は使用する Trust Anchor を自由に選択できる。いくつかの例外を除き、ほとんどの署名付きJWTは trust_chain JWS header parameter を含めてもよい。Entity Configurations と Subordinate Statements は、Trust Chain の不可欠な構成要素であるため、trust_chain header parameter を含んではならない。このヘッダーパラメータの使用は OPTIONAL である。

以下は、trust_chain パラメータを持つJWSヘッダーの非規範的な例である。

{
  "typ": "...",
  "alg": "RS256",
  "kid": "SUdtUndEWVY2cUFDeDV5NVlBWDhvOXJodVl2am1mNGNtR0pmd",
  "trust_chain": [
    "eyJ0eXAiOiJlbnRpdHktc3RhdGVtZW50K2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoiVUdaSGF6aHVZalpoT0Y5amNUaHBWa05KU1VkWWQxVnlaR1JGVXpWd09FVXlSMDQwU2tjMk1XMXVPQSJ9.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.W3fbv3JrAxcDsV0MHk00MzcgC1DddTrzkRN8vdT1IRwq3qy9NtsiC2532oInHoxxjlKBu7D8cqF9yG0Tb1v4gk_tejyUo0M9xJqyz32RU2iZP0lpbNHHUDrMxuGv1wPDap2mKisRgbb7pxm6dx_aaIrydhx0uKDM6EwX1RzpMxJeqNMeLK9992_xyCZvsi3kVGRCJDSqd-rXBS_2LFWKUViC1_5GcsWAkRABBgRDeARqQah3FvJVWiAcNv2Te2k6SMW1MNVCT7Q3uf3c2vVuaVA1OwY_wUTrkfFRjKEOmU1sgZ1TndxJKQW0XZZmTxcoJfmrjmCyxtteucYznESMnw",
    "eyJ0eXAiOiJlbnRpdHktc3RhdGVtZW50K2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoiVUdaSGF6aHVZalpoT0Y5amNUaHBWa05KU1VkWWQxVnlaR1JGVXpWd09FVXlSMDQwU2tjMk1XMXVPQSJ9.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.hF0ABpYlQBPzeMJrANe-5VOStDbZrEFdYVnNVwRgxphCMEMyoBfHDVv9kQceJtKqKbzFyFFCiO6QPY-GGt-eI37YxdzG5F8GCr9hBXfoUtTSiWaEop3B0AVXH0SelRO5zvN8W2SlR0rPTJ75kLv2vaVbgES_IzMhneteRvx2HGvCxOdvA4kermxkFT7MSP3YGyuNGJ4JAEvLXT6TmL9wiitGJ3SO34ImWZ4uI9zmSzWqvRIFKZ05dD2_RVybJbKQcOuRS3Th2yn0uq4YPzPw-Na2mw0FcYXMKQhq-SvdkI4Rt4eQMbIyyminMuTxrdIeQD6-rvSOxUTjF31sjnekvA",
    "eyJ0eXAiOiJlbnRpdHktc3RhdGVtZW50K2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoiTjFsNWVWWTJhMmszU0ZCSGNtcFRjMVJJYkZGM1R6VmlZbkp2VTBNNGJuaE1ZMXBxTkdod01VcEZTUSJ9.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.G3DP1Nqt8UTXwes0ozKzADd1KmAYl0K0DhyjQMJOKR7pgqYp_S91ObMKPrBJDh1Mnpy7mpHICUM23pUEMFt7v_-MdqjPTOG5ebrxqjFtemizFk6iHWvwhCcheQIsNMRXf-y64Ox6SgBVXP_JaKHtA_YInTQB9-_bdb-mWvwpOlvvGH-l5Hl7TQten_IoewT9bfC62UkOmKzn0L1VlVFtYn9R7sRFUtnfcqsvvRLIHNfJwaJi-lpODgNv2l7arHssS_FmfX5ZN-3WylJJbZhtkFku1ITKx7c4bvGsZSvEx9m_ixGJYunfD-iKWAmfE1suc6X-ywR7dgdp_BBpMvytlg",
    "eyJ0eXAiOiJlbnRpdHktc3RhdGVtZW50K2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoiTjFsNWVWWTJhMmszU0ZCSGNtcFRjMVJJYkZGM1R6VmlZbkp2VTBNNGJuaE1ZMXBxTkdod01VcEZTUSJ9.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.lYDvz35LPE0V6nVUfO6Qwe8-AVQ9HBBeup-hg79HPAV-PqGa9dI9YX7GMiwb_khVGL8ASLfru4pFjlk4kjvgWj6u-ZXmWeElo48rAubCTtHKU8XOkHhvPXp04havTUevTCs3J0rBZKiJBLCBS9046yTrLPP8yN2hh_wR_3YExfW9O6w5tuEkghP4pQHZbWVZjE2pXTd-iIL5OFOWF_3050bAMTUQP_XUH5ZAPlj2-_qyDmARM9sh83SMDFwWkSqsDQDrOpWs1Uy7uT_iwqgPBuMSwUl9s4iRV-_CJy3IOdP0DCJOM3IyTWoHSlcMotEKGLmf4zTSnABr9PCPc5Bgrg"
  ]
}

Figure 6: Example JWS Header with a trust_chain Parameter

4.4. Peer Trust Chain Header Parameter

peer_trust_chain JWS header parameter は、当該Entityが信頼を確立しようとしている相手の Entity と、選択された Trust Anchor の間の Trust Chain を構成する Entity Statements の並びを含むJSON配列である。trust_chain header parameter も存在する場合、両方の Trust Chains の Trust Anchor は同一であることが望ましい。両方の Trust Chains を含めることで、[App-Fed-Linkage] で定義される Federation Integrity および Metadata Integrity の特性を達成できる。Entity Configurations と Subordinate Statements は、Trust Chain の不可欠な構成要素であるため、peer_trust_chain header parameter を含んではならない。このヘッダーパラメータの使用は OPTIONAL である。

5. Metadata

本セクションは、Entities に関する metadata の表現方法と使用方法を定義する。各 Entity Type に適用可能な、既存の OpenID Connect および OAuth 2.0 の metadata 標準を使用する。

セクション3.1で述べたとおり、Entity の metadata は Entity Statement の metadata Claim に置かれ、その値はJSONオブジェクトである。このオブジェクトのメンバー名は、セクション5.1で規定される Entity Type Identifiers である。各 Entity Type Identifier に続く metadata データ構造はJSONオブジェクトであり、空のJSONオブジェクト {} であってもよい。これは、Superiors が必要な metadata 値を提供する場合に起こり得る。

metadata データ構造におけるトップレベルのJSONオブジェクトメンバーは、null を除く任意のJSON値を使用してもよい。null の使用は禁止される。これは、null 値を持つメンバーと、省略されたメンバーとを混同することによって実装上の誤りが生じやすいためである。

5.1. Entity Type Identifiers

Entity Type Identifier は、フェデレーション参加者の Entity Type と、その Entity Type の metadata 形式を一意に識別する。本セクションでは federation_entity の Entity Type Identifier、および OpenID Connect と OAuth 2.0 の Federation Entities のための識別子を定義する。

OpenID Connect および OAuth 2.0 のフェデレーションの範囲外のユースケースを支援するために、追加の Entity Type Identifiers を定義してもよい。

5.1.1. Federation Entity

Entity Type Identifier は federation_entity である。

以下で定義される Federation Entity のプロパティのいずれかを含む Entities は、この Entity Type を使用しなければならない。次の Federation Entity プロパティを定義する：

federation_fetch_endpoint\ OPTIONAL。セクション8.1で記述される fetch endpoint。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。Intermediate Entities と Trust Anchors は federation_fetch_endpoint を公開しなければならない。Leaf Entities は公開してはならない。

federation_list_endpoint\ OPTIONAL。セクション8.2で記述される list endpoint。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。Intermediate Entities と Trust Anchors は federation_list_endpoint を公開しなければならない。Leaf Entities は公開してはならない。

federation_resolve_endpoint\ OPTIONAL。セクション8.3で記述される resolve endpoint。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。任意の federation Entity は federation_resolve_endpoint を公開してもよい。

federation_trust_mark_status_endpoint\ OPTIONAL。セクション8.4で記述される Trust Mark Status endpoint。Trust Mark Issuers は federation_trust_mark_status_endpoint を公開することが望ましい。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。

federation_trust_mark_list_endpoint\ OPTIONAL。セクション8.5で記述される endpoint。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。Trust Mark Issuers は federation_trust_mark_list_endpoint を公開してもよい。

federation_trust_mark_endpoint\ OPTIONAL。セクション8.6で記述される endpoint。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。Trust Mark Issuers は federation_trust_mark_endpoint を公開してもよい。

federation_historical_keys_endpoint\ OPTIONAL。セクション8.7で記述される endpoint。このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。すべての Federation Entities は federation_historical_keys_endpoint を公開してもよい。

endpoint_auth_signing_alg_values_supported\ OPTIONAL。セクション8.8で述べるとおり、federation endpoints に対して認証する際に private_key_jwt で使用されるJWTに署名するためにサポートする JWS アルゴリズム（alg 値）の一覧を含むJSON配列。このエントリが省略されても、デフォルトのアルゴリズムは暗黙に示されない。サーバーは RS256 をサポートすることが望ましい。none の値は使用してはならない。

追加の Federation Entity プロパティを定義して使用してもよい。

各 Federation Entity が、セクション5.2.2で定義される organization_name Claim を含むことが推奨される。

以下は federation_entity Entity Type の metadata の非規範的な例である：

"federation_entity": {
  "federation_fetch_endpoint":
    "https://amanita.caesarea.example.com/federation_fetch",
  "federation_list_endpoint":
    "https://amanita.caesarea.example.com/federation_list",
  "federation_trust_mark_status_endpoint": "https://amanita.caesarea.example.com/status",
  "federation_trust_mark_list_endpoint": "https://amanita.caesarea.example.com/trust_marked_list",
  "organization_name": "Ovulo Mushroom",
  "organization_uri": "https://amanita.caesarea.example.com"
}

Figure 7: Example of federation_entity Entity Type

5.1.2. OpenID Connect Relying Party

Entity Type Identifier は openid_relying_party である。

OpenID Connect Dynamic Client Registration 1.0 のセクション2、[OpenID.RP.Choices]、およびセクション5.2で定義されるすべてのパラメータが適用される。さらに、IANA の “OAuth Dynamic Client Registration Metadata” レジストリに登録された追加パラメータも適用される。ただし、registration responses でのみ使用するためにレジストリで定義されているパラメータ（例：client_secret）は除く。

加えて、次のRP metadata パラメータを定義する：

client_registration_types\ RECOMMENDED。RPがサポートする client registration types を指定する文字列配列。本仕様で定義する値は automatic と explicit である。本仕様による制限なしに、追加の値を定義して使用してもよい。

以下は、RPの Entity Configuration の JWT Claims Set の非規範的な例である：

{
  "iss": "https://openid.sunet.se",
  "sub": "https://openid.sunet.se",
  "iat": 1516239022,
  "exp": 1516298022,
  "metadata": {
    "openid_relying_party": {
      "application_type": "web",
      "redirect_uris": [
        "https://openid.sunet.se/rp/callback"
      ],
      "organization_name": "SUNET",
      "logo_uri": "https://www.sunet.se/sunet/images/32x32.png",
      "grant_types": [
        "authorization_code",
        "implicit"
      ],
      "signed_jwks_uri": "https://openid.sunet.se/rp/signed_jwks.jose",
      "jwks_uri": "https://openid.sunet.se/rp/jwks.json",
      "client_registration_types": ["automatic"]
    }
  },
  "jwks": {
    "keys": [
      {
        "alg": "RS256",
        "e": "AQAB",
        "kid": "key1",
        "kty": "RSA",
        "n": "pnXBOusEANuug6ewezb9J_...",
        "use": "sig"
      }
    ]
  },
  "authority_hints": [
    "https://edugain.org/federation"
  ]
}

Figure 8: Example Relying Party Entity Configuration JWT Claims Set

5.1.3. OpenID Connect OpenID Provider

Entity Type Identifier は openid_provider である。

OpenID Connect Discovery 1.0 のセクション3、およびセクション5.2で定義されるすべてのパラメータが適用される。さらに、IANA の “OAuth Authorization Server Metadata” レジストリに登録された追加パラメータも適用される。例えば、require_signed_request_object および require_pushed_authorization_requests の metadata パラメータを使用できる。

openid_provider metadata の issuer パラメータ値は、Federation Entity identifier（Entity Configuration 内の iss パラメータ）と一致しなければならない。

加えて、次のOP metadata パラメータを定義する：

client_registration_types_supported\ RECOMMENDED。OPがサポートする client registration types を指定する文字列配列。本仕様で定義する値は automatic と explicit である。本仕様による制限なしに、追加の値を定義して使用してもよい。

federation_registration_endpoint\ OPTIONAL。OPのフェデレーション固有の Dynamic Client Registration Endpoint のURL。OPが Explicit Client Registration Endpoint をサポートする場合、このURLは https スキームを使用しなければならず、port、path、query parameter を含んでもよい；fragment を含んではならない。セクション12.2で記述される Explicit Client Registration をOPがサポートする場合、このClaimは REQUIRED である。

以下は、OPの Entity Configuration の JWT Claims Set の非規範的な例である：

{
  "iss": "https://op.umu.se",
  "sub": "https://op.umu.se",
  "exp": 1568397247,
  "iat": 1568310847,
  "metadata": {
    "openid_provider": {
      "issuer": "https://op.umu.se",
      "signed_jwks_uri": "https://op.umu.se/openid/signed_jwks.jose",
      "authorization_endpoint": "https://op.umu.se/openid/authorization",
      "client_registration_types_supported": [
        "automatic",
        "explicit"
      ],
      "grant_types_supported": [
        "authorization_code",
        "implicit",
        "urn:ietf:params:oauth:grant-type:jwt-bearer"
      ],
      "id_token_signing_alg_values_supported": [
        "ES256",
        "RS256"
      ],
      "logo_uri": "https://www.umu.se/img/umu-logo-left-neg-SE.svg",
      "op_policy_uri": "https://www.umu.se/en/legal-information/",
      "response_types_supported": [
        "code",
        "code id_token",
        "token"
      ],
      "subject_types_supported": [
        "pairwise",
        "public"
      ],
      "token_endpoint": "https://op.umu.se/openid/token",
      "federation_registration_endpoint": "https://op.umu.se/openid/fedreg",
      "token_endpoint_auth_methods_supported": [
        "client_secret_post",
        "client_secret_basic",
        "client_secret_jwt",
        "private_key_jwt"
      ],
      "pushed_authorization_request_endpoint": "https://op.umu.se/openid/par",
      "request_object_signing_alg_values_supported": [
        "ES256",
        "RS256"
      ],
      "token_endpoint_auth_signing_alg_values_supported": [
        "ES256",
        "RS256"
      ]
    }
  },
  "authority_hints": [
    "https://umu.se"
  ],
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "dEEtRjlzY3djcENuT01wOGxrZlkxb3RIQVJlMTY0...",
        "kty": "RSA",
        "n": "x97YKqc9Cs-DNtFrQ7_vhXoH9bwkDWW6En2jJ044yH..."
      }
    ]
  }
}

Figure 9: Example OpenID Provider Entity Configuration JWT Claims Set

5.1.4. OAuth Authorization Server

Entity Type Identifier は oauth_authorization_server である。

[RFC8414] のセクション2およびセクション5.2で定義されるすべてのパラメータが適用される。さらに、IANA の “OAuth Authorization Server Metadata” レジストリに登録された追加パラメータも適用される。

oauth_authorization_server metadata の issuer パラメータ値は、Federation Entity identifier（Entity Configuration 内の iss Claim）と一致しなければならない。

5.1.5. OAuth Client

Entity Type Identifier は oauth_client である。

OAuth 2.0 Dynamic Client Registration Protocol のセクション2およびセクション5.2で定義されるすべてのパラメータが適用される。さらに、IANA の “OAuth Dynamic Client Registration Metadata” レジストリに登録された追加パラメータも適用される。

5.1.6. OAuth Protected Resource

Entity Type Identifier は oauth_resource である。セクション5.2で定義されるパラメータが適用される。加えて、デプロイメントは [RFC9728] で定義される protected resource metadata パラメータを使用してもよい。

5.2. Common Metadata Parameters

本セクションは、以下に記す JWK Sets に関する例外を除き、上記すべての Entity Types で使用してもよい追加の metadata パラメータを定義する。

5.2.1. Extensions for JWK Sets in Entity Metadata

以下の metadata パラメータは、Entity の Entity Type に対する JWK Sets を取得する方法を定義する。これらの鍵は、Entity Statements に署名するために使用される Federation Entity Keys（Entity Statement の jwks Claim にあり、metadata Claim の中ではない）とは別物である点に注意すること。JWK Sets に対するこれらの拡張は、federation_entity Entity Type の metadata では使用してはならない。

signed_jwks_uri\ OPTIONAL。当該 Entity Type の payload として、Entity の JWK Set ドキュメントを持つ署名付きJWTを参照するURL。このURLは https スキームを使用しなければならない。JWTは Federation Entity Key を用いて署名されなければならない。このURLからの成功レスポンスは、HTTPステータスコード200および content type application/jwk-set+jwt を使用しなければならない。署名鍵と暗号化鍵が両方存在する場合、参照される JWK Set 内のすべての鍵に対して、各鍵の意図した用途を示す use（public key use）パラメータ値が REQUIRED である。

Signed JWK Set JWTs は、[RFC8725] のセクション3.11に従い、JWT間の混同を防ぐため、typ ヘッダーパラメータを jwk-set+jwt に設定して明示的に型付けされる。typ ヘッダーパラメータがない、または異なる typ 値を持つ Signed JWK Set JWTs は拒否しなければならない。

Signed JWK Set JWTs は、使用した署名鍵の Key ID に等しい値を持つ kid（Key ID）ヘッダーパラメータを含まなければならない。

payload での使用が指定される Claims を以下に示す（keys 以外はすべて [RFC7519] で定義される）：

keys\ REQUIRED。JWK Set 内のJWK値の配列。

iss\ REQUIRED。"iss"（issuer）Claim は、JWTを発行した主体を識別する。

sub\ REQUIRED。本Claimは鍵の所有者を識別する。issuer と同一であることが望ましい。

iat\ OPTIONAL。数値。このSigned JWK Set が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。

exp\ OPTIONAL。数値。本Claimは、JWTが無効になる時刻を識別する。[RFC7519] に従い、Seconds Since the Epoch で表す。

[RFC7519] ではさらに多くのClaimsが定義されるが、この文脈では aud は、issuer が audience を知り得ないため使用しないことが望ましい。nbf と jti はこの文脈で特に有用ではなく、省略することが望ましい。

上記のClaimsと併せて、追加のClaimsを定義して使用してもよい。

以下は、Signed JWK Set の JWT Claims Set の非規範的な例である。

{
  "keys": [
    {
      "kty": "RSA",
      "kid": "SUdtUndEWVY2cUFDeDV5NVlBWDhvOXJodVl2am1mNGNtR0pmd",
      "n": "y_Zc8rByfeRIC9fFZrDZ2MGH2ZnxLrc0ZNNwkNet5rwCPYeRF3Sv
            5nihZA9NHkDTEX97dN8hG6ACfeSo6JB2P7heJtmzM8oOBZbmQ90n
            EA_JCHszkejHaOtDDfxPH6bQLrMlItF4JSUKua301uLB7C8nzTxm
            tF3eAhGCKn8LotEseccxsmzApKRNWhfKDLpKPe9i9PZQhhJaurwD
            kMwbWTAeZbqCScU1o09piuK1JDf2PaDFevioHncZcQO74Obe4nN3
            oNPNAxrMClkZ9s9GMEd5vMqOD4huXlRpHwm9V3oJ3LRutOTxqQLV
            yPucu7eHA7her4FOFAiUk-5SieXL9Q",
      "e": "AQAB"
    },
    {
      "kty": "EC",
      "kid": "MFYycG1raTI4SkZvVDBIMF9CNGw3VEZYUmxQLVN2T21nSWlkd3",
      "crv": "P-256",
      "x": "qAOdPQROkHfZY1daGofOmSNQWpYK8c9G2m2Rbkpbd4c",
      "y": "G_7fF-T8n2vONKM15Mzj4KR_shvHBxKGjMosF6FdoPY"
    }
  ],
  "iss": "https://example.org/op",
  "sub": "https://example.org/op",
  "iat": 1618410883
}

Figure 10: Example JWT Claims Set for a Signed JWK Set

jwks_uri\ OPTIONAL。当該 Entity Type のための Entity の鍵を含むJWK Set ドキュメントを参照するURL。このURLは https スキームを使用しなければならない。署名鍵と暗号化鍵が両方存在する場合、参照される JWK Set 内のすべての鍵に対して、各鍵の意図した用途を示す use（public key use）パラメータ値が REQUIRED である。

jwks\ OPTIONAL。当該 Entity Type のための Entity の鍵を含む、値渡しの JSON Web Key Set ドキュメント。署名鍵と暗号化鍵が両方存在する場合、JWK Set 内のすべての鍵に対して、各鍵の意図した用途を示す use（public key use）パラメータ値が REQUIRED である。本パラメータは、何らかの理由で signed_jwks_uri パラメータを使用できない参加者が利用することを想定している。jwks を使用する利点は、Entity Type のための Entity の鍵が Trust Chains に記録される点である。

5.2.1.1. Usage of jwks, jwks_uri, and signed_jwks_uri in Entity Metadata

Entity Configuration が、その OpenID Connect または OAuth 2.0 の metadata において、jwks、jwks_uri、signed_jwks_uri のいずれか1つだけを使用することが推奨される。しかし、Entity が複数のフェデレーションに属し、フェデレーションごとに使用すべき JWK Set 表現に関するポリシーが異なる場合など、複数の JWK Set 表現を使用することが望ましい状況もあり得る。また、一部の実装はこれらすべての表現を理解できない可能性がある点にも注意すること。例えば、OpenID Connect のOP metadata では jwks_uri は確実に理解される一方で、signed_jwks_uri はすべての OpenID Connect 実装で理解されるとは限らない。そのため、理解される JWK Set 表現も併せて存在する必要がある。

複数の JWK Set 表現が使用される場合、各表現に含まれる鍵は同一であることが望ましい。特定の瞬間に完全に同一でない場合（鍵ローテーションの運用中に起こり得る）であっても、実装は適時にそれらを整合させなければならない。

5.2.2. Informational Metadata Extensions

以下の metadata パラメータは、Entity Type に対する Entity の情報を取得する方法を定義する。

organization_name\ OPTIONAL。この Entity を所有する組織を表す、人間が読める名称。所有者が自然人である場合、例えばその人の名前であってもよい。この情報は公開される点に注意すること。

display_name\ OPTIONAL。End-User に提示するための、Entity の人間が読める名称。

description\ OPTIONAL。End-User に提示できる、Entity の人間が読める簡潔な説明。

keywords\ OPTIONAL。この Entity に適用される検索キーワード、タグ、カテゴリ、またはラベルを表す、1つ以上の文字列を持つJSON配列。

contacts\ OPTIONAL。この Entity の連絡担当者を表す、1つ以上の文字列を持つJSON配列。名前、メールアドレス、説明、電話番号などを含んでもよい。

logo_uri\ OPTIONAL。文字列。この Entity のロゴを指すURL。ロゴを含むファイルは、Web経由で閲覧できる形式で公開することが望ましい。

policy_uri\ OPTIONAL。この Entity に関連する条件やポリシーの文書のURL。

information_uri\ OPTIONAL。End-User が閲覧できる、この Entity に関する追加情報の文書のURL。

organization_uri\ OPTIONAL。この Entity を所有する組織のWebページのURL。

これらの metadata パラメータは、Entity が使用する任意の Entity Types の metadata に存在してもよい。

6. Federation Policy

6.1. Metadata Policy

Trust Anchors と Intermediate Entities は、自身の Subordinates の metadata に適用されるポリシーを定義してもよい。

フェデレーションは、特定の目的を達成するために metadata policies を利用できる。例えば、OpenID Connect の Entities からなるフェデレーションでは、OpenID Providers と Relying Parties が公開する metadata が相互運用可能であることを確保する、という目的があり得る。別の目的として、例えば FAPI のようなセキュリティプロファイルに Entity metadata を準拠させる、ということもあり得る。

metadata_policy は、metadata パラメータのJSON値型を確認し検証するためのものではない点に注意すること。そのような検査は、成功裏に解決された Trust Chain から Entity metadata を取得した後、アプリケーション層で実施することが望ましい。

6.1.1. Principles

OpenID Federation は、以下の特性を持つ metadata policies の定義を可能にする：

Hierarchy\ いったん metadata パラメータに適用された metadata policy は、Trust Chain の中で下位に位置する Intermediate Entities によって撤回されたり、より緩いものにされたりはできない。

ポリシーの階層性は、あるフェデレーションの Trust Anchor が別のフェデレーションで Intermediate Entity として機能する、ネストしたフェデレーションでも維持される。

Equal Opportunity\ Trust Chain 内のすべての Superior Entities は、同等の立場で metadata policies に寄与できる。ただし、その寄与の結果として得られる結合後の metadata policy が論理的に健全であることが条件である。例えば、任意の Intermediate は、Superiors が指定したものに対して、Subordinates の metadata をさらに制限できる。Intermediate が metadata policies の間に矛盾を導入した場合、その Trust Chain は無効と見なされる。

Specificity and Granularity\ metadata と同様に、metadata policy は特定の Entity Type に結び付けられる。これにより、異なる Entity Types のポリシーは互いに独立し、隔離される。

ポリシーは個々の metadata パラメータのレベルで表現される。したがって、ある Entity Type の特定の metadata パラメータに対するポリシーは、他のパラメータに対するポリシーから独立し、隔離される。

Trust Anchor または Intermediate Entity が、ある Entity Type に対する metadata policy を定義する場合、そのポリシーは Trust Chain 内にある当該型のすべての Subordinate Entities の metadata に適用される。

ポリシーを定義する場所は Subordinate Statement であり、かつ各 Entity Statement は特定の subject に対して発行されるため、フェデレーション権威は、すべての Subordinates に共通の Entity Type metadata policy を定義することも、特定の Subordinates に対して特定の Entity Type metadata policies を定義することも選べる。

Operation\ ポリシーは、与えられた metadata パラメータに対して、検査、変更、またはその両方を行うことによって動作する。本仕様は、セクション6.1.3.1で述べる標準の演算子セットを定義する。フェデレーションは、本セクションおよびセクション6.1.3とセクション6.1.3.2で述べる原則に適合する限り、追加の演算子を指定して使用してもよい。

Integral Metadata Enforcement\ metadata policies の解決と適用は、セクション10で述べるとおり、Trust Chain 解決プロセスの不可欠な一部である。

これは次を意味する：

• 例えば Intermediate Entity のポリシーが Superior のポリシーと衝突するなどのエラーにより、metadata policy の解決に失敗する Trust Chain は無効と見なされる。
• 解決済みの metadata policies に準拠しない Entity metadata を持つ Trust Chain は無効と見なされる。

Determinism\ Trust Chain における metadata policies の解決と適用は決定的である。したがって Trust Anchors と Intermediate Entities は、予測可能で再現可能な結果を示すポリシーを定式化できる。

6.1.2. Structure

Metadata policies は、セクション3.3で述べるとおり、Subordinate Statement の metadata_policy Claim に表現される。Claim の値はJSONオブジェクトであり、そのデータ構造は3階層から成る：

Entity Types に対する metadata policies。

最上位（第1階層）には、1つ以上のメンバーが含まれ、それぞれがある Entity Type に対する metadata policy を表す。各メンバー名は、セクション5.1で規定される Entity Type Identifier（例：openid_relying_party）である。メンバー値は、metadata パラメータに対するポリシーを含むJSONオブジェクトである。

当該 Entity Type の metadata パラメータに対するポリシー。

第2階層には、1つ以上のメンバーが含まれ、それぞれが当該 Entity Type のある metadata パラメータに対するポリシーを表す。各メンバー名は metadata パラメータ名（例：id_token_signed_response_alg）である。名前は、セクション14で述べる言語タグを含んでもよい。この場合、当該 metadata パラメータに対するポリシーは、指定された言語タグを持つ metadata パラメータにのみ適用される。メンバー値は、ポリシー演算子を含むJSONオブジェクトである。

当該 Entity Type の metadata パラメータポリシーに対する演算子。

第3階層には、1つ以上のメンバーが含まれ、それぞれがセクション6.1.3で述べるとおり、metadata パラメータを検査または変更する演算子を表す。ここには、各演算子の仕様で定義されるとおり、互いに組み合わせることが許される演算子だけを同時に含めることができる。

metadata_policy Claim のデータ構造の3階層のいずれにおいても、JSONオブジェクトのメンバー名が重複して存在してはならない。

以下は、id_token_signed_response_alg という metadata パラメータに対する単一のポリシーから成り、default と one_of の2つの演算子を用いる OpenID Relying Party 向け metadata policy の非規範的な例である：

"metadata_policy" : {
  "openid_relying_party": {
    "id_token_signed_response_alg": {
      "default": "ES256",
      "one_of": ["ES256", "ES384", "ES512"]
    }
  }
}

Figure 11: Example metadata_policy Claim

6.1.3. Operators

metadata policy operator は次の性質を持つ：

• 一意で大文字小文字を区別する名称によって識別される。
• 単一の metadata パラメータに作用する。演算子の定義は、サポートが必須である metadata パラメータのJSON値型を指定しなければならず、さらにサポートが任意であるJSON値型を指定してもよい。metadata パラメータがサポートされないJSON値型を持つ場合、演算子はポリシーエラーを生成しなければならない。
• metadata パラメータに対する作用は、値の検査、値の変更、またはその両方になり得る。演算子の作用が値の変更である場合、演算子は metadata パラメータを削除してもよい。
• 演算子の作用はJSON値によって設定される。演算子の定義は、サポートが必須である演算子設定用JSON値型を指定しなければならず、さらにサポートが任意であるJSON値型を指定してもよい。演算子がサポートされないJSON値型で設定された場合、演算子はポリシーエラーを生成しなければならない。
• 組み合わせ可能な他の演算子を宣言しなければならない。これは、セクション6.1.2およびセクション6.1.4で述べるとおり、個別の metadata パラメータポリシーにも、マージ後の metadata パラメータポリシーにも適用される。組み合わせは無条件であってもよいし、2つの演算子の設定値が一定の条件を満たすことを要求する条件付きであってもよい。許されない組み合わせは、ポリシーエラーを生成しなければならない。
• metadata パラメータに適用される順序を宣言しなければならない。順序は絶対順序、または当該 metadata パラメータポリシー内の他の演算子に対する相対順序である。値を検査する演算子は一般に、値の変更を行う演算子の後に適用することが望ましい。
• Trust Chain 内で複数の Subordinate Statement が、同一の演算子を用いる同一の Entity Type の metadata パラメータに対するポリシーを持つ場合に、より同一またはより制約的なポリシーを生成するために演算子の値をマージすることを許すかどうか、許すならその条件を指定しなければならない。そのような演算子値マージの結果における順序は定義されない。演算子がそのようなマージを許さない場合、演算子はポリシーエラーを生成しなければならない。

演算子は、null 値を持つ metadata パラメータを出力してはならない。

JSON文法に適合していても、[RFC8259] のセクション4および8にいう JSON の相互運用可能な利用を表していない metadata パラメータやポリシーは、予測不能な挙動を引き起こし得る点に注意すること。

6.1.3.1. Standard Operators

本仕様は、以下の metadata policy operator を定義する：

6.1.3.1.1. value

Name: value

Action: metadata パラメータは演算子の値に設定されなければならない。演算子の値が null の場合、metadata パラメータは削除されなければならない。

metadata パラメータのJSON値：

• サポート必須：string, number, boolean, array

演算子のJSON値：

• サポート必須：string, number, boolean, array, null

metadata パラメータポリシー内の他の演算子との組み合わせ：

• add と組み合わせてもよい。この場合、add の値は value の値の部分集合でなければならない。
• value の値が null でない場合、default と組み合わせてもよい。
• one_of と組み合わせてもよい。この場合、value の値は one_of の値のいずれかでなければならない。
• subset_of と組み合わせてもよい。この場合、value の値は subset_of の値の部分集合でなければならない。
• superset_of と組み合わせてもよい。この場合、value の値は superset_of の値の上位集合でなければならない。
• essential と組み合わせてもよい。ただし value が null で essential が true の場合を除く。

Order of application: First

Operator value merge: 演算子値が等しい場合にのみ許可される。等しくない場合、ポリシーエラーを生成しなければならない。

6.1.3.1.2. add

Name: add

Action: 本演算子の値（単数または複数）は metadata パラメータに追加されなければならない。metadata パラメータに既に存在する値は再度追加してはならない。metadata パラメータが存在しない場合、演算子の値で初期化されなければならない。

metadata パラメータのJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

演算子のJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

metadata パラメータポリシー内の他の演算子との組み合わせ：

• value と組み合わせてもよい。この場合、add の値は value の値の部分集合でなければならない。
• default と組み合わせてもよい。
• subset_of と組み合わせてもよい。この場合、add の値は subset_of の値の部分集合でなければならない。
• superset_of と組み合わせてもよい。
• essential と組み合わせてもよい。

Order of application: After value.

Operator value merge: 2つの add 演算子の値をマージした結果は、値の和集合である。

6.1.3.1.3. default

Name: default

Action: metadata パラメータが存在しない場合、演算子の値に設定されなければならない。metadata パラメータが存在する場合、この演算子は影響しない。

metadata パラメータのJSON値：

• サポート必須：string, number, boolean, array

演算子のJSON値：

• サポート必須：string, number, boolean, array

metadata パラメータポリシー内の他の演算子との組み合わせ：

• value の値が null でない場合、value と組み合わせてもよい。
• add と組み合わせてもよい。
• one_of と組み合わせてもよい。
• subset_of と組み合わせてもよい。
• superset_of と組み合わせてもよい。
• essential と組み合わせてもよい。

Order of application: After add.

Operator value merge: 演算子値は等しくなければならない。等しくない場合、ポリシーエラーを生成しなければならない。

6.1.3.1.4. one_of

Name: one_of

Action: metadata パラメータが存在する場合、その値は演算子値に列挙されたもののいずれかでなければならない。

metadata パラメータのJSON値：

• サポート必須：string
• サポート任意：object, number

演算子のJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

metadata パラメータポリシー内の他の演算子との組み合わせ：

• value と組み合わせてもよい。この場合、value の値は one_of の値のいずれかでなければならない。
• default と組み合わせてもよい。
• essential と組み合わせてもよい。

Order of application: After default.

Operator value merge: 2つの one_of 演算子の値をマージした結果は、演算子値の共通部分である。共通部分が空の場合、ポリシーエラーにならなければならない。

6.1.3.1.5. subset_of

Name: subset_of

Action: metadata パラメータが存在する場合、演算子の値と metadata パラメータの値との共通部分に設定される。結果として共通部分が空配列 [] になり得る点に注意すること。また、subset_of は値の検査であると同時に、値の変更になり得る点にも注意すること。

metadata パラメータのJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

演算子のJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

metadata パラメータポリシー内の他の演算子との組み合わせ：

• value と組み合わせてもよい。この場合、value の値は subset_of の値の部分集合でなければならない。
• add と組み合わせてもよい。この場合、add の値は subset_of の値の部分集合でなければならない。
• default と組み合わせてもよい。
• superset_of と組み合わせてもよい。この場合、subset_of の値は superset_of の値の上位集合でなければならない。
• essential と組み合わせてもよい。

Order of application: After one_of.

Operator value merge: 2つの subset_of 演算子の値をマージした結果は、演算子値の共通部分である。結果として共通部分が空配列 [] になり得る点に注意すること。

6.1.3.1.6. superset_of

Name: superset_of

Action: metadata パラメータが存在する場合、その値は演算子値で指定された値を含まなければならない。上位集合を数学的に定義するため、等しい場合も含まれる。

metadata パラメータのJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

演算子のJSON値：

• サポート必須：文字列の配列（array of strings）
• サポート任意：オブジェクトの配列（array of objects）、数値の配列（array of numbers）

metadata パラメータポリシー内の他の演算子との組み合わせ：

• value と組み合わせてもよい。この場合、value の値は superset_of の値の上位集合でなければならない。
• add と組み合わせてもよい。
• default と組み合わせてもよい。
• subset_of と組み合わせてもよい。この場合、subset_of の値は superset_of の値の上位集合でなければならない。
• essential と組み合わせてもよい。

Order of application: After subset_of.

Operator value merge: 2つの superset_of 演算子の値をマージした結果は、演算子値の和集合である。

6.1.3.1.7. essential

Name: essential

Action: 本演算子の値が true の場合、metadata パラメータは存在しなければならない。false の場合、metadata パラメータは任意であり、存在しなくてもよい。essential 演算子が省略された場合、値が false の essential を含めたのと等価である。

metadata パラメータのJSON値：

• サポート必須：string, number, boolean, object, array

演算子のJSON値：

• サポート必須：boolean

metadata パラメータポリシー内の他の演算子との組み合わせ：

• value と組み合わせてもよい。ただし value が null で essential が true の場合を除く。
• 他の任意の演算子と組み合わせてもよい。

Order of application: Last

Operator value merge: 2つの essential 演算子の値をマージした結果は、論理和（OR）である。

6.1.3.1.8. Notes on Operators

「集合が等しい」ことを要求する metadata パラメータポリシーは、subset_of と superset_of の演算子を、同一の配列値で組み合わせることにより表現できる。

一部のJSONライブラリはJSONオブジェクトの比較に問題を抱える可能性がある。このため、JSONオブジェクトである metadata 値に対して metadata policy を適用するサポートが必須となるのは essential 演算子のみである。essential は値の比較を必要としない。値の比較が必要となる add、one_of、subset_of、superset_of（いずれもJSON配列に作用する）については、JSONオブジェクトの配列に対するサポートは OPTIONAL である。また、value と default についても、値およびデフォルトのマージには演算子値と既存値の比較が必要となるため、JSONオブジェクトに対するサポートは OPTIONAL である。

[RFC7591] で定義される OAuth 2.0 client の metadata パラメータ scope は、スペース区切りの文字列値の並びを表す文字列として表現されるが、ポリシー演算子（default、subset_of、superset_of など）によっては文字列配列として扱い、処理されるべきである。結果として得られる scope metadata パラメータは、個々の scope 値をスペースで区切った文字列であり、含まれる scope 値は、scope パラメータに対して metadata 演算子を適用して得られた値配列から取られる。

以下の表は、essential と subset_of のポリシー演算子の組み合わせが、入力となる metadata パラメータ値の違いによりどのような出力を生成するかを示す対応表である。最後の行に示すとおり、metadata パラメータが存在せず、かつ任意（voluntary）と指定されている場合には subset_of の検査はスキップされる点に注意すること。

Table 1: Examples of Outputs with Combinations of essential and subset_of for Different Inputs\ Policy Metadata Parameter\ essential subset_of input output\ true [a,b,c] [a,e] [a]\ false [a,b,c] [a,e] [a]\ true [a,b,c] [d,e] []\ false [a,b,c] [d,e] []\ true [a,b,c] no parameter error\ false [a,b,c] no parameter no parameter

6.1.3.2. Additional Operators

フェデレーションは、セクション6.1.1およびセクション6.1.3の原則に適合する追加の metadata policy operator を指定して使用してもよい。

追加の演算子は、セクション6.1.3.1で定義される標準演算子に対する適用順序に関して、次の規則を守らなければならない：

• metadata パラメータを変更する追加の演算子は、セクション6.1.3.1.1で規定される value 演算子の後に適用されなければならない。
• metadata パラメータを検査する追加の演算子は、セクション6.1.3.1.7で規定される essential 演算子の前に適用されなければならない。

実装は、理解できない追加の演算子を無視しなければならない。ただし、演算子名が metadata_policy_crit Subordinate Statement Claim に含まれている場合は例外であり、その場合、当該演算子は理解され処理されなければならない。metadata_policy_crit に列挙された追加の演算子が理解できない、または処理できない場合、これはポリシーエラーを生成しなければならず、その Trust Chain は無効と見なされなければならない。

6.1.4. Enforcement

本セクションは、Trust Chain に対する metadata policy の解決、および Trust Chain の subject である Federation Entity の metadata への適用について述べる。

metadata policy の解決または適用の過程でポリシーエラー、あるいは別のエラーに遭遇した場合、その Trust Chain は無効と見なされなければならない。

6.1.4.1. Resolution

Trust Chain の metadata policy は、チェーンを構成する Subordinate Statements に含まれる（存在する）metadata_policy Claims の並びによって決定される。

解決プロセスはまず、セクション6.1.3.1で定義される標準演算子以外のすべてのポリシー演算子名のうち、critical と宣言されているものの名前を収集しなければならない。これは、Trust Chain 内の各 Subordinate Statement に対して、セクション3.3で述べる任意の metadata_policy_crit Claim を確認し、その中に見つかった演算子名を収集することで行う。

解決プロセスは、その後 Subordinate Statements を反復処理することで進む。この反復処理の順序は極めて重要であり、最も上位の Entity によって発行された Subordinate Statement から開始し、Trust Chain subject の Immediate Superior によって発行された Subordinate Statement で終わらなければならない。

反復処理中の重要な作業の1つが metadata_policy の検証である。検証は、データ構造が適合していること、およびすべての metadata パラメータポリシーが、セクション6.1.3で述べるとおり、かつ演算子の仕様に従って、許可された演算子の組み合わせのみを含むことを保証しなければならない。また、収集された metadata_policy_crit の値に含まれる名前を持ちながら、理解および処理できない演算子が metadata_policy に含まれていないことも保証されなければならない。検証に失敗した場合はポリシーエラーを生成しなければならない。

各反復ステップで、Subordinate Statement に metadata_policy Claim が存在するかを確認しなければならない。最初に見つかった metadata_policy は上記のとおり検証され、その後、現在の metadata policy（current metadata policy）となる。

反復の結果、次の下位（subordinate）の metadata_policy Claim が得られた場合、それも上記のとおり検証され、その後、現在の metadata policy にマージされなければならない。

マージは、セクション6.1.2で述べる metadata_policy データ構造の3階層それぞれで、最上位から順に行われる：

• Entity Types に対する metadata policies。
• ある Entity Type に対する metadata パラメータのポリシー。
• ある Entity Type に対する metadata パラメータポリシーの演算子。

Entity Types に対する metadata policies の階層では、マージは次のとおり進む：

• 次の下位の metadata_policy Claim が、現在の metadata policy に既に存在する Entity Type の metadata policy を含む場合、それは次の下位階層（metadata パラメータポリシー）の規則に従ってマージされなければならない。
• 次の下位の metadata_policy Claim に存在し、現在の metadata policy には存在しない Entity Type の metadata policy は、現在の metadata policy にコピーされなければならない。

metadata パラメータポリシーの階層では、マージは次のとおり進む：

• ある metadata パラメータポリシーが、現在の Entity Type の metadata policy に既に存在する場合、それは次の下位階層（metadata パラメータポリシーの演算子）の規則に従ってマージされなければならない。結果として得られた metadata パラメータポリシーが、セクション6.1.3で述べるとおり、かつ演算子の仕様に従って、許可されない組み合わせを含む場合、ポリシーエラーを生成しなければならない。
• 現在の Entity Type の metadata policy に存在しない下位の metadata パラメータポリシーは、現在のものにコピーされなければならない。

演算子の階層では、マージは次のとおり進む：

• ある演算子が、現在の metadata パラメータポリシーに既に存在する場合、下位の演算子の値は、セクション6.1.3で述べるとおり、かつ演算子の仕様に従ってマージされなければならない。演算子値マージが許可されない、またはそれ以外の理由で不成功である場合、ポリシーエラーを生成しなければならない。
• 現在の metadata パラメータポリシーに存在しない下位の演算子は、現在のものにコピーされなければならない。

metadata_policy Claim を持つ Subordinate Statements がこれ以上見つからない場合、現在の metadata policy が Trust Chain に対して解決された（resolved）metadata policy となる。

6.1.4.2. Application

Trust Chain subject についての Subordinate Statement が metadata Claim を含む場合、それはまず、セクション3.1の Claim 定義で述べるとおり適用されなければならない。その後にのみ、解決された metadata policy の適用に進むことができる。

セクション6.1.4.1で述べるプロセスにより、Trust Chain 内に metadata_policy Claim を含む Subordinate Statements が見つからなかった場合、Trust Chain subject の metadata は、その Entity Configuration に見つかる metadata に単純に解決される。ただし、Immediate Superior が提供する metadata パラメータはそれに適用される。

Trust Chain に対して metadata policy が解決された場合、対応する metadata パラメータポリシーが存在するすべての Entity Type metadata および metadata パラメータについて、含まれるポリシー演算子は、セクション6.1.3で述べるとおり、かつ演算子の仕様に従って適用されなければならない。演算子は、各演算子に指定される絶対順序または相対順序によって決定される順番で、metadata パラメータに適用されなければならない。

metadata policies の適用によって不正、またはその他の誤りがある Resolved Metadata が生じた場合、その metadata は破損しているものと見なされ、使用してはならない。

Trust Chain subject は、フェデレーションの metadata policies を適用した結果として得られる Resolved Metadata をサポートでき、かつそれに準拠できることを検証する責任を負う。例えば、結果として得られた Resolved Metadata が要求する暗号アルゴリズムがサポートされていることの確認がこれに含まれ得る。同様に、Trust Chain subject は、自身の Entity Types に必要な metadata パラメータがすべて存在すること、および Resolved Metadata 内の metadata 値がすべて有効であることを検証しなければならない。metadata policies が変更される場合、Trust Chain subjects は、サポートおよび準拠について再評価が必要になる可能性がある。

6.1.5. Metadata Policy Example

以下は、OpenID relying party に対する Trust Chain の metadata policies を解決し適用する非規範的な例である。

まず、フェデレーションの Trust Anchor がRP向けに持つ metadata_policy から開始する：

"metadata_policy": {
  "openid_relying_party": {
    "grant_types": {
       "default": [
        "authorization_code"
      ],
      "subset_of": [
        "authorization_code",
        "refresh_token"
      ],
      "superset_of": [
        "authorization_code"
      ]
    },
    "token_endpoint_auth_method": {
      "one_of": [
        "private_key_jwt",
        "self_signed_tls_client_auth"
      ],
      "essential": true
    },
    "token_endpoint_auth_signing_alg" : {
      "one_of": [
        "PS256",
        "ES256"
      ]
    },
    "subject_type": {
      "value": "pairwise"
    },
    "contacts": {
      "add": [
        "helpdesk@federation.example.org"
      ]
    }
  }
}

Figure 12: Example Metadata Policy of a Trust Anchor for RPs

次に、Intermediate 組織が、下位のRP向けに持つ metadata_policy と、その Immediate Subordinate のRP向けに設定した metadata 値を示す：

{
  "metadata_policy": {
    "openid_relying_party": {
      "grant_types": {
        "subset_of": [
          "authorization_code"
        ]
      },
      "token_endpoint_auth_method": {
        "one_of": [
          "self_signed_tls_client_auth"
        ]
      },
      "contacts": {
        "add": [
          "helpdesk@org.example.org"
        ]
      }
    }
  },
  "metadata": {
    "openid_relying_party": {
      "sector_identifier_uri": "https://org.example.org/sector-ids.json",
      "policy_uri": "https://org.example.org/policy.html"
    }
  }
}

Figure 13: Example Metadata Policy and Metadata Values of an Intermediate Entity for RPs

Intermediate Entity の例のRP metadata policy を Trust Anchor のRP metadata policy にマージすると、Trust Chain に対して次のポリシーが生成される：

{
  "grant_types": {
    "default": [
      "authorization_code"
    ],
    "superset_of": [
      "authorization_code"
    ],
    "subset_of": [
      "authorization_code"
    ]
  },
  "token_endpoint_auth_method": {
    "one_of": [
      "self_signed_tls_client_auth"
    ],
    "essential": true
  },
  "token_endpoint_auth_signing_alg": {
    "one_of": [
      "PS256",
      "ES256"
    ]
  },
  "subject_type": {
    "value": "pairwise"
  },
  "contacts": {
    "add": [
      "helpdesk@federation.example.org",
      "helpdesk@org.example.org"
    ]
  }
}

Figure 14: Example Merged Metadata Policy for RPs

Trust Chain の subject は Leaf Entity であり、Entity Configuration において次のRP metadata を公開している：

"metadata": {
  "openid_relying_party": {
    "redirect_uris": [
      "https://rp.example.org/callback"
    ],
    "response_types": [
      "code"
    ],
    "token_endpoint_auth_method": "self_signed_tls_client_auth",
    "contacts": [
      "rp_admins@rp.example.org"
    ]
  }
}

Figure 15: Example Entity Configuration RP Metadata

Intermediate Entity が Immediate Subordinates に対して指定した metadata 値が Trust Chain subject の metadata に適用される。その後、マージされた metadata policy が適用され、次の解決済み（resolved）のRP metadata が得られる：

{
  "redirect_uris": [
    "https://rp.example.org/callback"
  ],
  "grant_types": [
    "authorization_code"
  ],
  "response_types": [
    "code"
  ],
  "token_endpoint_auth_method": "self_signed_tls_client_auth",
  "subject_type": "pairwise",
  "sector_identifier_uri": "https://org.example.org/sector-ids.json",
  "policy_uri": "https://org.example.org/policy.html",
  "contacts": [
    "rp_admins@rp.example.org",
    "helpdesk@federation.example.org",
    "helpdesk@org.example.org"
  ]
}

Figure 16: The Resulting Resolved RP Metadata for the Trust Chain Subject

6.2. Constraints

Trust Anchors と Intermediate Entities は、自身の Subordinates に適用される制約条件（constraining criteria）を定義してもよい。これらは、セクション3.3で述べるとおり、Subordinate Statement の constraints Claim に表現される。

次の制約パラメータを定義する：

• max_path_length\ OPTIONAL。制約を設定する Entity と Trust Chain subject の間に存在できる Intermediate Entities の最大数を指定する整数。
• naming_constraints\ OPTIONAL。Subordinate Entities の Entity Identifiers のURIに対する制限を指定するJSONオブジェクト。制限は、許可されるURI名の部分木（permitted）と除外されるURI名の部分木（excluded）の観点で定義される。
• allowed_entity_types\ OPTIONAL。文字列の Entity Type Identifier の配列。Entity Type Identifiers はセクション5.1で定義される。この制約は、Subordinate Entities が持つことを許される Entity Types、ひいては metadata を指定する。

追加の制約パラメータを定義して使用してもよい。理解できない場合は無視されなければならない。

以下は、制約セットの非規範的な例である：

{
  "max_path_length": 2,
  "naming_constraints": {
    "permitted": [
      ".example.com"
    ],
    "excluded": [
      "east.example.com"
    ]
  },
  "allowed_entity_types": [
    "openid_provider",
    "openid_relying_party"
  ]
}

Figure 17: Example Set of Constraints

Entity の Trust Chain を解決する際、各 Subordinate Statement に constraints Claim が存在する場合、それは独立に適用されなければならない。制約の検査のいずれかが失敗した場合、その Trust Chain は無効と見なされなければならない。

6.2.1. Max Path Length

max_path_length 制約は、制約を設定する Trust Anchor または Intermediate と Trust Chain subject の間に存在できる Intermediate Entities の最大許容数を指定する。

max_path_length が0である制約は、この Entity と Trust Chain subject の間に Intermediates が存在してはならないことを示す。max_path_length 制約は、0以上の値を持たなければならない。

max_path_length 制約を省略することは、既に有効な制約以外に追加の制約がないことを意味する。

次の4つの Entity Statements からなる Trust Chain があると仮定する：

• Leaf Entity（LE）の Entity Configuration
• Intermediate 1（I1）がLEについて発行した Subordinate Statement
• Intermediate 2（I2）がI1について発行した Subordinate Statement
• Trust Anchor（TA）がI2について発行した Subordinate Statement

このとき、例えば次の場合に Trust Chain は制約を満たす：

• TA が 2 以上の max_path_length を指定する。
• TA が max_path_length=2 を指定し、I2 が max_path_length=1 を指定し、I1 が max_path_length 制約を省略する。
• TA と I2 のいずれも max_path_length 制約を指定せず、I1 が max_path_length=0 を設定する。

例えば次の場合に Trust Chain は制約を満たさない：

• TA が max_path_length を1に設定する。

6.2.2. Naming Constraints

naming_constraints メンバーは、Trust Chain 内の Subordinate Entities の Entity Identifiers が配置されなければならないURI名前空間を指定する。

制限はURI名の部分木の観点で定義され、naming_constraints メンバー内の permitted および／または excluded メンバーを用いる。各メンバーには、許可する／除外する名前の配列が含まれる。excluded のリストにある制限に一致する名前は、permitted に現れる情報に関係なく無効である。

本仕様は、[RFC5280] のセクション4.2.1.10で指定されるドメイン名制約の構文を使用する。同セクションで述べられているとおり、ドメイン名制約は完全修飾ドメイン名として指定されなければならず、ホストまたはドメインを指定してもよい。例として "host.example.com" および ".example.com" がある。ドメイン名制約がピリオドで始まる場合、1つ以上のラベルを付加して展開してもよい。すなわち、ドメイン名制約 ".example.com" は host.example.com と my.host.example.com の両方で満たされる。しかし、ドメイン名制約 ".example.com" は "example.com" では満たされない。ドメイン名制約がピリオドで始まらない場合、それはホストを指定する。[RFC5280] と同様に、ドメイン名制約はURIのホスト部分に適用される。

6.2.3. Entity Type Constraints

allowed_entity_types 制約は、Trust Chain 内の Subordinate Entities の metadata の Entity Types として受け入れ可能なものを指定する。allowed_entity_types 制約がない場合、任意の Entity Type が許可されることを意味する。セクション5.1.1で規定される federation_entity Entity Type Identifier は常に許可され、制約に含めてはならない。制約が空配列 [] の場合、federation_entity Entity Type のみが許可されることを意味する。

Trust Chain Resolution の間に allowed_entity_types 制約を適用するため、allowed_entity_types 制約に列挙されていないすべての Entity Types は、subject の Entity Configuration 内の metadata Claim から削除されなければならない。federation_entity Entity Type は削除してはならない。これは、Metadata Policies を適用する前であり、かつ direct superior の Subordinate Statement からの Metadata を適用した後に行われなければならない。

7. Trust Marks

セクション1.2の定義によれば、Trust Marks は、認定機関（accreditation authority）が定める基準集合への適合を表すステートメントである。本仕様で使用される Trust Marks は署名付きJWTである。Entity Statements は、セクション3.2の trust_marks Claim 定義で述べるとおり、Trust Marks を含んでもよい。

Trust Marks は、Trust Mark Issuer と呼ばれるフェデレーションで認定された権威によって署名される。すべての Trust Mark Issuers は、フェデレーション内で Entity として表現されなければならない。Trust Mark Issuer がフェデレーションに受け入れられている事実は、Trust Anchor の Entity Configuration における trust_mark_issuers Claim によって表現される。

Trust Mark issuer が Trust Marks に署名するために用いる鍵は、その Federation Entity Keys の集合に含まれる秘密鍵のいずれかでなければならない。

Trust Mark JWTs は、使用した署名鍵の Key ID を値とする kid（Key ID）ヘッダーパラメータを含まなければならない。

フェデレーションは、Entity に自己署名の Trust Marks を許可してもよい点に注意すること。

Trust Mark JWTs は、[RFC8725] のセクション3.11に従い、JWT間の混同を防ぐため typ ヘッダーパラメータを用いて明示的に型付けされなければならない。typ ヘッダーパラメータ値は、使用される trust framework が当該種別の Trust Mark に対してより具体的なメディアタイプ値を定義している場合を除き、trust-mark+jwt でなければならない。typ ヘッダーパラメータを持たない、または認識できない typ 値を持つ Trust Marks は拒否されなければならない。

7.1. Trust Mark Claims

Trust Mark に含まれる Claims は次のとおりである：

• iss\ REQUIRED。文字列。Trust Mark の issuer の Entity Identifier。
• sub\ REQUIRED。文字列。この Trust Mark が適用される Entity の Entity Identifier。
• trust_mark_type\ REQUIRED。trust_mark_type Claim は、Trust Marks において Trust Mark の型の識別子を提供するために用いられる。Trust Mark の型識別子は、複数のフェデレーションにまたがって衝突耐性を持たなければならない。識別子値は、発行されたフェデレーション、またはそれが発行された trust framework を一意に識別するURLを用いて構成することが推奨される。これは、異なるフェデレーションで発行された Trust Marks が識別子の衝突を起こすことを防ぐために必要である。
• iat\ REQUIRED。数値。この Trust Mark が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。
• logo_uri\ OPTIONAL。文字列。発行された Trust Mark のロゴを参照するURL。このフィールドの値は有効な画像ファイルを指していなければならない。
• exp\ OPTIONAL。数値。この Trust Mark が有効でなくなる時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。存在しない場合、Trust Mark は失効しないことを意味する。
• ref\ OPTIONAL。セクション13.5で定義される ref（reference）Claim は、Trust Mark の発行に関する人間が読める情報を参照するURLを提供するために Trust Marks で用いられる。
• delegation\ OPTIONAL。セクション13.6で定義される delegation Claim は、特定の識別子を持つ Trust Marks を発行する権利を委任するために用いられる。値は、セクション7.2.1で定義される Trust Mark delegation JWT である。

上記の Claims と併せて、追加の Claims を定義して使用してもよい。

7.2. Trust Mark Delegation

何らかの理由で、Trust Mark の所有者が、管理上または技術上の要件により Trust Mark Issuer と一致しない場合がある。例として車両検査を挙げる。車両検査は多くの国で国家または地方政府によって義務付けられる手続であり、安全性、排出ガス、またはその両方に関する規制に適合していることを確認するために車両を検査する。検査を義務付ける機関が検査を実施するわけではなく、代わりに商業会社が検査を実施し、その後に Trust Mark を発行する場合がある。

Trust Mark type の所有者ではない Trust Mark Issuer によって Trust Mark が発行された事実は、Trust Mark に delegation Claim を含めることによって表現される。その値は、セクション7.2.1で定義される Trust Mark delegation JWT である。

Federation Operator が、ある Trust Mark type identifier を持つ Trust Marks が、Trust Mark type identifier の所有者ではない Trust Mark Issuers によって正当にも発行され得ることを知っている場合、所有者および Trust Mark type identifier に関する情報は、Trust Anchor の Entity Configuration における trust_mark_owners Claim に含められなければならない。

7.2.1. Trust Mark Delegation JWT

Trust Mark Delegation JWT は、Trust Mark Owner によって発行され、特定の識別子を持つ Trust Marks の正当な委任先 issuer を識別する署名付きJWTである。

Trust Mark delegation JWT は、[RFC8725] のセクション3.11に従い、JWT間の混同を防ぐため、typ ヘッダーパラメータを trust-mark-delegation+jwt に設定して明示的に型付けされなければならない。typ ヘッダーパラメータを持たない、または異なる typ 値を持つ Trust Mark delegation JWTs は拒否されなければならない。これは Federation Entity Key で署名される。

Trust Mark delegation JWTs は、使用した署名鍵の Key ID を値とする kid（Key ID）ヘッダーパラメータを含まなければならない。

Trust Mark delegation JWT に含まれる Claims は次のとおりである：

• iss\ REQUIRED。文字列。Trust Mark の所有者（owner）。
• sub\ REQUIRED。文字列。この委任が適用される Entity。
• trust_mark_type\ REQUIRED。文字列。Trust Mark の型の識別子。
• iat\ REQUIRED。数値。この委任が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。
• exp\ OPTIONAL。数値。この委任が有効でなくなる時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。存在しない場合、委任は失効しないことを意味する。
• ref\ OPTIONAL。文字列。Trust Mark に関連する人間が読める情報を指すURL。

上記の Claims と併せて、追加の Claims を定義して使用してもよい。

7.2.2. Validating a Trust Mark Delegation

Trust Mark Delegation の検証とは、特定の署名付きJWTで表現される Trust Mark Delegation のインスタンスを検証することを意味する。

以後、「delegation」は Trust Mark Delegation JWT の略記として用いられる。以下で参照される Trust Anchor は、Trust Mark Issuer に対する信頼確立において成功裏に使用された Trust Anchor である。

delegation を検証するため、以下の検証手順を実行しなければならない。これらの検証のいずれかが失敗した場合、検証プロセス全体が失敗し、delegation は無効と見なされる点に注意すること。

• delegation は署名付きJWTでなければならない。
• delegation は trust-mark-delegation+jwt の値を持つ typ ヘッダーを持たなければならない。
• delegation は、受け入れ可能なJWS署名アルゴリズムである値を持つ alg（algorithm）ヘッダーパラメータを持たなければならず、none であってはならない。
• Trust Mark Issuer の Entity Identifier は、delegation の sub の値と一致しなければならない。
• Trust Mark Owner の Entity Identifier は、delegation の iss の値と一致しなければならない。
• 現在時刻は、delegation の iat（issued at）Claim が表す時刻より後でなければならない（時計のずれを考慮して小さな猶予を認めることがある）。
• 現在時刻は、delegation の exp（expiration）Claim が表す時刻より前でなければならない（時計のずれを考慮して小さな猶予を認めることがある）。
• delegation の trust_mark_type Claim の値は、Trust Mark の trust_mark_type Claim の値と同一でなければならない。
• delegation の署名は、ヘッダーパラメータ kid の値で識別される Trust Mark Owner の鍵のいずれかを用いて検証できなければならない。Trust Mark Owner の鍵は、Trust Anchor の Entity Configuration における trust_mark_owners Claim で見つけることができる。

7.3. Validating a Trust Mark

Trust Mark の検証とは、特定の署名付きJWTで表現される Trust Mark のインスタンスを検証することを意味する。これは、特定種類の Trust Mark が存在可能かどうかを検証することではない。

Trust Mark Issuer に対する信頼は、trust mark に対する信頼より先に確立される。Trust Mark Issuer が信頼できない場合、その trust mark も信頼できない。したがって Entity は、以下で定義する Trust Mark の検証プロセスを開始する前に、セクション10で定義される手順に従って Trust Mark Issuer に対する信頼を確立しなければならない。

以後、「instance」は Trust Mark instance の略記として用いられる。以下で参照される Trust Anchor は、Trust Mark Issuer に対する信頼確立において成功裏に使用された Trust Anchor である。

instance を検証するため、以下の検証手順を実行しなければならない。これらの検証のいずれかが失敗した場合、検証プロセス全体が失敗し、instance は無効と見なされる点に注意すること。

• instance は署名付きJWTでなければならない。
• instance は trust-mark+jwt の値を持つ typ ヘッダーを持たなければならない。
• instance は、受け入れ可能なJWS署名アルゴリズムである値を持つ alg（algorithm）ヘッダーパラメータを持たなければならず、none であってはならない。
• instance を含む Entity Configuration を持つ Entity の Entity Identifier は、Trust Mark の sub Claim の値と一致しなければならない。
• 現在時刻は、iat（issued at）Claim が表す時刻より後でなければならない（時計のずれを考慮して小さな猶予を認めることがある）。
• 現在時刻は、exp（expiration）Claim が表す時刻より前でなければならない（時計のずれを考慮して小さな猶予を認めることがある）。
• instance の署名は、kid の値で識別される Trust Mark issuer の鍵を用いて検証できなければならない。
• instance の trust_mark_type が Trust Anchor の Entity Configuration における trust_mark_owners Claim に現れる場合、instance は delegation Claim を含まなければならない。
• instance に delegation Claim が存在する場合、その Claim の値はセクション7.2.2に従って検証されなければならない。

Trust Marks が失効時刻なしに発行される場合、Trust Mark Status endpoint および／または Trust Marked Entities Listing endpoint など、それらを検証するための仕組みを提供することが推奨される。

上記の Trust Marks の検証手順の代替として、実装は、セクション8.4で述べるとおり、Trust Mark Status endpoint を用いて Trust Mark が有効であり、なおアクティブであることを確認してもよい。

7.4. Trust Mark Examples

Entity Configuration の JWT Claims Set における trust_marks Claim の非規範的な例は以下のとおりである：

{
  "iss": "https://rp.example.it/spid/",
  "sub": "https://rp.example.it/spid/",
  "iat": 1516239022,
  "exp": 1516298022,
  "trust_marks": [
    {
      "trust_mark_type": "https://www.spid.gov.it/certification/rp",
      "trust_mark": "eyJ0eXAiOiJ0cnVzdC1tYXJrK2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoia29
        zR20yd3VaaDlER21OeEF0a3VPNDBwUGpwTDMtakNmMU4tcVBPLVllVSJ9.
        eyJpc3MiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdCIsInN1YiI6Imh0dHBzOi8
        vcnAuZXhhbXBsZS5pdC9zcGlkIiwiaWF0IjoxNTc5NjIxMTYwLCJ0cnVzdF9tYX
        JrX3R5cGUiOiJodHRwczovL3d3dy5zcGlkLmdvdi5pdC9jZXJ0aWZpY2F0aW9uL
        3JwIiwibG9nb191cmkiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdC90aGVtZXMv
        Y3VzdG9tL2FnaWQvbG9nby5zdmciLCJyZWYiOiJodHRwczovL2RvY3MuaXRhbGl
        hLml0L2RvY3Mvc3BpZC1jaWUtb2lkYy1kb2NzL2l0L3ZlcnNpb25lLWNvcnJlbn
        RlLyJ9.
        L_pSh1InEiFAcs3E-1HBM7fNZYwF5ru3UGA_8yc80dGS3sszfA_sbj4AoW_zAJW
        QBdZpjxnHBBmybYXFrfZBcqxcedsrvUYrmbt1nPYxbUE54fRRoZK-sJmVqh1GzS
        an5nOmkxuAtMinU8k_-aWnPWj83sYe2AzT2mMgkXiz8zhda3jZm8hoxZ4jR6B0Y
        AvbMlq2pPWO5OWKdZhiFRMSprwh0GYluQkK0j1aLNMGXD3keMJd2zEoWX9D7w2f
        XShAA48W3cNhuXyBVnCoum1K4IWK3s_fx4nIkp6W-V4jCBOpxp7Yo8LZ30o_xpE
        OzGTIECGWVR86azOAlwVC8XSiAA"
    }
  ],
  "metadata": {
    "openid_relying_party": {
      "application_type": "web",
      "client_registration_types": ["automatic"],
      "client_name": "https://rp.example.it/spid/",
      "contacts": [
        "ops@rp.example.it"
      ]
    }
  }
}

Figure 18: Trust Mark in an Entity Configuration JWT Claims Set

国の公的サービスプロファイルへの適合を証明するものとしてRPに対して発行された、デコード済み Trust Mark payload の例：

{
  "trust_mark_type": "https://mushrooms.federation.example.com/openid_relying_party/public/",
  "iss": "https://epigeo.tm-issuer.example.it",
  "sub": "https://porcino.example.com/rp",
  "iat": 1579621160,
  "organization_name": "Porcino Mushrooms & Co.",
  "policy_uri": "https://porcino.example.com/privacy_policy",
  "tos_uri": "https://porcino.example.com/info_policy",
  "service_documentation": "https://porcino.example.com/api/v1/get/services",
  "ref": "https://porcino.example.com/documentation/manuale_operativo.pdf"
}

Figure 19: Trust Mark for a National Profile

未成年ユーザーのデータ管理規則への適合を証明するものとしてRPに対して発行された、デコード済み Trust Mark payload の例：

{
  "trust_mark_type": "https://mushrooms.federation.example.com/openid_relying_party/private/under-age",
  "iss": "https://trustissuer.pinarolo.example.it",
  "sub": "https://vavuso.example.com/rp",
  "iat": 1579621160,
  "organization_name": "Pinarolo Suillus luteus",
  "policy_uri": "https://vavuso.example.com/policy",
  "tos_uri": "https://vavuso.example.com/tos"
}

Figure 20: Trust Mark Issued to an RP

2つの組織の Entities の間で締結された合意を証明する、デコード済み Trust Mark payload の例：

{
  "trust_mark_type": "https://mushrooms.federation.example.com/arrosto/agreements",
  "iss": "https://agaricaceae.example.it",
  "sub": "https://coppolino.example.com",
  "iat": 1579621160,
  "logo_uri": "https://coppolino.example.com/sgd-cmyk-150dpi-90mm.svg",
  "organization_type": "public",
  "id_code": "123456",
  "email": "info@coppolino.example.com",
  "organization_name#it": "Mazza di Tamburo",
  "policy_uri#it": "https://coppolino.example.com/privacy_policy",
  "tos_uri#it": "https://coppolino.example.com/info_policy",
  "service_documentation": "https://coppolino.example.com/api/v1/get/services",
  "ref": "https://agaricaceae.example.it/documentation/agaricaceae.pdf"
}

Figure 21: Trust Mark Attesting to an Agreement Between Entities

セキュリティプロファイルへの適合を主張する、デコード済み Trust Mark payload の例：

{
  "trust_mark_type": "https://mushrooms.federation.example.com/ottimo/commestibile",
  "iss": "https://cantharellus.cibarius.example.org",
  "sub": "https://gallinaccio.example.com/op",
  "iat": 1579621160,
  "logo_uri": "https://cantharellus.cibarius/static/images/cantharellus-cibarius.svg",
  "ref": "https://cantharellus.cibarius/cantharellus/cibarius"
}

Figure 22: Trust Mark Asserting Conformance to a Security Profile

デコード済みの自己署名 Trust Mark の例：

{
  "trust_mark_type": "https://mushrooms.federation.example.com/trust-marks/self-signed",
  "iss": "https://amanita.muscaria.example.com",
  "sub": "https://amanita.muscaria.example.com",
  "iat": 1579621160,
  "logo_uri": "https://amanita.muscaria.example.com/img/amanita-mus.svg",
  "ref": "https://amanita.muscaria.example.com/uploads/cookbook.zip"
}

Figure 23: Self-Signed Trust Mark

Trust Marks のための第三者認定機関の例：

{
  "iss": "https://swamid.se",
  "sub": "https://umu.se/op",
  "iat": 1577833200,
  "exp": 1609369200,
  "trust_mark_type": "https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf"
}

Figure 24: Third-Party Accreditation Authority for Trust Marks

7.5. Trust Mark Delegation Example

別のEntityを代表してTrust Marksを発行するEntityによってTrust Markが発行されるケースの、Entity Configuration の JWT Claims Set における trust_marks Claim の非規範的な例である。Trust Markの所有者ではない Trust Mark Issuer によって Trust Mark が発行された事実は、Trust Mark に delegation Claim を含めることで表現され、その値は署名付きJWTである。

{
  "delegation": "eyJ0eXAiOiJ0cnVzdC1tYXJrLWRlbGVnYXRpb24rand0IiwiYWxnIjoiUl
    MyNTYiLCJraWQiOiJrb3NHbTJ3dVpoOURHbU54QXRrdU80MHBQanBMMy1qQ
    2YxTi1xUE8tWWVVIn0.
    eyJzdWIiOiJodHRwczovL3RtaS5leGFtcGxlLm9yZyIsInRydXN0X21hcmt
    fdHlwZSI6Imh0dHBzOi8vcmVmZWRzLm9yZy9zaXJ0ZmkiLCJpc3MiOiJodH
    RwczovL3RtX293bmVyLmV4YW1wbGUub3JnIiwiaWF0IjoxNzI1MTc2MzAyfQ.
    ao0rWGpVjEgpNyFxsKawps8q71eYnp78TzRdY4P52
    CT8QX6etXt-2L2Z1Vw5A6jx2mhjpPwWi_sOxfiOSA5TugJfN0Gbwj7teTzM
    0IMciuasCWgnLrKyLZjS147ZE50I9e9P8Ot8UQwhmXcLiuwsbDxSdqM4pVp
    75lfWnmzPH0L2pDZG5COFgIgSOAlK3TVMBOR8fziF-VmWNPzAfB0lSc-hjH
    -7q66GyT43o3Exnm6DsoLxyB8bxG99BQltLxURDT90CzM6szGcF3OG64Rbe
    0I4lT_LAOfvhlrRbT56eK4sJNCsbVbGnDBfFmyfB_HIeBMGP0L7T5JPMOUU
    9bjIlA",
  "iat": 1725176302,
  "trust_mark_type": "https://refeds.org/sirtfi",
  "sub": "https://entity.example.org",
  "exp": 1727768302,
  "iss": "https://tmi.example.org"
}

Figure 25: delegation を用いる Trust Mark の例。Trust Mark の JWT Claims Set のみを示す。

上記の "delegation" Claim に含まれる Trust Mark delegation JWT の JWS Header Parameters

{
  "typ": "trust-mark-delegation+jwt",
  "alg": "RS256",
  "kid": "kosGm2wuZh9DGmNxAtkuO40pPjpL3-jCf1N-qPO-YeU"
}

Figure 26: Trust Mark delegation JWT の JWS Header Parameters

上記の "delegation" Claim に含まれる Trust Mark delegation JWT の JWT Claims Set

{
  "sub": "https://tmi.example.org",
  "trust_mark_type": "https://refeds.org/sirtfi",
  "iss": "https://tm_owner.example.org",
  "iat": 1725176302
}

Figure 27: Trust Mark delegation JWT Claim Set

8. Federation Endpoints

Entity の federation endpoints は、セクション9で述べる configuration response から、または他の手段で見つけることができる。

すべての federation endpoints について、当初に指定されたもの以外の追加のリクエストパラメータを定義して使用してもよい。理解できない場合は無視されなければならない。

8.1. Fetching a Subordinate Statement

fetch endpoint は、Trust Chains を組み立てる際に Subordinate Statements を1つずつ収集するために用いられる。Subordinates を持つ Entity は fetch endpoint を公開しなければならない。Entity は、自身の Immediate Subordinates に関する Subordinate Statements を fetch endpoint 経由で公開しなければならない。

fetch endpoint の場所は、セクション5.1.1で定義される federation_fetch_endpoint パラメータとして、Entity の federation_entity metadata に公開される。この endpoint は Trust Chains の構築および検証で使用されるため、その場所は、Superiors からの metadata および metadata policies を適用できるようになる前に利用可能でなければならない。したがって、この endpoint は Subordinate Statements ではなく、Entity Configuration metadata に直接公開されなければならない。

Subordinate Statement を取得するには、問い合わせ先の Entity の識別子（issuer）、当該 Entity の fetch endpoint、そして Subordinate Statement の subject の Entity Identifier を知る必要がある。issuer は通常、当該 Subordinate Statement の subject の Immediate Superior である。

8.1.1. Fetch Subordinate Statement Request

client authentication を使用しない場合、リクエストは、application/x-www-form-urlencoded 形式でエンコードされた次のクエリパラメータを付けて fetch endpoint へ送る GET メソッドの HTTP リクエストでなければならない。リクエストは指定された issuer の fetch endpoint に対して行われる。

sub\ REQUIRED。要求している Subordinate Statement の subject の Entity Identifier。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、パラメータは POST ボディで渡されなければならない。

以下は、edugain.org から https://openid.sunet.se に関する Subordinate Statement を取得する HTTP GET リクエストの非規範的な例である：

GET /federation_fetch_endpoint?
sub=https%3A%2F%2Fopenid%2Esunet%2Ese HTTP/1.1
Host: edugain.org

Figure 28: Subordinate Statement の API Request

8.1.2. Fetch Subordinate Statement Response

成功レスポンスは、HTTP status code 200 と content type application/entity-statement+jwt を使用し、レスポンスが Entity Statement を含むことが明確でなければならない。エラーレスポンスの場合、内容はJSONオブジェクトであり、content type は application/json でなければならない。fetch endpoint が要求された sub パラメータに対するデータを提供できない場合、not_found エラーコードを返すことが推奨される。sub パラメータが発行元 Entity の Entity Identifier を参照している場合、invalid_request エラーコードを返すことが推奨される。エラーレスポンスについてはセクション8.9も参照すること。

以下は、fetch レスポンスの JWT Claims Set の非規範的な例である：

{
  "iss": "https://edugain.org",
  "sub": "https://openid.sunet.se",
  "exp": 1568397247,
  "iat": 1568310847,
  "source_endpoint": "https://edugain.org/federation_fetch_endpoint",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "dEEtRjlzY3djcENuT01wOGxrZlkxb3RIQVJlMTY0...",
        "kty": "RSA",
        "n": "x97YKqc9Cs-DNtFrQ7_vhXoH9bwkDWW6En2jJ044yH..."
      }
    ]
  },
  "metadata": {
    "federation_entity": {
      "organization_name": "SUNET"
    }
  },
  "metadata_policy": {
    "openid_provider": {
      "subject_types_supported": {
        "value": ["pairwise"]
      },
      "token_endpoint_auth_methods_supported": {
        "default": ["private_key_jwt"],
        "subset_of": ["private_key_jwt", "client_secret_jwt"],
        "superset_of": ["private_key_jwt"]
      }
    }
  }
}

Figure 29: Fetch Response JWT Claims Set

8.2. Subordinate Listings

listing endpoint は、Trust Anchor、Intermediate、または Trust Mark Issuer として動作する Federation Entities によって公開される。この endpoint は、Trust Anchor、Intermediate、または Trust Mark Issuer が Entity Statements を発行する対象である Immediate Subordinates を一覧化する。

Trust Mark Issuer としては、当該 endpoint を公開する issuer が後述のとおり Trust Mark filtering をサポートする場合、Trust Marks が発行され、かつ現在も有効である Immediate Subordinates を一覧化してもよい。

いずれの場合も、結果に含まれるリストは非常に大きくなり得る。

list endpoint の場所は、セクション5.1.1で定義される federation_list_endpoint パラメータとして、Entity の federation_entity metadata に公開される。この endpoint は Subordinate Statements ではなく、Entity Configuration metadata に直接公開されなければならない。

以下の例は、Subordinate listing endpoints を通じて発見・収集された、同一フェデレーションに属する Entities のツリー（Trust Anchor、Intermediate Entities、Leaf Entities を含む）を示す：

                       +----------------------+
                       |    Trust Anchor      |
                       +----------------------+
       +---------------+ Subordinate Listing  +--------------+
       |               +----------+-----------+              |
       |                          |                          |
       |                          |                          |
       |                          |                          |
       |                          |                          |
       |                          |                          |
+------v-------+       +----------v-----------+       +------v-------+
|     Leaf     |       |     Intermediate     |       |     Leaf     |
+--------------+       +----------------------+       +--------------+
                  +----+ Subordinate Listing  |
                  |    +------------+---------+
                  |                 |
                  |                 |
                  |                 |
       +----------v-----------+     |
       |     Intermediate     |     |
       +----------------------+     |
       | Subordinate Listing  |     |
       +-+---------+----------+     |
         |         |                |
         |         |                |
 +-------v--+     +v--------+    +--v------+
 |  Leaf    |     |  Leaf   |    |  Leaf   |
 +----------+     +---------+    +---------+

Figure 30: Subordinate Listing Endpoints を通じて収集されたフェデレーション内の Entities のツリー

8.2.1. Subordinate Listing Request

client authentication を使用しない場合、リクエストは、application/x-www-form-urlencoded 形式でエンコードされた次のクエリパラメータを付けて list endpoint へ送る GET メソッドの HTTP リクエストでなければならない。

entity_type\ OPTIONAL。このパラメータの値は Entity Type Identifier である。レスポンダが自身の Immediate Subordinates の Entity Types を知っている場合、結果は、指定された Entity Type を含むものだけを含むようにフィルタされなければならない。複数の entity_type パラメータが存在する場合（例：entity_type=openid_provider&entity_type=openid_relying_party）、結果は指定されたすべての Entity Types を含むようにフィルタされなければならない。レスポンダがこの機能をサポートしない場合、HTTP status code 400 と content type application/json を使用し、エラーコード unsupported_parameter を返さなければならない。

trust_marked\ OPTIONAL。Boolean。trust_marked パラメータが存在し、かつ true に設定されている場合、結果には、少なくとも1つの Trust Mark が発行され、かつ現在も有効である Immediate Subordinates のみが含まれる。レスポンダがこの機能をサポートしない場合、HTTP status code 400 を使用し、content type を application/json に設定し、エラーコード unsupported_parameter を返さなければならない。

trust_mark_type\ OPTIONAL。このパラメータの値は Trust Mark の型の識別子である。レスポンダが指定された Trust Mark type identifier を持つ Trust Marks を発行している場合、レスポンスのリストは、その Trust Mark type identifier が発行され、かつ現在も有効である Immediate Subordinates のみを含むようにフィルタされる。レスポンダがこの機能をサポートしない場合、HTTP status code 400 を使用し、content type を application/json に設定し、エラーコード unsupported_parameter を返さなければならない。

intermediate\ OPTIONAL。Boolean。intermediate パラメータが存在し、かつ true に設定されている場合、レスポンダが自身の Immediate Subordinates が Intermediates かどうかを知っているなら、結果はそれに応じてフィルタされなければならない。レスポンダがこの機能をサポートしない場合、HTTP status code 400 と content type application/json を使用し、エラーコード unsupported_parameter を返さなければならない。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、パラメータは POST ボディで渡されなければならない。

以下は、Immediate Subordinates の一覧を取得する HTTP GET リクエストの非規範的な例である：

GET /list HTTP/1.1
Host: openid.sunet.se

Figure 31: Subordinate Listing Request

8.2.2. Subordinate Listing Response

成功レスポンスは、HTTP status code 200 と content type application/json を使用し、既知の Entity Identifiers を含むJSON配列を含まなければならない。

エラーレスポンスはセクション8.9で定義される。

以下は、Immediate Subordinate Entities を含むレスポンスの非規範的な例である：

200 OK
Content-Type: application/json

[
  "https://ntnu.andreas.labs.uninett.no/",
  "https://blackboard.ntnu.no/openid/callback",
  "https://serviceprovider.andreas.labs.uninett.no/application17"
]

Figure 32: Subordinate Listing Response

8.3. Resolve Entity

Entity は resolve endpoint を使用して、ある Entity の Resolved Metadata、使用した Trust Chain、そして Trust Marks を取得してもよい。resolver は subject の Entity Configuration を取得し、subject の Entity Configuration から開始して指定された Trust Anchor の Entity Configuration で終わる Trust Chain を組み立て、Trust Chain を検証し、その後 Trust Chain に存在するすべてのポリシーを subject の metadata に適用する。

resolver は、フェデレーション内で認識される識別子を持つ、存在するすべての Trust Marks がアクティブであることを検証しなければならない。レスポンスセットには、検証済みの Trust Marks のみが含まれなければならない。

resolve endpoint の場所は、セクション5.1.1で定義される federation_resolve_endpoint パラメータとして、Entity の federation_entity metadata に公開される。

8.3.1. Resolve Request

client authentication を使用しない場合、リクエストは、application/x-www-form-urlencoded 形式でエンコードされた次のクエリパラメータを付けて resolve endpoint へ送る GET メソッドの HTTP リクエストでなければならない。

sub\ REQUIRED。解決済みデータを要求する Entity の Entity Identifier。

trust_anchor\ REQUIRED。metadata を解決する際に resolve endpoint が使用しなければならない Trust Anchor。値は Entity identifier である。

trust_anchor リクエストパラメータは複数回出現してもよく、その場合 resolver は、提供された Trust Anchor 値のいずれかを用いて成功した resolve レスポンスを返してもよい。

entity_type\ OPTIONAL。解決対象とする特定の Entity Type。値はセクション5.1で規定される Entity Type Identifier である。このパラメータが存在しない場合、すべての Entity Types が返される。

entity_type リクエストパラメータは複数回出現してもよく、その場合、entity_type パラメータ値に含まれる Entity Type Identifier を持つ各 Entity Type のデータが返される。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、パラメータは POST ボディで渡されなければならない。

以下は Resolve Request の非規範的な例である：

GET /resolve?
sub=https%3A%2F%2Fop.example.it%2Fspid&
entity_type=openid_provider&
trust_anchor=https%3A%2F%2Fswamid.se HTTP/1.1
Host: openid.sunet.se

Figure 33: Example Resolve Request

8.3.2. Resolve Response

成功レスポンスは、HTTP status code 200 と content type application/resolve-response+jwt を使用し、Resolved Metadata と検証済み Trust Marks を含まなければならない。

レスポンスは署名付きJWTであり、[RFC8725] のセクション3.11に従ってJWT間の混同を防ぐため、typ ヘッダーパラメータを resolve-response+jwt に設定して明示的に型付けされる。typ ヘッダーパラメータを持たない、または異なる typ 値を持つ Resolve responses は拒否されなければならない。これは Federation Entity Key で署名される。

resolve response JWT は、使用した署名鍵の Key ID を値とする kid（Key ID）ヘッダーパラメータを含まなければならない。

resolve response JWT は、trust_chain パラメータにおいて、subject から Trust Anchor までの Trust Chain を返さなければならない。

resolve response はまた、セクション4.3で規定されるとおり、trust_chain JWS header parameter において、issuer から Trust Anchor までの Trust Chain を返してもよい。これが存在する場合、Trust Chain 内の Trust Anchor は、関連するリクエストの trust_anchor パラメータで要求された Trust Anchor と一致しなければならない。

resolve response の中で自身の Trust Chain を提供する issuer は、レスポンスの subject と同一のフェデレーションの一部であることを明確にする。したがって、issuer と subject の双方の Trust Chains が利用でき、かつ Federation Historical Keys endpoint が Trust Anchor によって提供される場合、resolve response は長期的な証明となる。将来 Federation Keys が変更されても、常に検証できる。

レスポンスは、要求元がセクション8.8で述べるとおり認証されている場合にのみ aud Claim を含めることが望ましい。その場合、その値は要求元の Entity Identifier でなければならず、他の値を含めてはならない。

resolve response に含まれる Claims は次のとおりである：

iss\ REQUIRED。文字列。resolve response の issuer の Entity Identifier。

sub\ REQUIRED。文字列。resolve response の subject の Entity Identifier。

iat\ REQUIRED。数値。この解決結果が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。

exp\ REQUIRED。数値。この解決結果が有効でなくなる時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。resolve response の元となった Trust Chain の exp 値、およびレスポンスに含まれる任意の Trust Mark の exp 値の最小値でなければならない。

metadata\ REQUIRED。要求された型に従った、解決済み subject metadata を含むJSONオブジェクト。セクション3.1で定義される metadata 形式で表現される。

trust_chain\ REQUIRED。Trust Chain を構成する Entity Statements の並びを含む配列。subject から開始し、選択された Trust Anchor で終わる。

trust_marks\ OPTIONAL。各要素がセクション3.2で定義される Trust Mark を表すオブジェクトである配列。Trust Anchor によってその種の Trust Marks を発行することが信頼されている Trust Mark issuers によって発行された、有効な Trust Marks のみが resolver response に現れてよい。

上記の Claims と併せて、追加の Claims を定義して使用してもよい。

エラーレスポンスはセクション8.9で定義される。

以下は resolve response の JWT Claims Set の非規範的な例である：

{
  "iss": "https://resolver.spid.gov.it/",
  "sub": "https://op.example.it/spid/",
  "iat": 1516239022,
  "exp": 1516298022,
  "metadata": {
    "openid_provider": {
      "contacts": ["legal@example.it", "technical@example.it"],
      "logo_uri": "https://op.example.it/static/img/op-logo.svg",
      "op_policy_uri": "https://op.example.it/en/about-the-website/legal-information",
      "federation_registration_endpoint": "https://op.example.it/spid/fedreg",
      "authorization_endpoint": "https://op.example.it/spid/authorization",
      "token_endpoint": "https://op.example.it/spid/token",
      "response_types_supported": ["code", "code id_token", "token"],
      "grant_types_supported": [
        "authorization_code",
        "urn:ietf:params:oauth:grant-type:jwt-bearer"
      ],
      "subject_types_supported": ["pairwise"],
      "id_token_signing_alg_values_supported": ["RS256"],
      "issuer": "https://op.example.it/spid",
      "jwks": {
        "keys": [
          {
            "kty": "RSA",
            "use": "sig",
            "n": "1Ta-sE ...",
            "e": "AQAB",
            "kid": "FANFS3YnC9tjiCaivhWLVUJ3AxwGGz_98uRFaqMEEs"
          }
        ]
      }
    }
  },
  "trust_marks": [
    {
      "trust_mark_type": "https://www.spid.gov.it/certification/op/",
      "trust_mark": "eyJ0eXAiOiJ0cnVzdC1tYXJrK2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoiOH
        hzdUtXaVZmd1NnSG9mMVRlNE9VZGN5NHE3ZEpyS2ZGUmxPNXhoSElhMCJ9.
        eyJpc3MiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdCIsInN1YiI6Imh0dHBzOi
        8vb3AuZXhhbXBsZS5pdC9zcGlkLyIsImlhdCI6MTU3OTYyMTE2MCwidHJ1c3Rf
        bWFya190eXBlIjoiaHR0cHM6Ly93d3cuc3BpZC5nb3YuaXQvY2VydGlmaWNhdG
        lvbi9vcC8iLCJsb2dvX3VyaSI6Imh0dHBzOi8vd3d3LmFnaWQuZ292Lml0L3Ro
        ZW1lcy9jdXN0b20vYWdpZC9sb2dvLnN2ZyIsInJlZiI6Imh0dHBzOi8vZG9jcy
        5pdGFsaWEuaXQvaXRhbGlhL3NwaWQvc3BpZC1yZWdvbGUtdGVjbmljaGUtb2lk
        Yy9pdC9zdGFiaWxlL2luZGV4Lmh0bWwifQ.
        xyz-PDQ_..."
    }
  ],
  "trust_chain": [
    "eyJhbGciOiJSUzI1NiIsImtpZCI6Ims1NEhRdERpYnlHY3M5WldWTWZ2aUhm ...",
    "eyJhbGciOiJSUzI1NiIsImtpZCI6IkJYdmZybG5oQU11SFIwN2FqVW1BY0JS ...",
    "eyJhbGciOiJSUzI1NiIsImtpZCI6IkJYdmZybG5oQU11SFIwN2FqVW1BY0JS ..."
  ]
}

Figure 34: Resolve Response JWT Claims Set

8.3.3. Trust Considerations

本仕様の基本的な前提は、Entity は Trust Anchor と自分自身の能力以外には誰も直接信頼しないべきだということである。ただし、Entities は他の Entities に対して一種の推移的な信頼を確立してもよい。例えば Trust Anchor は自身の Immediate Subordinates が誰であるかを述べ、Entities はそれらを信頼することを選んでもよい。ある当事者が、別の Entity の resolve service を用いてフェデレーションデータを取得する場合、その当事者は、暗号的に保護された metadata の検証を正しく行い、真正な結果を提供することについて resolver を信頼している。

8.4. Trust Mark Status

これは、Entity に対して発行された Trust Mark Instance が現在もアクティブかどうかを判定できるようにする。問い合わせは Trust Mark Issuer に送られなければならない。

Trust Mark Status endpoint の場所は、セクション5.1.1で定義される federation_trust_mark_status_endpoint パラメータとして、Entity の federation_entity metadata に公開される。この endpoint は Subordinate Statements ではなく、Entity Configuration metadata に直接公開されなければならない。

8.4.1. Trust Mark Status Request

リクエストは、application/x-www-form-urlencoded 形式でエンコードされた次のパラメータを付けて Trust Mark Status endpoint に送る POST メソッドの HTTP リクエストでなければならない。

trust_mark\ REQUIRED。検証対象の Trust Mark。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、パラメータは POST ボディで渡されなければならない。

以下は Trust Mark Status request の非規範的な例である：

POST /federation_trust_mark_status_endpoint HTTP/1.1
Host: op.example.org
Content-Type: application/x-www-form-urlencoded

trust_mark=eyJ0eXAiOiJ0cnVzdC1tYXJrK2p3dCIsImFsZyI6 ...

Figure 35: Trust Mark Status Request

8.4.2. Trust Mark Status Response

成功レスポンスは、HTTP status code 200 と content type application/trust-mark-status-response+jwt を使用し、Trust Mark Status Response である署名付きJWTを含まなければならない。

Trust Mark Status Response は署名付きJWTであり、[RFC8725] のセクション3.11に従ってJWT間の混同を防ぐため、typ ヘッダーパラメータを trust-mark-status-response+jwt に設定して明示的に型付けされる。typ ヘッダーパラメータを持たない、または異なる typ 値を持つ Trust Mark Status Responses は拒否されなければならない。これは Federation Entity Key で署名される。

Trust Mark Status Response JWT は、使用した署名鍵の Key ID を値とする kid（Key ID）ヘッダーパラメータを含まなければならない。

Trust Mark Status JWT の JWT Claims Set は、次の Claims を含むJSONオブジェクトである：

iss\ REQUIRED。文字列。Trust Mark Status JWT の issuer の Entity Identifier。

iat\ REQUIRED。数値。この Trust Mark Status JWT が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。

trust_mark\ REQUIRED。文字列。この status response が対象とする Trust Mark JWT。

status\ REQUIRED。大文字小文字を区別する文字列で、Trust Mark のステータスを示す。本仕様が定義する値は次のとおり：

active\ Trust Mark はアクティブである。

expired\ Trust Mark は失効している。

revoked\ Trust Mark は失効（revoked）している。

invalid\ 署名検証に失敗した、または別のエラーが検出された。

上記に加えて、追加の status 値を定義して使用してもよい。\ 上記に加えて、追加の Trust Mark Status JWT Claims を定義して使用してもよい。

以下は、status が active のレスポンスの JWT Claims Set の非規範的な例である：

{
  "iss": "https://www.agid.gov.it",
  "trust_mark": "eyJ0eXAiOiJ0cnVzdC1tYXJrK2p3dCIsImFsZyI6IlJTMjU2Iiwia2
    lkIjoia29zR20yd3VaaDlER21OeEF0a3VPNDBwUGpwTDMtakNmMU4tcVBPLVllVSJ9.
    eyJpc3MiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdCIsInN1YiI6Imh0dHBzOi8
    vcnAuZXhhbXBsZS5pdC9zcGlkIiwiaWF0IjoxNTc5NjIxMTYwLCJ0cnVzdF9tYX
    JrX3R5cGUiOiJodHRwczovL3d3dy5zcGlkLmdvdi5pdC9jZXJ0aWZpY2F0aW9uL
    3JwIiwibG9nb191cmkiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdC90aGVtZXMv
    Y3VzdG9tL2FnaWQvbG9nby5zdmciLCJyZWYiOiJodHRwczovL2RvY3MuaXRhbGl
    hLml0L2RvY3Mvc3BpZC1jaWUtb2lkYy1kb2NzL2l0L3ZlcnNpb25lLWNvcnJlbn
    RlLyJ9.
    L_pSh1InEiFAcs3E-1HBM7fNZYwF5ru3UGA_8yc80dGS3sszfA_sbj4AoW_zAJW
    QBdZpjxnHBBmybYXFrfZBcqxcedsrvUYrmbt1nPYxbUE54fRRoZK-sJmVqh1GzS
    an5nOmkxuAtMinU8k_-aWnPWj83sYe2AzT2mMgkXiz8zhda3jZm8hoxZ4jR6B0Y
    AvbMlq2pPWO5OWKdZhiFRMSprwh0GYluQkK0j1aLNMGXD3keMJd2zEoWX9D7w2f
    XShAA48W3cNhuXyBVnCoum1K4IWK3s_fx4nIkp6W-V4jCBOpxp7Yo8LZ30o_xpE
    OzGTIECGWVR86azOAlwVC8XSiAA",
  "iat": 1759897995,
  "status": "active"
}

Figure 36: Active Trust Mark Status Response JWT Claims Set

以下は、status が revoked のレスポンスの JWT Claims Set の非規範的な例である：

{
  "iss": "https://www.agid.gov.it",
  "trust_mark": "eyJ0eXAiOiJ0cnVzdC1tYXJrK2p3dCIsImFsZyI6IlJTMjU2Iiwia2
    lkIjoia29zR20yd3VaaDlER21OeEF0a3VPNDBwUGpwTDMtakNmMU4tcVBPLVllVSJ9.
    eyJpc3MiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdCIsInN1YiI6Imh0dHBzOi8
    vcnAuZXhhbXBsZS5pdC9zcGlkIiwiaWF0IjoxNTc5NjIxMTYwLCJ0cnVzdF9tYX
    JrX3R5cGUiOiJodHRwczovL3d3dy5zcGlkLmdvdi5pdC9jZXJ0aWZpY2F0aW9uL
    3JwIiwibG9nb191cmkiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdC90aGVtZXMv
    Y3VzdG9tL2FnaIWQvbG9nby5zdmciLCJyZWYiOiJodHRwczovL2RvY3MuaXRhbGl
    hLml0L2RvY3Mvc3BpZC1jaWUtb2lkYy1kb2NzL2l0L3ZlcnNpb25lLWNvcnJlbn
    RlLyJ9.
    L_pSh1InEiFAcs3E-1HBM7fNZYwF5ru3UGA_8yc80dGS3sszfA_sbj4AoW_zAJW
    QBdZpjxnHBBmybYXFrfZBcqxcedsrvUYrmbt1nPYxbUE54fRRoZK-sJmVqh1GzS
    an5nOmkxuAtMinU8k_-aWnPWj83sYe2AzT2mMgkXiz8zhda3jZm8hoxZ4jR6B0Y
    AvbMlq2pPWO5OWKdZhiFRMSprwh0GYluQkK0j1aLNMGXD3keMJd2zEoWX9D7w2f
    XShAA48W3cNhuXyBVnCoum1K4IWK3s_fx4nIkp6W-V4jCBOpxp7Yo8LZ30o_xpE
    OzGTIECGWVR86azOAlwVC8XSiAA",
  "iat": 1759898057,
  "status": "revoked"
}

Figure 37: Revoked Trust Mark Status Response JWT Claims Set

Trust Mark Status request に対するエラーレスポンスはセクション8.9で定義される。

Trust Mark Issuer が、未知の Trust Mark、すなわち自分が発行していない、または認識していない Trust Mark のステータスに関するリクエストを受け取った場合、HTTP status code 404（Not found）で応答しなければならない。

8.5. Trust Marked Entities Listing

Trust Marked Entities Listing endpoint は Trust Mark Issuers によって公開され、Trust Marks が発行され、かつ現在も有効であるすべての Entities を一覧化する。

Trust Marked Entities Listing endpoint の場所は、セクション5.1.1で定義される federation_trust_mark_list_endpoint パラメータとして、Entity の federation_entity metadata に公開される。

8.5.1. Trust Marked Entities Listing Request

client authentication を使用しない場合、リクエストは、application/x-www-form-urlencoded 形式でエンコードされた次のクエリパラメータを付けて list endpoint へ送る GET メソッドの HTTP リクエストでなければならない。

trust_mark_type\ REQUIRED。Trust Mark の型の識別子。レスポンダが指定された Trust Mark type identifier を持つ Trust Marks を発行している場合、レスポンスのリストは、その Trust Mark type identifier が発行され、かつ現在も有効である Entities のみを含むようにフィルタされる。

sub\ OPTIONAL。Trust Mark が発行された先の Entity の Entity Identifier。レスポンスで得られるリストは、この値に一致する Entity のみを含むようにフィルタされなければならない。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、パラメータは POST ボディで渡されなければならない。

以下は Trust Marked Entities の一覧を取得する HTTP GET リクエストの非規範的な例である：

GET /trust_marked_list?trust_mark_type=https%3A%2F%2Ffederation.example.org%2Fopenid_relying_party%2Fprivate%2Funder-age HTTP/1.1
Host: trust-mark-issuer.example.org

Figure 38: Trust Marked Entities Listing Request

8.5.2. Trust Marked Entities Listing Response

成功レスポンスは、HTTP status code 200 と content type application/json を使用し、Entity Identifiers を含むJSON配列を含まなければならない。

エラーレスポンスはセクション8.9で定義される。

以下は、Trust Marked Entities を含むレスポンスの非規範的な例である：

200 OK
Content-Type: application/json

[
  "https://blackboard.ntnu.no/openid/rp",
  "https://that-rp.example.org"
]

Figure 39: Trust Marked Entities Listing Response

8.6. Trust Mark Endpoint

Trust Mark endpoint は Trust Mark Issuer によって公開され、subjects に Trust Marks を提供する。

Trust Mark endpoint の場所は、セクション5.1.1で定義される federation_trust_mark_endpoint パラメータとして、Entity の federation_entity metadata に公開される。

8.6.1. Trust Mark Request

client authentication を使用しない場合、リクエストは、application/x-www-form-urlencoded 形式でエンコードされた次のクエリパラメータを付けて送る GET メソッドの HTTP リクエストでなければならない。

trust_mark_type\ REQUIRED。Trust Mark の型の識別子。

sub\ REQUIRED。Trust Mark が発行される Entity の Entity Identifier。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、パラメータは POST ボディで渡されなければならない。Trust Mark endpoint は、sub パラメータが示すとおり Trust Mark subject ではない clients からの認証済みリクエストを許可してもよい。想定されるユースケースの一例は、Federation Entity が別の Entity の Trust Mark を取得できるようにすることである。

以下は、特定の Trust Mark type identifier と subject を指定して Trust Mark を取得する HTTP リクエストの非規範的な例である：

GET /trust_mark?trust_mark_type=https%3A%2F%2Fwww.spid.gov.it%2Fcertification%2Frp&sub=https%3A%2F%2Frp.example.it%2Fspid HTTP/1.1
Host: tuber.cert.example.org

Figure 40: Trust Mark Request

8.6.2. Trust Mark Response

成功レスポンスは、HTTP status code 200 と content type application/trust-mark+jwt を使用し、Trust Mark を含まなければならない。

指定された Entity が指定された Trust Mark を持たない場合、レスポンスはエラーレスポンスとなり、HTTP status code 404 を使用しなければならない。

以下は、指定された Entity の Trust Mark を含むレスポンスの非規範的な例である（表示の都合上、値の途中で改行しているだけである）：

200 OK
Content-Type: application/trust-mark+jwt

eyJ0eXAiOiJ0cnVzdC1tYXJrK2p3dCIsImFsZyI6IlJTMjU2Iiwia2lkIjoia29zR20yd3Va
aDlER21OeEF0a3VPNDBwUGpwTDMtakNmMU4tcVBPLVllVSJ9.
eyJpc3MiOiJodHRwczovL3d3dy5hZ2lkLmdvdi5pdCIsInN1YiI6Imh0dHBzOi8vcnAuZXhh
bXBsZS5pdC9zcGlkIiwiaWF0IjoxNTc5NjIxMTYwLCJ0cnVzdF9tYXJrX3R5cGUiOiJodHRw
czovL3d3dy5zcGlkLmdvdi5pdC9jZXJ0aWZpY2F0aW9uL3JwIiwibG9nb191cmkiOiJodHRw
czovL3d3dy5hZ2lkLmdvdi5pdC90aGVtZXMvY3VzdG9tL2FnaWQvbG9nby5zdmciLCJyZWYi
OiJodHRwczovL2RvY3MuaXRhbGlhLml0L2RvY3Mvc3BpZC1jaWUtb2lkYy1kb2NzL2l0L3Zl
cnNpb25lLWNvcnJlbnRlLyJ9.
L_pSh1InEiFAcs3E-1HBM7fNZYwF5ru3UGA_8yc80dGS3sszfA_sbj4AoW_zAJWQBdZpjxnH
BBmybYXFrfZBcqxcedsrvUYrmbt1nPYxbUE54fRRoZK-sJmVqh1GzSan5nOmkxuAtMinU8k_
-aWnPWj83sYe2AzT2mMgkXiz8zhda3jZm8hoxZ4jR6B0YAvbMlq2pPWO5OWKdZhiFRMSprwh
0GYluQkK0j1aLNMGXD3keMJd2zEoWX9D7w2fXShAA48W3cNhuXyBVnCoum1K4IWK3s_fx4nI
kp6W-V4jCBOpxp7Yo8LZ30o_xpEOzGTIECGWVR86azOAlwVC8XSiAA

Figure 41: Trust Mark Response

8.7. Federation Historical Keys Endpoint

各 Federation Entity は、セクション5.1.1で定義される historical keys endpoint に、過去に使用していた Federation Entity Keys を公開してもよい。この endpoint の目的は、鍵ローテーション後に、当該 Federation Entity が署名したステートメントの否認防止（non-repudiation）を提供するため、過去に使用された鍵の一覧を提供することである。この endpoint はまた、鍵が取り下げられた理由、ならびに鍵が expired だったのか revoked だったのか（revocation の理由を含む）も開示する。

expired となった鍵が、その後に revoked として追加でマークされる場合がある点に注意すること。これは、鍵の失効後に発見された鍵漏えい事案を示すためである。

historical keys の公開は、鍵がセキュリティ上の理由で revoked にならない限り、鍵の有効期限後も Trust Chains が検証可能であり、信頼判断の入力として利用可能であり続けることを保証する。

8.7.1. Federation Historical Keys Request

client authentication を使用しない場合、リクエストは federation historical keys endpoint に送る GET メソッドの HTTP リクエストでなければならない。

client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、client authentication のパラメータは POST ボディで渡されなければならない。

以下は historical keys request の非規範的な例である：

GET /federation_historical_keys HTTP/1.1
Host: trust-anchor.example.com

Figure 42: Federation Historical Keys Request

8.7.2. Federation Historical Keys Response

レスポンスは historical keys を含む署名付き JWK Set である。これは Federation Entity Key で署名される。署名付き JWK Set は、payload に JWK Set [RFC7517] を持つ署名付きJWTである。成功レスポンスは、HTTP status code 200 と content type application/jwk-set+jwt を使用しなければならない。

historical keys JWTs は、[RFC8725] のセクション3.11に従ってJWT間の混同を防ぐため、typ ヘッダーパラメータを jwk-set+jwt に設定して明示的に型付けされる。typ ヘッダーパラメータを持たない、または異なる typ 値を持つ historical keys JWTs は拒否されなければならない。

historical keys JWTs は、使用した署名鍵の Key ID を値とする kid（Key ID）ヘッダーパラメータを含まなければならない。

historical keys JWT に含まれる Claims は次のとおりである：

iss\ REQUIRED。文字列。Entity の Entity Identifier。

iat\ REQUIRED。数値。この historical keys JWT が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。

keys\ REQUIRED。JWK形式の署名鍵を含むJSONオブジェクトの配列。

JWKs in the keys Claim use the following parameters:

kid\ REQUIRED。特定の鍵に一致させるために用いられるパラメータ。Key ID は、SHA-256 ハッシュ関数を用いた鍵の JWK Thumbprint [RFC7638] とすることが推奨される。

iat\ OPTIONAL。この鍵が発行された時刻。[RFC7519] に従い、Seconds Since the Epoch で表す。

exp\ REQUIRED。鍵の有効期限。[RFC7519] に従い、Seconds Since the Epoch で表す。この時刻以降、鍵は有効と見なしてはならない。

revoked\ OPTIONAL。以下で定義されるとおり、revocation のプロパティを含むJSONオブジェクト：

revoked_at\ REQUIRED。鍵が revoked された、または revoked と見なされなければならない時刻。[RFC7519] における iat Claim の時刻形式で表す。

reason\ OPTIONAL。セクション8.7.3で定義されるとおり、鍵の revocation 理由を識別する文字列。

revoked オブジェクトの追加メンバーを定義して使用してもよい。

上記の Claims と併せて、追加の Claims を定義して使用してもよい。

keys Claim 内の JWKs は nbf パラメータを含んでもよい。Historical Keys の用途では、iat と exp で鍵の生存期間を確立するのに十分であるため、nbf は通常は不要である。しかし、発行時点で直ちに有効にならない鍵を発行することを選ぶ可能性のあるプロファイルのために、nbf は登録されている。その定義は次のとおりである：

nbf\ OPTIONAL。これより前は鍵が有効でない時刻。[RFC7519] における nbf Claim の時刻形式で表す。

以下は historical keys response の JWT Claims Set の非規範的な例である：

{
  "iss": "https://trust-anchor.federation.example.com",
  "iat": 123972394272,
  "keys": [
    {
      "kty": "RSA",
      "n": "5s4qi ...",
      "e": "AQAB",
      "kid": "2HnoFS3YnC9tjiCaivhWLVUJ3AxwGGz_98uRFaqMEEs",
      "iat": 123972394872,
      "exp": 123974395972
    },
    {
      "kty": "RSA",
      "n": "ng5jr ...",
      "e": "AQAB",
      "kid": "8KnoFS3YnC9tjiCaivhWLVUJ3AxwGGz_98uRFaqMJJr",
      "iat": 123972394872,
      "exp": 123974394972,
      "revoked": {
        "revoked_at": 123972495172,
        "reason": "compromised"
      }
    }
  ]
}

Figure 43: Federation Historical Keys Response JWT Claims Set

8.7.3. Federation Historical Keys Revocation Reasons

Federation Entities には、Federation Entity Key の revocation 理由を示す際に、意味のある reason 値を使用することが強く推奨される。unspecified 値を使う代わりに、reason を省略してもよい。

以下に reason 値の定義を示す。

次の表は Federation Entity Keys の revocation 理由を定義する。これらの理由は [RFC5280] のセクション5.3.1から着想を得ている。

Table 2: Federation Entity Keys Revocation Reasons.\ Reason | Description\ unspecified | JWK のステータス変更に関する一般的、または未特定の理由。\ compromised | 秘密鍵が漏えいしたと考えられる。\ superseded | JWK はもはやアクティブではない。

フェデレーションは、使用している trust または security framework に応じて、追加の理由を指定して利用してもよい。

8.7.4. Rationale for the Federation Historical Keys Endpoint

Federation Historical Keys endpoint は、Federation Entity Keys が、有効期限切れまたは revocation により変更された場合に、過去の Trust Chains を検証する問題を解決する。

Federation Historical Keys endpoint は、過去に Entity が使用した公開鍵の一覧を公開する。これらの鍵は、過去に作成された Trust Chains を検証するために必要である。というのも、そのような Trust Chains は、もはや Entity の Entity Configuration には公開されていない Entity keys によって作成されている可能性があるからである。

Federation Historical Keys endpoint のレスポンスは、expired および revoked されたすべての Entity keys を証明する署名付きJWTを含む。

Trust Chain を形成する Entity Statements に含まれる属性に基づき、Leaf Entities が OpenID Connect (OIDC) のリクエストおよびレスポンスの署名操作に過去に用いた、非フェデレーションの公開鍵を検証できる場合もある。例えば、Leaf に対して発行された Entity Statement は、metadata または metadata_policy Claims において、Leaf の Entity Types に関する jwks Claim を含み得る。

簡単な例：次の Trust Chain において、Federation Intermediate は、Leaf について発行した Subordinate Statement の中で、Leaf の OpenID Connect (OIDC) RP jwks を証明する。結果として、Request Objects に対する過去の署名や、RPとしてLeafが発行した他の署名付きJWTを検証するために必要な、Leaf の OpenID Connect (OIDC) RP JWK Set を含む Trust Chain が得られる。この例の Trust Chain は次を含む：

• RPが公開するRPに関する Entity Configuration
• Organization A が公開するRPに関する Subordinate Statement（metadata または metadata_policy に jwks Claim を含み、Leaf の OpenID Connect (OIDC) RP jwks を証明する）
• Federation F が公開する Organization A に関する Subordinate Statement

8.8. Client Authentication at Federation Endpoints

デフォルトでは、いずれの federation endpoints においても client authentication は使用されない。フェデレーションは、特定の federation endpoints において client authentication を OPTIONAL、REQUIRED、そして／または禁止（not allowed）とすることを選べる。

client authentication がサポートされる場合、federation endpoints に対するデフォルトの client authentication method は private_key_jwt である。この client authentication method は OpenID Connect Core 1.0 [OpenID.Core] のセクション9で述べられている。client authentication JWT は Federation Entity Key で署名されなければならない。JWT の audience は、認証先となる federation endpoint を持つ Entity の Entity Identifier でなければならない。endpoint は、自身の Entity Identifier 以外の audience 値を含むJWTを受け入れてはならない。client authentication を使用する場合、リクエストは POST メソッドの HTTP リクエストでなければならず、client authentication と endpoint request のパラメータは POST ボディで渡されなければならない。フェデレーションは、他の client authentication methods を使用することを選んでもよい。

8.8.1. Client Authentication Metadata for Federation Endpoints

client authentication をサポートする他の OAuth および OpenID endpoints と同様に、本仕様は、各 endpoint がどの client authentication methods をサポートするかを示す metadata parameters を定義する。これらは主として、OpenID Connect Discovery 1.0 [OpenID.Discovery] のセクション3で定義される token_endpoint_auth_methods_supported metadata 値に対応する。

具体的には、セクション5.1.1で定義される各 federation endpoints について、*_auth_methods という名前のパラメータを定義する。ここで * は federation endpoints の名称（federation_fetch_endpoint、federation_list_endpoint、...、federation_historical_keys_endpoint）を表す。

*_auth_methods metadata parameters は、これら endpoints がサポートする client authentication methods を列挙する。これは、token_endpoint_auth_methods_supported が Token Endpoint に対して行うのと同様である。さらに、値 none は、その endpoint で client authentication が不要であることを示すために用いてもよい。

例えば、次の metadata 宣言は、private_key_jwt で認証されたリクエストが federation_trust_mark_endpoint において REQUIRED であることを示す：

"federation_trust_mark_endpoint_auth_methods": ["private_key_jwt"]

Figure 44: client authentication が endpoint で REQUIRED であることの宣言

省略された場合、これら methods のデフォルト値は ["none"] であり、認証されていないリクエストのみが受け入れられることを示す。

endpoint_auth_signing_alg_values_supported metadata parameter は、これら endpoints がサポートする client authentication の署名アルゴリズムを列挙する。これは、token_endpoint_auth_signing_alg_values_supported が Token Endpoint に対して行うのと同様である。

8.9. Error Responses

要求が不正な形式である、または要求の処理中にエラーが発生した場合、レスポンスボディは content type application/json の JSON オブジェクトであることが望ましい（SHOULD）。[RFC6749] に従い、次の標準化されたエラー形式を使用することが望ましい（SHOULD）。

error\ 必須（REQUIRED）。IANA の "OAuth Extensions Error Registry" [IANA.OAuth.Parameters] に登録されているエラーコードを使用してもよい（MAY）。本仕様はさらに、次のエラーコードを定義する。

• invalid_request\ 要求が不完全である、または現行の仕様に準拠していない。HTTP レスポンスのステータスコードは 400（Bad Request）であることが望ましい（SHOULD）。
• invalid_client\ Client を認可できない、またはフェデレーションの有効な参加者ではない。HTTP レスポンスのステータスコードは 401（Unauthorized）であることが望ましい（SHOULD）。
• invalid_issuer\ endpoint は要求された issuer を提供できない。HTTP レスポンスのステータスコードは 404（Not Found）であることが望ましい（SHOULD）。
• invalid_subject\ endpoint は要求された subject を提供できない。HTTP レスポンスのステータスコードは 404（Not Found）であることが望ましい（SHOULD）。
• invalid_trust_anchor\ Trust Anchor を見つけられない、または使用できない。HTTP レスポンスのステータスコードは 404（Not Found）であることが望ましい（SHOULD）。
• invalid_trust_chain\ Trust Chain を検証できない。HTTP レスポンスのステータスコードは 400（Bad Request）であることが望ましい（SHOULD）。
• invalid_metadata\ metadata または metadata policy の値が不正、または競合している。HTTP レスポンスのステータスコードは 400（Bad Request）であることが望ましい（SHOULD）。
• not_found\ 要求された Entity Identifier を見つけられない。HTTP レスポンスのステータスコードは 404（Not Found）であることが望ましい（SHOULD）。
• server_error\ サーバが予期しない状態に遭遇し、要求を満たせなかった。HTTP レスポンスのステータスコードは 5xx 系（例：500（Internal Server Error））のいずれかであることが望ましい（SHOULD）。
• temporarily_unavailable\ フェデレーション endpoint をホストしているサーバが、一時的な過負荷またはメンテナンスのため、現在要求を処理できない。HTTP レスポンスのステータスコードは 503（Service Unavailable）であることが望ましい（SHOULD）。
• unsupported_parameter\ サーバが要求されたパラメータをサポートしていない。HTTP レスポンスのステータスコードは 400（Bad Request）であることが望ましい（SHOULD）。

error_description\ 必須（REQUIRED）。発生したエラーを開発者が理解するのを助けるための追加情報を提供する、人が読めるテキスト。

以下は、エラー応答の非規範的な例である：

400 Bad request
Content-Type: application/json

{
  "error": "invalid_request",
  "error_description":
    "Required request parameter [sub] was missing."
}

図45: エラー応答の例

9. Obtaining Federation Entity Configuration Information

すべての Trust Anchor および Intermediate Federation Entity の Entity Configuration は、その configuration endpoint で公開しなければならない（MUST）。Leaf Entity の Entity Configuration も、そこで公開することが望ましい（SHOULD）。その場所は、Entity Identifier に文字列 /.well-known/openid-federation を連結して決定する（Entity Identifier は https スキームを使用し、host コンポーネントを含まなければならず（MUST）、port および path コンポーネントを含んでもよい（MAY））。例えば、Entity Identifier が https://entity.example である場合、その configuration endpoint は URL https://entity.example/.well-known/openid-federation である。Entity Identifier に末尾の "/" 文字が含まれる場合、/.well-known/openid-federation を連結する前に、それを取り除かなければならない（MUST）。

さらに、Entity Type Identifier federation_entity を含む任意の Entity Configuration は、その configuration endpoint で公開しなければならない（MUST）。

Leaf Federation Entity は、自身の configuration endpoint で Entity Configuration ドキュメントを利用可能にすることが望ましい（SHOULD）が、この要件には例外がある。すなわち、client registration method の結果としてサーバが client の Entity Configuration を保持することになる clients は、これを省略してもよい（MAY）。例えば、Explicit Registration を用いる RP は、client registration の際に自身の Entity Configuration を OP へ POST するため、OP は RP から必要な情報をすべて取得できる。本仕様のプロファイルは、Entity Type Identifier federation_entity を使用しない Leaf Entities に対する他の例外、およびそれに伴う処理規則を定義してもよい（MAY）。

9.1. Federation Entity Configuration Request

Entity Configuration ドキュメントは、前述のパスに対する HTTP GET リクエストで問い合わせなければならない（MUST）。

この例では、要求側の当事者は Entity https://openid.sunet.se に対して次のリクエストを行い、その Entity Configuration を取得する：

GET /.well-known/openid-federation HTTP/1.1
Host: openid.sunet.se

図46: Entity Configuration のリクエスト

9.2. Federation Entity Configuration Response

レスポンスは Entity Configuration である。Entity が Intermediate Entity または Trust Anchor の場合、レスポンスは federation Entity（federation_entity）の metadata を含まなければならない（MUST）。

成功レスポンスは HTTP ステータスコード 200 を用い、content type を application/entity-statement+jwt とし、レスポンスが Entity Statement を含むことが明確でなければならない（MUST）。エラーの場合、レスポンスはセクション 8.9 で定義されるとおりである。

以下は Intermediate Entity からのレスポンスの JWT Claims Set の非規範的な例である：

{
  "iss": "https://openid.sunet.se",
  "sub": "https://openid.sunet.se",
  "iat": 1516239022,
  "exp": 1516298022,
  "metadata": {
    "federation_entity": {
      "contacts": ["ops@sunet.se"],
      "federation_fetch_endpoint": "https://sunet.se/openid/fedapi",
      "organization_uri": "https://www.sunet.se",
      "organization_name": "SUNET"
    },
    "openid_provider": {
      "issuer": "https://openid.sunet.se",
      "signed_jwks_uri": "https://openid.sunet.se/jwks.jose",
      "authorization_endpoint": "https://openid.sunet.se/authorization",
      "client_registration_types_supported": [
        "automatic",
        "explicit"
      ],
      "grant_types_supported": [
        "authorization_code"
      ],
      "id_token_signing_alg_values_supported": [
        "ES256",
        "RS256"
      ],
      "logo_uri": "https://www.umu.se/img/umu-logo-left-neg-SE.svg",
      "op_policy_uri": "https://www.umu.se/en/website/legal-information/",
      "response_types_supported": [
        "code"
      ],
      "subject_types_supported": [
        "pairwise",
        "public"
      ],
      "token_endpoint": "https://openid.sunet.se/token",
      "federation_registration_endpoint": "https://op.umu.se/openid/fedreg",
      "token_endpoint_auth_methods_supported": [
        "private_key_jwt"
      ]
    }
  },
  "jwks": {
    "keys": [
      {
        "alg": "RS256",
        "e": "AQAB",
        "kid": "key1",
        "kty": "RSA",
        "n": "pnXBOusEANuug6ewezb9J_...",
        "use": "sig"
      }
    ]
  },
  "authority_hints": [
    "https://edugain.org/federation"
  ]
}

図47: Entity Configuration Response JWT Claims Set

10. Resolving the Trust Chain and Metadata

別の Entity（Party B）と信頼関係を確立したい Entity（Party A）は、Party B の Entity Identifier と、Trust Anchors の Entity Identifier のリストおよびそれらの公開署名鍵を保持していなければならない（MUST）。Party A はまず、Party B から 1 つ以上の Trust Anchors へ至る少なくとも 1 本の信頼の連鎖を確立できるだけの Entity Statements を取得しなければならない（MUST）。その後、Party A は Trust Chains を独立に検証しなければならず（MUST）、有効な Trust Chains が複数あり、かつアプリケーションが必要とする場合には、その中から使用する 1 本を選択しなければならない（MUST）。

Trust Chain の評価を信頼できる第三者へ委任するために、別の Entity（Party B）と信頼関係を確立したい Entity（Party A）は、セクション 8.3 で定義される resolve endpoint を使用してもよい（MAY）。

10.1. Fetching Entity Statements to Establish a Trust Chain

状況によっては、Party A は Party B の Entity Configuration を渡されることもあるし、自身で取得しなければならない場合もある。取得が必要な場合、Party A は Party B の Entity Identifier に基づき、セクション 9 で説明した手順を用いる。

次のステップは、authority_hints に列挙されている Intermediates のリストを反復処理し、未知の Trust Anchor で終わる authority hints を無視しつつ、各 Intermediate から Entity Configuration を要求することである。受け取った Entity Configuration に authority hint が含まれている場合、この処理を繰り返す。

すべての Intermediates と Trust Anchor のリストが得られたら、セクション 8.1 で定義される各 fetch endpoint を用いて、Intermediates と Party B に関する Entity Statements を取得する。

フェデレーション参加者は、この処理の途中で既に取得した Entity Statements を再取得しようとしてはならない（MUST NOT）。これはループを防ぐためである。ループが検出された場合、それにつながった authority hint は使用してはならない（MUST NOT）。

成功すれば、1 つ以上の Entity Statements のリストが返る。各リストは自己署名された Entity Statement で終わり、それらは Trust Anchor によって発行される。

Party B から、信頼している Trust Anchors のうち少なくとも 1 つへ至るパスが存在しない場合、そのリストは空になり、Party B の情報に対する信頼を確立する方法はない。これを Party A がどのように扱うかは本仕様のスコープ外である。

次のシーケンス図は、OP が RP に対して行う trust evaluation における、RP、OP、Trust Anchor の相互作用を表す。前述の説明に対応づけると、この図では Party A が OP、Party B が RP である。

+-----+                         +-----+                             +--------------+
| RP  |                         | OP  |                             | Trust Anchor |
+-----+                         +-----+                             +--------------+
   |                               |                                        |
   | Entity Configuration Request  |                                        |
   |<------------------------------|                                        |
   |                               |                                        |
   | Entity Configuration Response |                                        |
   |------------------------------>|                                        |
   |                               |                                        |
   |                               | Evaluates authority_hints              |
   |                               |--------------------------              |
   |                               |                         |              |
   |                               |<-------------------------              |
   |                               |                                        |
   |                               | Entity Configuration Request           |
   |                               |--------------------------------------->|
   |                               |                                        |
   |                               |        Entity Configuration Response   |
   |                               |<---------------------------------------|
   |                               |                                        |
   |                               | Obtains Fetch Endpoint                 |
   |                               |-----------------------                 |
   |                               |                      |                 |
   |                               |<----------------------                 |
   |                               |                                        |
   |                               | Request Subordinate Statement about RP |
   |                               |--------------------------------------->|
   |                               |                                        |
   |                               |        Subordinate Statement about RP  |
   |                               |<---------------------------------------|
   |                               |                                        |
   |                               | Evaluates the Trust Chain              |
   |                               |--------------------------              |
   |                               |                         |              |
   |                               |<-------------------------              |
   |                               |                                        |
   |                               | Applies Metadata Policies              |
   |                               |--------------------------              |
   |                               |                         |              |
   |                               |<-------------------------              |
   |                               |                                        |
   |                               | Applies Constraints                    |
   |                               |--------------------                    |
   |                               |                   |                    |
   |                               |<-------------------                    |
   |                               |                                        |
   |                               | Derives the RP's Resolved Metadata     |
   |                               |-----------------------------------     |
   |                               |                                  |     |
   |                               |<----------------------------------     |
Figure 48: Resolving Trust Chain and Metadata from the Perspective of an OP

10.2. Validating a Trust Chain

セクション 4 で説明したとおり、Trust Chain は順序付けられた Entity Statements のリストから構成される。したがって、Party A がどのようにして Entity Statements の集合を取得したとしても、今度はセクション 4 に示された規則を用いて、それが適切な Trust Chain であることを検証しなければならない（MUST）。

Trust Chain 内の Entity Statements を ES[j] と呼ぶことにする。ここで j = 0,...,i とし、0 は最初の Entity Statement のインデックス、i は最後の Entity Statement の 0 始まりインデックスである。Trust Chain を検証するために、次を実施しなければならない（MUST）：

各 Entity Statement ES[j]（j = 0,..,i）について：

• ステートメントが必要な Claims をすべて含んでいることを検証する。
• iat が過去の値であることを検証する。
• exp が将来の値であることを検証する。

ES[0]（Trust Chain の subject の Entity Configuration）について：

• iss == sub であることを検証する。
• ES[0]["jwks"] に含まれる公開鍵のいずれかで署名検証が成功することを検証する。

各 j = 0,...,i-1 について：

• ES[j]["iss"] == ES[j+1]["sub"] であることを検証する。
• ES[j+1]["jwks"] に含まれる公開鍵のいずれかで ES[j] の署名検証が成功することを検証する。

ES[i]（Trust Anchor の Entity Configuration）について：

• issuer が Trust Anchor の Entity Identifier と一致することを検証する。
• Trust Anchor の公開鍵で ES[i] の署名検証が成功することを検証する。

署名検証は、ステートメントの正しさやタイムスタンプの検証よりもはるかに高コストである。そのため実装者は、他のすべての検査が完了するまで署名検証を行わないことを選択してもよい（MAY）。

フェデレーション参加者は、セクション 10.4 に従い、有効期限切れになるまで Entity Statements と署名検証結果をキャッシュしてもよい（MAY）。

上記の検証の後、セクション 6.1.4 で説明されるとおり、metadata は Trust Chain の subject に対して解決されなければならない（MUST）。さらに、セクション 6.2 で説明されるとおり、Trust Chain の各 Subordinate Statement について constraints を適用しなければならない（MUST）。

10.3. Choosing One of the Valid Trust Chains

有効な Trust Chains が複数見つかった場合、Party A はどれを使用するか決定する必要がある。単純な規則の一例は、長い chain より短い chain を優先することである。フェデレーション参加者は、ローカルポリシーに従って他の規則に従ってもよい（MAY）。

10.4. Calculating the Expiration Time of a Trust Chain

Trust Chain 内の各 Entity Statement は署名され、かつ有効期限（exp）を持たなければならない（MUST）。Trust Chain 全体の有効期限は、Trust Chain 内にある（exp）値の最小値である。

10.5. Transient Trust Chain Validation Errors

フェデレーションのトポロジが更新中（例：Leaf Entities の集合が新しい Intermediate Entity へ移動される）である場合、Trust Chain の検証が一時的に失敗することがある。一定時間後に再試行することで状況が解決する場合がある。

10.6. Resolving the Trust Chain and Metadata with a Resolver

セクション 8.3 で説明した resolve endpoint を用いることにより、上記の方法を使って Entity（Party B）の Trust Chain を解決する別の方法がある点に注意すること。これにより resolver が、信頼関係を確立したい Entity（Party A）が本来は自分自身で行う必要がある作業を代わりに実行できる。

11. Updating Metadata, Key Rollover, and Revocation

本仕様は、メタデータおよび公開鍵を円滑に更新できるようにする。

セクション10.4で述べたとおり、各 Trust Chain には有効期限がある。フェデレーション参加者は、Trust Chain が期限切れになった際にそれを更新できることをサポートしなければならない（MUST）。参加者が Trust Chain をどの程度の頻度で再評価するかは、何かが変化したことをどれだけ早く把握したいかに依存する。

11.1. Protocol Key Rollover

Leaf Entity が自身の公開鍵を jwks を用いてメタデータ内に公開している場合、その Entity Configuration の有効期限を用いて、受信側の Entity が更新された公開鍵セットをどの程度の頻度で取得する必要があるかを制御できる。

11.2. Key Rollover for a Trust Anchor

Trust Anchor は、自身に関する Entity Configuration を公開しなければならない（MUST）。この Entity Configuration に設定する有効期限（exp）は、フェデレーション参加者が妥当な間隔でそれを再取得することを確実にするように選ぶべきである。Trust Anchor が署名鍵をロールオーバーする際には、次を行う必要がある：

• Entity Configuration 内で Trust Anchor の署名鍵を表す jwks に、新しい鍵を追加する。
• すべての Subordinates が新しい鍵を取得できるように十分な期間、古い鍵を用いて Entity Configuration および Entity Statements への署名を継続する。
• 新しい鍵で署名するよう切り替える。
• 妥当な期間が経過した後、古い鍵を削除する。ここで妥当と見なされる期間は、Trust Anchor のセキュリティプロファイルおよびリスク評価に依存する。

11.3. Redundant Retrieval of Trust Anchor Keys

フェデレーション運用者（Federation Operators）が管理する Trust Anchors の公開鍵について、それら Trust Anchors の Entity Configurations とは独立した取得手段を提供することが推奨される（RECOMMENDED）。これは、Entity Configurations から公開鍵を取得する基盤となっている Web PKI [RFC9525] が侵害された場合に備えて、冗長性を提供することを意図している。

フェデレーション運用者が規定する独立手段によって取得した鍵は、Trust Anchor の Entity Configuration 経由で取得した鍵と比較されるべきである（SHOULD）。一致しない場合は、両方とも再取得されるべきである（SHOULD）。それでも一致しない場合、それはセキュリティ上または設定上の問題を示唆する。その場合に適切な是正手順は、フェデレーション運用者によって規定されるべきである（SHOULD）。

11.4. Revocation

フェデレーションの参加者は、通常は高い頻度で定期的に Trust Chain を確認すると期待されているため、本仕様は revoke の手続きを定義しない。特定のフェデレーションは別の選択をしてもよく（MAY）、その場合は独自の revoke 手続きを定義する必要がある。

12. OpenID Connect Client Registration

このセクションでは、本仕様で定義された仕組みを、事前に明示的な設定や登録を互いに持たない RP と OP の間で信頼関係を確立するために、どのように利用できるかを説明する。セクション10に従い Trust Chains を用いる 2 つの client registration method、すなわち Automatic Registration と Explicit Registration を定義する。フェデレーションは、client registration に他の適切な方法を用いることもできる。

OpenID Connect Entities を含むフェデレーションは、サポートされる client registration method について合意しておくべきである（SHOULD）。

Automatic Registration と Explicit Registration は、OpenID Connect 以外の OAuth 2.0 のプロファイルでも利用できる点に注意すること。その場合、Entity Type Identifiers として openid_relying_party と openid_provider を使う代わりに、oauth_client と oauth_authorization_server、あるいは使用する特定の OAuth 2.0 プロファイルで定義されている他の Entity Type Identifiers を使うことになる。

両方の方法を用いる場合、trust_anchor_hints の値を使って、RP と OP が共有する Trust Anchors を特定できる。Trust Chains を構築する際、可能であれば RP は OP と共通の Trust Anchor を選ぶべきである（SHOULD）。

12.1. Automatic Registration

Automatic Registration により、RP は OP への事前の登録ステップなしに Authentication Requests を行える。OP は、Authentication Request に含まれるクライアントID（Client ID）から RP の Entity Configuration を解決し、セクション10で定義された手順に従って処理する。

RP は Authentication Request を送信する前に、セクション10で規定されたとおり OP の Trust Chain とメタデータ解決を行わなければならない（MUST）。解決が成功しなかった場合、RP は OP とのそれ以上のやり取りを試みてはならない（MUST NOT）。

Automatic Registration には次の特徴がある：

• OP とのすべてのやり取りにおいて、RP は自身の Entity Identifier をクライアントID（Client ID）として用いる。OP は、セクション9で述べたとおり、Entity Identifier から導出される URL から RP の Entity Configuration を取得する。
• Authentication Request の前に登録ステップがないため、Automatic Registration を用いる場合、要求の認証には非対称暗号を用いなければならない（MUST）。要求の認証には非対称暗号が用いられるため、OP は RP に Client Secret を割り当てず、登録処理の結果としてそれを返すこともない。
• Automatic Registration をサポートする OP は、その client_registration_types_supported メタデータパラメータに automatic キーワードを含めなければならない（MUST）。

12.1.1. Authentication Request

Authentication Request は、OpenID Connect Core 1.0 [OpenID.Core] のセクション6および The OAuth 2.0 Authorization Framework: JWT-Secured Authorization Request (JAR) [RFC9101] で述べられているとおり、Request Object を値渡しまたは参照渡しで渡すことにより実行される。あるいは、Pushed Authorization Requests [RFC9126] で述べられている pushed authorization request を用いる。

Authentication requests は、以下で説明するいずれかの方法を用いて、要求元の Entity がその Entity の RP 鍵を管理していることを示さなければならない（MUST）。それを示さない authentication request の試行は拒否されなければならない（MUST）。

デプロイによっては、request_uri リクエストパラメータを用いて Request Object を参照渡しすることをサポートしない選択をしてもよい（MAY）。これは、これを許容すると、攻撃者が OAuth 2.0 Authorization Servers または OpenID Providers に対してサービス不能攻撃（DoS）を行いやすくなるためである。これを行うために、OP のメタデータパラメータ request_uri_parameter_supported を false に設定できる。リクエストパラメータが大きすぎてクエリパラメータとして値渡しすることが現実的でない場合は、セクション12.1.1.2で述べたとおり、HTTP POST または Pushed Authorization Request [RFC9126] によって送信できる。

12.1.1.1. Using a Request Object

Request Object が Authorization Endpoint または Pushed Authorization Request Endpoint で使用される場合、request パラメータの値は JWT であり、その Claims は OpenID Connect Core 1.0 [OpenID.Core] のセクション3.1.2で規定されるリクエストパラメータである。この JWT は署名されなければならず（MUST）、暗号化してもよい（MAY）。Request Object では次のパラメータが用いられる：

• aud\ 必須（REQUIRED）。"aud"（audience）の値は OP の Entity Identifier でなければならず（MUST）、他の値を含んではならない（MUST NOT）。
• client_id\ 必須（REQUIRED）。client_id の値は RP の Entity Identifier でなければならない（MUST）。
• iss\ 必須（REQUIRED）。iss の値は RP の Entity Identifier でなければならない（MUST）。
• sub\ 存在してはならない（MUST NOT）。これは、private_key_jwt による client authentication のためにステートメントが再利用されることを防ぐ。
• jti\ 必須（REQUIRED）。JWT ID。JWT の一意な識別子であり、Request Object の再利用防止に使用できる。Request Object は、当事者間で再利用条件が交渉されていない限り、1 回だけ使用されなければならない（MUST）。そのような交渉は本仕様のスコープ外である。
• exp\ 必須（REQUIRED）。数値。これ以降は JWT を処理のために受け付けてはならない（MUST NOT）という有効期限。これは [RFC7519] に従い Seconds Since the Epoch として表す。
• iat\ 任意（OPTIONAL）。数値。この Request Object が発行された時刻。これは [RFC7519] に従い Seconds Since the Epoch として表す。
• trust_chain\ 任意（OPTIONAL）。配列。要求を行う RP と、選択された Trust Anchor の間の Trust Chain を構成する Entity Statements の並びを含む。RP と OP が同一フェデレーションの一部である場合、RP は OP と共通の Trust Anchor を選択しなければならない（MUST）。そうでない場合、RP は使用する Trust Anchor を自由に選択できる。

注記（NOTE）：セクション4.3で規定される trust_chain header parameter の使用は、本パラメータの使用よりも推奨される（RECOMMENDED）。本パラメータは歴史的理由により残されている。

8.9. Error Responses

リクエストが不正な形式であった場合、またはリクエストの処理中にエラーが発生した場合、レスポンス本文は content type が application/json の JSON オブジェクトであるべきである（SHOULD）。[RFC6749] に準拠して、次の標準化されたエラー形式を用いるべきである（SHOULD）。

error

必須（REQUIRED）。IANA の「OAuth Extensions Error Registry」[IANA.OAuth.Parameters] にあるエラーコードを使用してもよい（MAY）。この仕様はさらに、次のエラーコードを定義する。

invalid_request

リクエストが不完全である、または現行の仕様に適合していない。HTTP レスポンスのステータスコードは 400（Bad Request）であるべきである（SHOULD）。

invalid_client

Client を認可できない、またはフェデレーションの有効な参加者ではない。HTTP レスポンスのステータスコードは 401（Unauthorized）であるべきである（SHOULD）。

invalid_issuer

当該 endpoint は、要求された issuer を提供できない。HTTP レスポンスのステータスコードは 404（Not Found）であるべきである（SHOULD）。

invalid_subject

当該 endpoint は、要求された subject を提供できない。HTTP レスポンスのステータスコードは 404（Not Found）であるべきである（SHOULD）。

invalid_trust_anchor

Trust Anchor が見つからない、または使用できない。HTTP レスポンスのステータスコードは 404（Not Found）であるべきである（SHOULD）。

invalid_trust_chain

Trust Chain を検証できない。HTTP レスポンスのステータスコードは 400（Bad Request）であるべきである（SHOULD）。

invalid_metadata

Metadata または Metadata Policy の値が無効である、または競合している。HTTP レスポンスのステータスコードは 400（Bad Request）であるべきである（SHOULD）。

not_found

要求された Entity Identifier が見つからない。HTTP レスポンスのステータスコードは 404（Not Found）であるべきである（SHOULD）。

server_error

サーバーが予期しない状態に遭遇し、リクエストを満たせなかった。HTTP レスポンスのステータスコードは 5xx 範囲のいずれか（たとえば 500（Internal Server Error））であるべきである（SHOULD）。

temporarily_unavailable

フェデレーション endpoint をホストしているサーバーが、一時的な過負荷またはメンテナンスのため、現在リクエストを処理できない。HTTP レスポンスのステータスコードは 503（Service Unavailable）であるべきである（SHOULD）。

unsupported_parameter

サーバーが要求されたパラメータをサポートしていない。HTTP レスポンスのステータスコードは 400（Bad Request）であるべきである（SHOULD）。

error_description

必須（REQUIRED）。発生したエラーを開発者が理解できるよう支援するために用いる、追加情報を与える人間可読なテキスト。

以下は、規範ではない（non-normative）エラーレスポンスの例である。

400 Bad request
Content-Type: application/json

{
  "error": "invalid_request",
  "error_description":
    "Required request parameter [sub] was missing."
}

Figure 45: Example Error Response

9. Obtaining Federation Entity Configuration Information

すべての Trust Anchor および Intermediate Federation Entity の Entity Configuration は、それぞれの configuration endpoint で公開されなければならない（MUST）。また Leaf Entity の Entity Configuration も、そこで公開されるべきである（SHOULD）。その場所は、文字列 /.well-known/openid-federation を Entity Identifier に連結することで決定される（Entity Identifier は https スキームを使用し、host コンポーネントを含まなければならず（MUST）、port および path コンポーネントを含んでもよい（MAY））。たとえば、Entity Identifier が https://entity.example である場合の configuration endpoint は URL https://entity.example/.well-known/openid-federation である。Entity Identifier に末尾の「/」文字が含まれている場合、/.well-known/openid-federation を連結する前にそれを除去しなければならない（MUST）。

さらに、Entity Type Identifier が federation_entity である Entity Configuration は、その configuration endpoint で公開されなければならない（MUST）。

Leaf Federation Entity は、configuration endpoint で Entity Configuration 文書を利用可能にするべきであるが（SHOULD）、この要件には例外がある。すなわち、クライアント登録方式の結果としてサーバーがクライアントの Entity Configuration を保持することになる client は、これを省略してもよい（MAY）。たとえば、Explicit Registration を用いる RP は client 登録の際に自分の Entity Configuration を OP に POST するため、OP は RP から必要なものをすべて取得している。この仕様のプロファイルは、Entity Type Identifier federation_entity を用いない Leaf Entity に対する他の例外や、それに付随する処理規則を定義してもよい（MAY）。

9.1. Federation Entity Configuration Request

Entity Configuration 文書は、先に指定したパスに対して HTTP GET リクエストを用いて問い合わせなければならない（MUST）。

この例では、要求者は Entity Configuration を取得するために、Entity https://openid.sunet.se に対して次のリクエストを行う。

GET /.well-known/openid-federation HTTP/1.1
Host: openid.sunet.se

Figure 46: Request for Entity Configuration

9.2. Federation Entity Configuration Response

レスポンスは Entity Configuration である。Entity が Intermediate Entity または Trust Anchor の場合、レスポンスには federation Entity（federation_entity）の metadata を含まなければならない（MUST）。

成功レスポンスは、HTTP ステータスコード 200 と content type application/entity-statement+jwt を用いなければならない（MUST）。これは、レスポンスが Entity Statement を含むことを明確にするためである。エラーの場合、レスポンスは Section 8.9 で定義したとおりである。

以下は、Intermediate Entity からのレスポンスにおける JWT Claims Set の、規範ではない（non-normative）例である。

{
  "iss": "https://openid.sunet.se",
  "sub": "https://openid.sunet.se",
  "iat": 1516239022,
  "exp": 1516298022,
  "metadata": {
    "federation_entity": {
      "contacts": ["ops@sunet.se"],
      "federation_fetch_endpoint": "https://sunet.se/openid/fedapi",
      "organization_uri": "https://www.sunet.se",
      "organization_name": "SUNET"
    },
    "openid_provider": {
      "issuer": "https://openid.sunet.se",
      "signed_jwks_uri": "https://openid.sunet.se/jwks.jose",
      "authorization_endpoint": "https://openid.sunet.se/authorization",
      "client_registration_types_supported": [
        "automatic",
        "explicit"
      ],
      "grant_types_supported": [
        "authorization_code"
      ],
      "id_token_signing_alg_values_supported": [
        "ES256",
        "RS256"
      ],
      "logo_uri": "https://www.umu.se/img/umu-logo-left-neg-SE.svg",
      "op_policy_uri": "https://www.umu.se/en/website/legal-information/",
      "response_types_supported": [
        "code"
      ],
      "subject_types_supported": [
        "pairwise",
        "public"
      ],
      "token_endpoint": "https://openid.sunet.se/token",
      "federation_registration_endpoint": "https://op.umu.se/openid/fedreg",
      "token_endpoint_auth_methods_supported": [
        "private_key_jwt"
      ]
    }
  },
  "jwks": {
    "keys": [
      {
        "alg": "RS256",
        "e": "AQAB",
        "kid": "key1",
        "kty": "RSA",
        "n": "pnXBOusEANuug6ewezb9J_...",
        "use": "sig"
      }
    ]
  },
  "authority_hints": [
    "https://edugain.org/federation"
  ]
}

Figure 47: Entity Configuration Response JWT Claims Set

10. Resolving the Trust Chain and Metadata

別の Entity（Party B）との信頼関係を確立したい Entity（Party A）は、Party B の Entity Identifier と、Trust Anchor の Entity Identifier の一覧およびそれらの公開署名鍵の一覧を持っていなければならない（MUST）。Party A はまず、Party B から 1 つ以上の Trust Anchor へ至る少なくとも 1 本の信頼の連鎖を確立するために十分な Entity Statement を取得しなければならない（MUST）。その後、Party A は Trust Chain を独立に検証しなければならず（MUST）、複数の有効な Trust Chain が存在し、かつアプリケーションが必要とする場合には、利用するものを 1 つ選択しなければならない（MUST）。

Trust Chain の評価を信頼できる第三者に委任するために、別の Entity（Party B）との信頼関係を確立したい Entity（Party A）は、Section 8.3 で定義される resolve endpoint を使用してもよい（MAY）。

10.1. Fetching Entity Statements to Establish a Trust Chain

状況によっては、Party A は Party B の Entity Configuration を渡されることもあれば、自身で取得しなければならないこともある。取得が必要な場合、Party B の Entity Identifier に基づいて、Section 9 で記述された手順を用いる。

次のステップは、authority_hints に列挙される Intermediates の一覧をたどることである。未知の Trust Anchor で終わる authority hints は無視し、各 Intermediate から Entity Configuration を要求する。受け取った Entity Configuration に authority hint が含まれていれば、この処理を繰り返す。

すべての Intermediates と Trust Anchor の一覧が得られたら、Section 8.1 で定義されるそれぞれの fetch endpoint を用いて、Intermediates と Party B に関する Entity Statement を取得する。

ループを防ぐため、フェデレーション参加者は、この過程で既に取得済みの Entity Statement を再取得してはならない（MUST NOT）。ループが検出された場合、それを引き起こした authority hint は使用してはならない（MUST NOT）。

成功した操作は、1 つ以上の Entity Statement のリストを返す。自己署名された Entity Statement で終端する各リストは Trust Anchor によって発行される。

Party B から少なくとも 1 つの信頼済み Trust Anchor へ至るパスが存在しない場合、リストは空になり、Party B の情報について信頼関係を確立する方法はない。これに Party A がどう対処するかは、この仕様のスコープ外である。

以下のシーケンス図は、OP が RP について行う信頼評価の際に、RP、OP、および Trust Anchor の間で行われる相互作用を表す。前述の説明に関連付けると、この図において Party A は OP、Party B は RP である。

+-----+                         +-----+                             +--------------+
| RP  |                         | OP  |                             | Trust Anchor |
+-----+                         +-----+                             +--------------+
   |                               |                                        |
   | Entity Configuration Request  |                                        |
   |<------------------------------|                                        |
   |                               |                                        |
   | Entity Configuration Response |                                        |
   |------------------------------>|                                        |
   |                               |                                        |
   |                               | Evaluates authority_hints              |
   |                               |--------------------------              |
   |                               |                         |              |
   |                               |<-------------------------              |
   |                               |                                        |
   |                               | Entity Configuration Request           |
   |                               |--------------------------------------->|
   |                               |                                        |
   |                               |        Entity Configuration Response   |
   |                               |<---------------------------------------|
   |                               |                                        |
   |                               | Obtains Fetch Endpoint                 |
   |                               |-----------------------                 |
   |                               |                      |                 |
   |                               |<----------------------                 |
   |                               |                                        |
   |                               | Request Subordinate Statement about RP |
   |                               |--------------------------------------->|
   |                               |                                        |
   |                               |        Subordinate Statement about RP  |
   |                               |<---------------------------------------|
   |                               |                                        |
   |                               | Evaluates the Trust Chain              |
   |                               |--------------------------              |
   |                               |                         |              |
   |                               |<-------------------------              |
   |                               |                                        |
   |                               | Applies Metadata Policies              |
   |                               |--------------------------              |
   |                               |                         |              |
   |                               |<-------------------------              |
   |                               |                                        |
   |                               | Applies Constraints                    |
   |                               |--------------------                    |
   |                               |                   |                    |
   |                               |<-------------------                    |
   |                               |                                        |
   |                               | Derives the RP's Resolved Metadata     |
   |                               |-----------------------------------     |
   |                               |                                  |     |
   |                               |<----------------------------------     |

Figure 48: Resolving Trust Chain and Metadata from the Perspective of an OP

10.2. Validating a Trust Chain

Section 4 で述べたとおり、Trust Chain は順序付けられた Entity Statement のリストから成る。したがって、Party A が Entity Statement の集合をどのように入手したかにかかわらず、同セクションに示された規則を用いて、それが適切な Trust Chain であることを今すぐ検証しなければならない（MUST）。

Trust Chain 内の Entity Statement を ES[j] と呼ぶことにする。ここで j = 0,...,i であり、0 は最初の Entity Statement のインデックス、i は最後の Entity Statement の 0 始まりインデックスである。Trust Chain を検証するために、次を実施しなければならない（MUST）。

各 Entity Statement ES[j]（j = 0,..,i）について：

• 当該 statement が必須の Claims をすべて含むことを確認する。
• iat が過去の値であることを確認する。
• exp が将来の値であることを確認する。
• ES[0]（Trust Chain の subject の Entity Configuration）について、iss == sub であることを確認する。
• ES[0] について、その署名が ES[0]["jwks"] の公開鍵で検証できることを確認する。
• 各 j = 0,...,i-1 について、ES[j]["iss"] == ES[j+1]["sub"] であることを確認する。
• 各 j = 0,...,i-1 について、ES[j] の署名が ES[j+1]["jwks"] の公開鍵で検証できることを確認する。
• ES[i]（Trust Anchor の Entity Configuration）について、issuer が Trust Anchor の Entity Identifier と一致することを確認する。
• ES[i] について、その署名が Trust Anchor の公開鍵で検証できることを確認する。

署名検証は、statement の正しさやタイムスタンプの検証よりもはるかにコストが高い操作である。そのため、実装者は、他のチェックがすべて終わるまで署名検証を行わないことを選択してもよい（MAY）。

フェデレーション参加者は、Section 10.4 に従い、期限切れになるまで Entity Statement および署名検証結果をキャッシュしてもよい（MAY）。

上記の検証の後、Section 6.1.4 で述べるとおり、metadata を Trust Chain の subject に解決しなければならない（MUST）。さらに、Section 6.2 で説明するとおり、Trust Chain の各 Subordinate Statement ごとに constraints を適用しなければならない（MUST）。

10.3. Choosing One of the Valid Trust Chains

複数の有効な Trust Chain が見つかった場合、Party A はどれを使用するか決める必要がある。単純な規則の 1 つは、長い連鎖より短い連鎖を優先することである。フェデレーション参加者は、ローカルポリシーに従い他の規則に従ってもよい（MAY）。

10.4. Calculating the Expiration Time of a Trust Chain

Trust Chain の各 Entity Statement は署名され、かつ有効期限（exp）を持たなければならない（MUST）。Trust Chain 全体の有効期限は、その Trust Chain 内にある（exp）値の最小値である。

10.5. Transient Trust Chain Validation Errors

フェデレーションのトポロジが更新されている場合、たとえば Leaf Entity 群が新しい Intermediate Entity に移動されるとき、Trust Chain の検証が一時的に失敗することがある。一定時間経過後に再試行すれば、状況が解消される場合がある。

10.6. Resolving the Trust Chain and Metadata with a Resolver

上記の方法で Entity（Party B）の Trust Chain を解決する別の方法として、Section 8.3 で説明する resolve endpoint を用いる方法があることに注意されたい。これにより、信頼関係を確立したい Entity（Party A）が自力で行わなければならない作業を、resolver に代行させることができる。

11. Updating Metadata, Key Rollover, and Revocation

この仕様は、metadata と公開鍵を円滑に更新できるようにする。

Section 10.4 で述べたとおり、各 Trust Chain には有効期限がある。フェデレーション参加者は、Trust Chain が期限切れになったときに、それを更新できるようサポートしなければならない（MUST）。参加者がどのくらいの頻度で Trust Chain を再評価するかは、何かが変化したことをどれだけ早く検知したいかに依存する。

11.1. Protocol Key Rollover

Leaf Entity が jwks を用いて metadata に公開鍵を公開している場合、その Entity Configuration の有効期限を用いて、受信側 Entity が更新された公開鍵セットを取得する頻度を制御できる。

11.2. Key Rollover for a Trust Anchor

Trust Anchor は、自身についての Entity Configuration を公開しなければならない（MUST）。この Entity Configuration に設定する有効期限（exp）は、フェデレーション参加者が妥当な間隔で再取得することを確実にするよう選ばれるべきである（SHOULD）。Trust Anchor が署名鍵をロールオーバーする際には、次を行う必要がある。

• 新しい鍵を、Trust Anchor の署名鍵を表す jwks に追加する（その Entity Configuration 内で）。
• 十分に長い期間、古い鍵を用いて Entity Configuration と Entity Statement の署名を継続する。これは、すべての Subordinates が新しい鍵を取得できるようにするためである。
• 新しい鍵で署名するよう切り替える。
• 妥当な期間の後、古い鍵を削除する。何を妥当な期間とみなすかは、Trust Anchor のセキュリティプロファイルとリスク評価に依存する。

11.3. Redundant Retrieval of Trust Anchor Keys

フェデレーション運用者が管理する Trust Anchor の公開鍵を取得する手段を、当該 Trust Anchor の Entity Configuration とは独立に提供することが推奨される（RECOMMENDED）。これは、Entity Configuration から公開鍵を取得する基盤となる Web PKI [RFC9525] インフラが侵害された場合に備え、冗長性を提供することを意図している。

フェデレーション運用者が指定する独立の仕組みを通じて取得した鍵は、Trust Anchor の Entity Configuration を通じて取得した鍵と比較されるべきである（SHOULD）。一致しない場合、両方を再取得するべきである（SHOULD）。それでも一致しない場合は、セキュリティ上または設定上の問題を示唆する。そうした場合に取るべき適切な是正手順は、フェデレーション運用者が定めるべきである（SHOULD）。

11.4. Revocation

フェデレーションの参加者は定期的かつ頻繁に Trust Chain を確認することが想定されるため、この仕様は失効（revocation）手続を定義しない。特定のフェデレーションは別の選択をしてもよく（MAY）、その場合は自前の失効手続を定義しなければならない。

12. OpenID Connect Client Registration

このセクションでは、この仕様で定義される仕組みを用いて、RP と OP の間に、事前の明示的な設定や登録がない状態でも信頼関係を確立する方法を説明する。Section 10 に従い、Trust Chain を用いる 2 つの client 登録方式、Automatic Registration と Explicit Registration を定義する。フェデレーションは、client 登録に他の適切な方式を用いてもよい。

OpenID Connect Entity を含むフェデレーションは、サポートする client 登録方式について合意するべきである（SHOULD）。

Automatic Registration と Explicit Registration はどちらも、OpenID Connect 以外の OAuth 2.0 プロファイルにも使用できる点に注意されたい。その場合、Entity Type Identifier として openid_relying_party および openid_provider を用いる代わりに、oauth_client および oauth_authorization_server（または、使用する特定の OAuth 2.0 プロファイルに対して定義された他の Entity Type Identifier）を用いることになる。

両方式を用いる際、trust_anchor_hints 値を用いて、RP と OP が共有する Trust Anchor を特定できる。Trust Chain を構築するとき、可能であれば、RP は OP と共通の Trust Anchor を選ぶべきである（SHOULD）。

12.1. Automatic Registration

Automatic Registration により、RP は OP との事前の登録ステップなしに Authentication Request を行える。OP は、Authentication Request に含まれる Client ID から RP の Entity Configuration を解決し、Section 10 で定義される手順に従う。

RP は Authentication Request を送信する前に、Section 10 に従って OP の Trust Chain と metadata の解決を行わなければならない（MUST）。解決に成功しなかった場合、RP は OP とのそれ以上のやり取りを試みてはならない（MUST NOT）。

Automatic Registration には次の特徴がある。

• OP とのすべてのやり取りにおいて、RP は自身の Entity Identifier を Client ID として用いる。OP は、Section 9 で述べたとおり、Entity Identifier から導出される URL から RP の Entity Configuration を取得する。
• Authentication Request の前に登録ステップがないため、Automatic Registration を用いる場合、リクエストの認証には非対称暗号を用いなければならない（MUST）。非対称暗号がリクエストの認証に用いられるため、OP は RP に Client Secret を割り当てず、登録プロセスの結果としてそれを返すこともない。
• Automatic Registration をサポートする OP は、client_registration_types_supported metadata パラメータに automatic キーワードを含めなければならない（MUST）。

12.1.1. Authentication Request

Authentication Request は、OpenID Connect Core 1.0 [OpenID.Core] の Section 6 および The OAuth 2.0 Authorization Framework: JWT-Secured Authorization Request (JAR) [RFC9101] に記載されるとおり、Request Object を値渡しまたは参照渡しで渡すことにより実行される。あるいは、Pushed Authorization Requests [RFC9126] に記載される pushed authorization request を用いる。

Authentication Request は、下記のいずれかの方法を用いて、要求する Entity が当該 Entity の RP 鍵を管理していることを示さなければならない（MUST）。それを示さない Authentication Request の試行は拒否されなければならない（MUST）。

デプロイメントは、参照渡し（request_uri request パラメータを用いる）による request object の受け渡しをサポートしないことを選んでもよい（MAY）。これを許すと、攻撃者が OAuth 2.0 Authorization Server や OpenID Provider に対してサービス拒否攻撃を行いやすくなるためである。これは、request_uri_parameter_supported OP metadata パラメータを値 false として用いることで実現できる。request パラメータが大きすぎてクエリパラメータとして値渡しするのが実際的でない場合、代わりに HTTP POST または Pushed Authorization Request [RFC9126] を通じて送信できる。これは Section 12.1.1.2 に記載するとおりである。

12.1.1.1. Using a Request Object

Request Object が Authorization Endpoint または Pushed Authorization Request Endpoint で使用される場合、request パラメータの値は JWT であり、その Claims は OpenID Connect Core 1.0 [OpenID.Core] の Section 3.1.2 で指定される request パラメータである。JWT は署名されなければならず（MUST）、暗号化してもよい（MAY）。Request Object では次のパラメータが使用される。

aud

必須（REQUIRED）。"aud"（audience）の値は OP の Entity Identifier でなければならず（MUST）、他の値を含んではならない（MUST NOT）。

client_id

必須（REQUIRED）。client_id の値は RP の Entity Identifier でなければならない（MUST）。

iss

必須（REQUIRED）。iss の値は RP の Entity Identifier でなければならない（MUST）。

sub

存在してはならない（MUST NOT）。これは private_key_jwt client 認証のための statement の再利用を防ぐ。

jti

必須（REQUIRED）。JWT ID。JWT の一意な識別子であり、Request Object の再利用を防ぐために用いられる。Request Object は、当事者間で再利用条件が交渉された場合を除き、1 回しか使用してはならない（MUST）。そのような交渉はこの仕様のスコープ外である。

exp

必須（REQUIRED）。数値。処理のために受け付けてはならない（MUST NOT）期限を示す有効期限。これは [RFC7519] に従い、エポックからの秒数（Seconds Since the Epoch）として表現される。

iat

任意（OPTIONAL）。数値。この Request Object が発行された時刻。これは [RFC7519] に従い、エポックからの秒数（Seconds Since the Epoch）として表現される。

trust_chain

任意（OPTIONAL）。RP がリクエストを行う主体から選択された Trust Anchor までの Trust Chain を構成する Entity Statement のシーケンスを含む配列。RP と OP が同一のフェデレーションの一部である場合、RP は OP と共通の Trust Anchor を選択しなければならない（MUST）。そうでない場合、RP は使用する Trust Anchor を自由に選択できる。

NOTE: Section 4.3 で指定される trust_chain header パラメータの使用は、このパラメータの使用より推奨される（RECOMMENDED）。これは歴史的理由により残されている。

12.1.1.1.1. Authorization Request with a Trust Chain

認証リクエストで trust_chain header パラメータが使用される場合、Relying Party は、選択した Trust Anchor との信頼関係を証明する Entity Statement のシーケンスを OP に知らせる。

Trust Chain はサイズが大きいため、HTTP POST メソッド、request_uri、または Pushed Authorization Request [RFC9126] をリクエストに用いる必要がある場合がある。

以下は、Request Object における header パラメータと JWT Claims Set の、規範ではない（non-normative）例である。

{
  "typ": "oauth-authz-req+jwt",
  "alg": "RS256",
  "kid": "that-kid-which-points-to-a-jwk-contained-in-the-trust-chain",
  "trust_chain" : [
    "eyJhbGciOiJSUzI1NiIsImtpZCI6Ims1NEhRdERpYnlHY3M5WldWTWZ2aUhm ...",
    "eyJhbGciOiJSUzI1NiIsImtpZCI6IkJYdmZybG5oQU11SFIwN2FqVW1BY0JS ...",
    "eyJhbGciOiJSUzI1NiIsImtpZCI6IkJYdmZybG5oQU11SFIwN2FqVW1BY0JS ..."
  ]
}
.
{
  "aud": "https://op.example.org",
  "client_id": "https://rp.example.com",
  "exp": 1589699162,
  "iat": 1589699102,
  "iss": "https://rp.example.com",
  "jti": "4d3ec0f81f134ee9a97e0449be6d32be",
  "nonce": "4LX0mFMxdBjkGmtx7a8WIOnB",
  "redirect_uri": "https://rp.example.com/authz_cb",
  "response_type": "code",
  "scope": "openid profile email address phone",
  "state": "YmX8PM9I7WbNoMnnieKKBiptVW0sP2OZ"
}

Figure 49: Request Object JWT Claims Set

以下は、request パラメータを用いる Authentication Request の、規範ではない（non-normative）例である（値の途中の改行は表示目的のみ）。

Host: server.example.com
GET /authorize?
    redirect_uri=https%3A%2F%2Frp.example.com%2Fauthz_cb
    &scope=openid+profile+email+address+phone
    &response_type=code
    &client_id=https%3A%2F%2Frp.example.com
    &request=eyJ0eXAiOiJvYXV0aC1hdXRoei1yZXErand0IiwiYWxnIjoiUlMyNTYiLCJ
        raWQiOiJOX19EOThJdkI4TmFlLWt3QTZuck90LWlwVGhqSGtEeDM3bmljRE1IM04
        0In0.
        eyJhdWQiOiJodHRwczovL29wLmV4YW1wbGUub3JnIiwiY2xpZW50X2lkIjoiaHR0
        cHM6Ly9ycC5leGFtcGxlLmNvbSIsImV4cCI6MTU4OTY5OTE2MiwiaWF0IjoxNTg5
        Njk5MTAyLCJpc3MiOiJodHRwczovL3JwLmV4YW1wbGUuY29tIiwianRpIjoiNGQz
        ZWMwZjgxZjEzNGVlOWE5N2UwNDQ5YmU2ZDMyYmUiLCJub25jZSI6IjRMWDBtRk14
        ZEJqa0dtdHg3YThXSU9uQiIsInJlZGlyZWN0X3VyaSI6Imh0dHBzOi8vcnAuZXhh
        bXBsZS5jb20vYXV0aHpfY2IiLCJyZXNwb25zZV90eXBlIjoiY29kZSIsInNjb3Bl
        Ijoib3BlbmlkIHByb2ZpbGUgZW1haWwgYWRkcmVzcyBwaG9uZSIsInN0YXRlIjoi
        WW1YOFBNOUk3V2JOb01ubmllS0tCaXB0Vlcwc1AyT1oiLCJ0cnVzdF9jaGFpbiI6
        WyJleUpoYkdjaU9pSlNVekkxTmlJc0ltdHBaQ0k2SW1zMU5FaFJkRVJwWW5sSFkz
        TTVXbGRXVFdaMmFVaG0gLi4uIiwiZXlKaGJHY2lPaUpTVXpJMU5pSXNJbXRwWkNJ
        NklrSllkbVp5Ykc1b1FVMTFTRkl3TjJGcVZXMUJZMEpTIC4uLiIsImV5SmhiR2Np
        T2lKU1V6STFOaUlzSW10cFpDSTZJa0pZZG1aeWJHNW9RVTExU0ZJd04yRnFWVzFC
        WTBKUyAuLi4iXX0.
        Rv0isfuku0FcRFintgxgKDk7EnhFkpQRg3Tm6N6fCHAHEKFxVVdjy4
        9JboJtxKcQVZKN9TKn3lEYM1wtF1e9PQrNt4HZ21ICfnzxXuNx1F5SY1GXCU2n2y
        FVKtz3N0YkAFbTStzy-sPRTXB0stLBJH74RoPiLs2c6dDvrwEv__GA7oGkg2gWt6
        VDvnfDpnvFi3ZEUR1J8MOeW_VFsayrT9sNjyjsz62Po4LzvQKQMKxq0dNwPNYuuS
        fUmb-YvmFguxDb3weYl8WS-
        48EIkP1h4b_KGU9x9n7a1fUOHrS02ATQZmaL8jUil7yLJqx5MiCsPr4pCAXV0doA
        4pwhs_FIw HTTP/1.1

Figure 50: Authentication Request Using Request Object

trust_chain header パラメータが含まれる場合、peer_trust_chain header パラメータも、RP が選択した Trust Anchor までの OP 側の Trust Chain を提供するために含めてもよい（MAY）。Peer Trust Chain には、登録時に RP が OP に使用させたいと選んだ metadata と policy の値が含まれる。両方の Trust Chain で選択される Trust Anchor は同一でなければならない（MUST）。両方の Trust Chain を含めることで、[App-Fed-Linkage] で定義される Federation Integrity と Metadata Integrity の性質を達成できる。

12.1.1.1.2. Processing the Authentication Request

OP が受信した Authentication Request を処理する際、OP が OpenID Federation をサポートし、受信した Client ID が有効な URL であり、かつ OP がその Client ID を既知の client として登録していない場合、OP はリクエスト元に関する Trust Chain を解決するべきである（SHOULD）。

RP は、Section 4.3 で定義される trust_chain header パラメータを用いて、選択した Trust Anchor までの自身からの Trust Chain を Request Object に含めてもよい（MAY）。OP が RP に対する有効な登録を持たない、または登録が期限切れである場合、OP は受信した Trust Chain を、RP の Entity から Trust Anchor へ至るどのパスをたどるべきかのヒントとして用いてもよい（MAY）。OP は、特に RP の Entity Configuration に複数の authority hints が含まれる場合に、提供された Trust Chain 内の statement を評価して Federation Entity Discovery 手順をより効率的にしてもよい（MAY）。OP が既に RP に対する有効な登録を持つ場合、受信した Trust Chain を用いて RP の登録を更新してもよい（MAY）。

OP は、すべての statement を検証したため Trust Chain に依拠できる場合がある。これは、statement が URL から取得された場合でも、Request Object の trust_chain request パラメータにより提供された場合でも同様である。どちらの場合でも、OP は Trust Chain（含まれるすべての Entity Statement）を完全に検証しなければならない（MUST）。

同様に、RP は、Section 4.4 で定義される peer_trust_chain header パラメータを用いて、Request Object に、選択した Trust Anchor までの OP からの Trust Chain を含めてもよい（MAY）。OP は、登録の際に RP が選択した metadata と policy の値を使用するべきである（SHOULD）。両方の Trust Chain を含めることで、[App-Fed-Linkage] で定義される Federation Integrity と Metadata Integrity の性質を達成できる。

RP が Request Object に trust_chain header パラメータを含めない場合、OP が何らかの理由で提供された Trust Chain を用いないと判断した場合、または OP がこの機能をサポートしない場合、OP は Section 10.1 に記載のとおり、RP の Entity Configuration から開始して可能な Trust Chain を検証し、Entity Type が openid_relying_party の RP metadata を解決しなければならない（MUST）。

OP はさらに、RP の Resolved Metadata が client metadata 仕様 OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] に適合していることを検証するべきである（SHOULD）。

OP が RP の metadata を得たら、client が実際に Authentication Request を送った主体であることを検証しなければならない（MUST）。これは、openid_relying_party の Entity Type に対する metadata に client が公開している鍵素材を用いて Request Object の署名を検証することにより行う。署名が検証できない場合、OP はリクエストを拒否しなければならない（MUST）。

12.1.1.2. Using Pushed Authorization

Pushed Authorization Requests [RFC9126] は、認証リクエストのパラメータを AS に直接送信し、1 回限り使用できる request_uri と交換するための相互運用可能な方法を提供する。標準の PAR metadata パラメータは、その利用を示すために RP と OP の metadata で使用される。

Automatic Registration で PAR を用いる場合、Section 12.1.1.1 で記載したとおりの Request Object を PAR パラメータとして使用しなければならない（MUST）。または、PAR endpoint 向けの client 認証方式として、RP のいずれかの秘密鍵の所持を証明するものを使用しなければならない（MUST）。さらに、対応する公開鍵は Entity の RP JWK Set に存在しなければならない（MUST）。

適用可能な PAR client 認証方式は次の 2 つである。

• OpenID Connect Core 1.0 [OpenID.Core] の Section 9 にある private_key_jwt として記述される JWT Client authentication。この場合、client 認証 JWT の audience は OP の Entity Identifier でなければならず（MUST）、他の値を含んではならない（MUST NOT）。
• [RFC8705] の Section 2.2 で記述される自己署名証明書を用いる mTLS。この場合、自己署名証明書は Entity の RP JWK Set にある鍵の x5c Claim の値として存在しなければならない（MUST）。この場合、サーバーは証明書チェーンの検証を省略しなければならない（MUST）。

OP に対する Pushed Authorization Request は次のようになる。

POST /par HTTP/1.1
Host: op.example.org
Content-Type: application/x-www-form-urlencoded

redirect_uri=https%3A%2F%2Frp.example.com%2Fauthz_cb
&scope=openid+profile+email+address+phone
&response_type=code
&nonce=4LX0mFMxdBjkGmtx7a8WIOnB
&state=YmX8PM9I7WbNoMnnieKKBiptVW0sP2OZ
&client_id=https%3A%2F%2Frp.example.com
&client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3A
  client-assertion-type%3Ajwt-bearer
&client_assertion=eyJhbGciOiJSUzI1NiIsImtpZCI6ImRVTjJ
  hMDF3Umtoa1NXcGxRVGh2Y1ZCSU5VSXdUVWRPVUZVMlRtVnJTbW
  hFUVhnelpYbHBUemRRTkEifQ.
  eyJzdWIiOiAiaHR0cHM6Ly9ycC5leGFtcGxlLmNvbSIsICJpc3M
  iOiAiaHR0cHM6Ly9ycC5leGFtcGxlLmNvbSIsICJpYXQiOiAxNT
  g5NzA0NzAxLCAiZXhwIjogMTU4OTcwNDc2MSwgImF1ZCI6ICJod
  HRwczovL29wLmV4YW1wbGUub3JnIiwgImp0aSI6ICIzOWQ1YWU1
  NTJkOWM0OGYwYjkxMmRjNTU2OGVkNTBkNiJ9.
  oUt9Knx_lxb4V2S0tyNFH
  CNZeP7sImBy5XDsFxv1cUpGkAojNXSy2dnU5HEzscMgNW4wguz6
  KDkC01aq5OfN04SuVItS66bsx0h4Gs7grKAp_51bClzreBVzU4g
  _-dFTgF15T9VLIgM_juFNPA_g4Lx7Eb5r37rWTUrzXdmfxeou0X
  FC2p9BIqItU3m9gmH0ojdBCUX5Up0iDsys6_npYomqitAcvaBRD
  PiuUBa5Iar9HVR-H7FMAr7aq7s-dH5gx2CHIfM3-qlc2-_Apsy0
  BrQl6VePR6j-3q6JCWvNw7l4_F2UpHeanHb31fLKQbK-1yoXDNz
  DwA7B0ZqmuSmMFQ

Figure 51: Pushed Authorization Request to the OP

12.1.1.2.1. Processing the Pushed Authentication Request

Section 12.1.1.1.2 で指定した要件は、Pushed Authorization Requests [RFC9126] にも適用される。

OP が RP の metadata を取得したら、openid_relying_party Entity Type Identifier に対して公開されている鍵を client が使用していることを検証しなければならない（MUST）。RP の検証に失敗した場合、OP はリクエストを拒否しなければならない（MUST）。

検証手段は、使用される client 認証方式に依存する。

private_key_jwt

この方式が使用される場合、OP は、RP が自身の metadata に公開している鍵素材を用いて、署名済み JWT の署名を検証する。認証が成功した場合、登録は有効である。署名済み JWT の audience は Authorization Server の Entity Identifier でなければならず（MUST）、他の値を含んではならない（MUST NOT）。

self_signed_tls_client_auth

自己署名証明書を用いて mTLS を使用する場合、その証明書は、RP の鍵を含む JWK Set 内の鍵の x5c Claim の値として存在しなければならない（MUST）。

12.1.2. Successful Authentication Response

Automatic Registration を用いる場合における成功した認証リクエストへのレスポンスは、[OpenID.Core] で定義される成功した認証レスポンスと同一である。これは、Client の redirection URI に送信される成功した OAuth 2.0 認可レスポンスである。

12.1.3. Authentication Error Response

Automatic Registration を用いる場合における失敗した認証リクエストへのエラーレスポンスは、[OpenID.Core] で定義される認証エラーレスポンスと同一である。これは、リクエストに Pushed Authorization Request [RFC9126] が用いられた場合を除き、Client の redirection URI に送信される OAuth 2.0 認可エラーレスポンスである。

ただし、[OpenID.Core] および [RFC6749] の双方と同様に、redirection URI が無効な場合はリダイレクトを行ってはならず（MUST NOT）、代わりに Authorization Server はユーザーインタフェース上で End-User にエラーを知らせるべきである（SHOULD）。Authorization Server は、redirection URI が open redirector の構成要素として利用されている可能性があると判断する理由がある場合にも、同様に行うことを選択してもよい（MAY）。

OP が RP との信頼関係の確立に失敗した場合、または RP の metadata が無効である、もしくは metadata policy と競合していると判断した場合、OP は redirection URI を無効として扱い、リダイレクトを行ってはならない（MUST NOT）。これは、信頼関係の確立に失敗した理由に関するエラーコードである invalid_trust_anchor、invalid_trust_chain、invalid_metadata は、Pushed Authorization Request [RFC9126] のエラーレスポンスとしてのみ返されるべきであり（SHOULD）、Client の redirection URI に返されるべきではないことを意味する。

IANA の「OAuth Extensions Error Registry」レジストリ [IANA.OAuth.Parameters] に含まれるエラーコードに加えて、この仕様は Section 8.9 のエラーコードも定義しており、これらも使用してもよい（MAY）。

以下は、規範ではない（non-normative）認証エラーレスポンスの例である。

HTTP/1.1 302 Found
  Location: https://client.example.org/cb?
    error=consent_required
    &error_description=
      Consent%20by%20the%20End-User%20required
    &state=af0ifjsldkj

Figure 52: Authentication Error Response

12.1.4. Automatic Registration and Client Authentication

Automatic Registration を用いる場合、client が使用できる client 認証方式は RP Metadata パラメータ、すなわち [OpenID.RP.Choices] で定義される token_endpoint_auth_methods_supported パラメータ、または token_endpoint_auth_method パラメータによって OP に示される点に注意されたい。同様に、OP が使用できる方式も OP Metadata パラメータによって RP に示される。しかし、RP と OP の双方が複数の方式をサポートしている場合、Automatic Registration が行われる時点ではどの方式を RP が選ぶかが宣言されないため、OP は実際に使用される前に RP がどれを選ぶかを事前には把握できない。

OP は相互にサポートされる任意の client 認証方式を受け入れるべきであり（SHOULD）、RP は相互にサポートされる方式のみを用いなければならない（MUST）。一部の OP は、その後のやり取りでも RP が常に同じ client 認証方式を用いることを前提として実装されている可能性があるため、RP がそれを守ることで相互運用性が向上する場合があることに注意されたい。

12.1.5. Possible Other Uses of Automatic Registration

Automatic Registration は、Section 12 で述べたとおり、OpenID Connect を超えた OAuth 2.0 のユースケースにおいても利用できるよう設計されている。たとえば、素の OAuth 2.0 [RFC6749] または FAPI [FAPI] を使用するエコシステムは Automatic Registration を活用できる。

また、Entity Identifier である Client ID の値は、OAuth 2.0 のデプロイメントにおいて Authorization Endpoint と Token Endpoint 以外の endpoint（たとえば Pushed Authorization Request (PAR) Endpoint や Introspection Endpoint）で、Automatic Registration を使用する client を識別するために利用できる点にも注意されたい。こうした特定のシナリオを記述することは、この仕様のスコープ外である。

12.2. Explicit Registration

この方式では、RP は [OpenID.Registration] に似た専用の登録リクエストにより OP との client 登録を確立するが、metadata の代わりに RP は自身の Entity Configuration または Trust Chain 全体を提出する。Explicit Registration が完了すると、RP は OP に対して通常の OpenID 認証リクエストを行える。

Explicit Registration をサポートする OP は、client_registration_types_supported metadata パラメータに explicit キーワードを含めなければならず（MUST）、また federation_registration_endpoint metadata パラメータを、Explicit Registration リクエストを受け付ける URL に設定しなければならない（MUST）。

Explicit Registration は、OP のデプロイメントにおける OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] の registration endpoint の上に実装するのに適している。Automatic Registration と対照的に、これにより OP は Client ID、場合によっては Client Secret、その他の metadata パラメータを払い出せる。

Explicit Registration の例は Appendix A.3.2 に示されている。

12.2.1. Explicit Client Registration Request

RP は次のとおり Explicit Client Registration を行う。

RP が、OP と共通する Trust Anchor の集合を特定したら、次に進めたい部分集合を選択する。これは単一の Trust Anchor である場合もあれば、複数である場合もある。RP は Section 10 で指定するとおり、OP の Trust Chain と metadata の解決を行わなければならない（MUST）。解決に成功しなかった場合、RP はリクエストを中止しなければならない（MUST）。

この Trust Anchor の部分集合を用いて、RP は利用可能なヒントから authority_hints の集合を選択する。各ヒントは、Trust Chain の収集の開始点として用いられた場合、部分集合内の少なくとも 1 つの Trust Anchor に到達しなければならない（MUST）。RP が OP と共通する Trust Anchor を複数持つ場合、RP は次に進むための Trust Anchor の部分集合を選択しなければならない（MUST）。この部分集合は単一の Trust Anchor のみでもよく、複数を含んでもよい。

次に RP は自身の Entity Configuration を構築する。このとき、選択される metadata statement は OP の metadata の影響を受け、含める authority_hints は上記のプロセスで選ばれる。RP は、Immediate Superiors から 1 つ以上の authority_hints を選択しなければならない（MUST）。そして、各ヒントは、Trust Chain 収集の開始点として用いられた場合、上で選択した部分集合内の少なくとも 1 つの Trust Anchor に到達しなければならない（MUST）。

RP は、自身に関する Trust Chain の中に自身の Entity Configuration を含めてもよい（MAY）。これには 2 つの方法がある。第 1 の方法は、Registration Request に、リクエストを行う RP と選択した Trust Anchor の間の Trust Chain を構成する Entity Statement のシーケンスを含む配列を含めることである。第 2 の方法は、Section 4.3 で指定される trust_chain header パラメータを用いることである。

NOTE: リクエスト JWT における trust_chain header パラメータの使用は、第 1 の構文より推奨される（RECOMMENDED）。これは歴史的理由により残されている。

RP は、自身の Entity Configuration に自身の metadata を含め、上で選択した authority_hints を使用しなければならない（MUST）。

RP は、解決済み OP metadata に適合するよう metadata パラメータを選択し、OP との登録が成功することを確実にするべきである（SHOULD）。提出された RP metadata が OP の metadata に適合しない場合、OP はエラーレスポンスでリクエストを拒否する代わりに、適合するようそれを変更することを選択する場合があることに注意されたい。

Entity Configuration または Trust Chain 全体は、HTTP POST を用いて federation_registration_endpoint に送信される。Entity Configuration または Trust Chain は POST 本文全体である。RP は、所持している現在の Federation Entity Key を用いて自身の Entity Configuration に署名しなければならない（MUST）。

Registration Request の content type は、リクエスト元の Entity Configuration である場合 application/entity-statement+jwt でなければならない（MUST）。それ以外に、Trust Chain である場合、Registration Request の content type は application/trust-chain+json でなければならない（MUST）。RP は、自身の Entity Configuration を、RP に至る Trust Chain に含めてもよい（MAY）。この場合、登録リクエストは、RP と、RP が選択した Trust Anchor の間の Trust Chain を構成する statement のシーケンスからなる配列を含む。

リクエストが RP の Entity Configuration である場合、trust_chain header パラメータを含めて、RP と RP が選択した Trust Anchor の間の Trust Chain を提供してもよい（MAY）。これは、Trust Chain をリクエスト本文として提供するのと等価である。trust_chain header パラメータが含まれる場合、peer_trust_chain header パラメータも含めて、OP と RP が選択した Trust Anchor の間の Trust Chain を提供してもよい（MAY）。Peer Trust Chain には、登録の際に RP が OP に使用させたいと選んだ metadata と policy の値が含まれる。リクエスト本文が Trust Chain である場合、peer_trust_chain header パラメータを使用してはならない（MUST NOT）。両方の Trust Chain で選択される Trust Anchor は同一でなければならない（MUST）。両方の Trust Chain を含めることで、[App-Fed-Linkage] で定義される Federation Integrity と Metadata Integrity の性質を達成できる。

以下の Entity Configuration Claims は Explicit Registration リクエストで使用するために指定される。完全な説明は Section 3 にある。

• iss\ 必須（REQUIRED）。その値は RP の Entity Identifier でなければならない（MUST）。
• sub\ 必須（REQUIRED）。その値は RP の Entity Identifier でなければならない（MUST）。
• iat\ 必須（REQUIRED）。
• exp\ 必須（REQUIRED）。
• jwks\ 必須（REQUIRED）。
• aud\ 必須（REQUIRED）。"aud"（audience）の値は OP の Entity Identifier でなければならず（MUST）、他の値を含んではならない（MUST NOT）。この Claim は Explicit Registration リクエストで使用されるものであり、一般的な Entity Statement Claim ではない。
• authority_hints\ 必須（REQUIRED）。
• metadata\ 必須（REQUIRED）。openid_relying_party Entity Type Identifier の下に RP metadata を含まなければならない（MUST）。
• crit\ 任意（OPTIONAL）。
• trust_marks\ 任意（OPTIONAL）。

リクエストは、OP の federation_registration_endpoint に対する HTTP リクエストであり、POST メソッドを用いなければならない（MUST）。

RP が Entity Configuration を提出する場合、リクエストの content type は application/entity-statement+jwt でなければならない（MUST）。RP が Trust Chain を提出する場合、content type は application/trust-chain+json でなければならない（MUST）。

12.2.2. Processing Explicit Client Registration Request by OP

OP は次のとおりリクエストを処理する。

登録リクエストを受信したら、OP は content type を調べ、Entity Configuration を含むのか、Trust Chain 全体を含むのかを判断しなければならない（MUST）。

OP は、RP の explicit registration request JWT を検証しなければならない（MUST）。通常の Entity Statement の検証規則がすべて適用される。加えて、aud（audience）Claim の値が OP の Entity Identifier でない場合、そのリクエストは拒否されなければならない（MUST）。

リクエストに、RP から Trust Anchor までの Trust Chain が提供されていない場合、OP は、提供された Entity Configuration を用いて Federation Entity Discovery を完了しなければならない（MUST）。これは、RP の Entity Configuration 内の authority_hints から開始する Trust Chain を収集して評価することにより行う。少なくとも 1 つの Trust Chain を検証した後、OP は受信した Entity Configuration の署名を検証しなければならない（MUST）。OP が許容可能な Trust Chain を複数見つけた場合、その中から 1 つを、次に進む Trust Chain として選択しなければならない（MUST）。

リクエスト本文が Trust Chain である場合、OP は、特に RP が自身の Entity Configuration に複数の authority hint を含めた場合に、Federation Entity Discovery を実行するために必要な HTTP 呼び出しを節約するため、Trust Chain 内の statement を評価してもよい（MAY）。それ以外の場合、OP は Trust Chain から RP の Entity Configuration を抽出し、Step 3 に従って、Entity Configuration のみを受信した場合と同様に処理を進めなければならない（MUST）。

リクエストの Entity Configuration において trust_chain header パラメータを用いて Trust Chain が提供された場合も、OP は同様に、Federation Entity Discovery を実行するために必要な HTTP 呼び出しを節約するため、Trust Chain 内の statement を評価してもよい（MAY）。この場合、Trust Chain 内の RP の Entity Configuration は、RP から Trust Anchor へのパスがあることを確立するためにのみ用いられる点に注意されたい。登録リクエストの処理に用いられるのは、RP が OP 向けに調整している可能性があるリクエスト Entity Configuration 内の metadata 等である。提供された Trust Chain を用いない場合、OP はリクエスト Entity Configuration を用いて Step 3 に従って処理を進めなければならない（MUST）。

リクエストが peer_trust_chain header パラメータを用いて、RP が選択した Trust Anchor までの OP からの Trust Chain を含める場合、OP から開始していることを検証する。さらに、RP から Trust Anchor まで提供された Trust chain がある場合は、それと同じ Trust Anchor で終わっていることを検証する。OP は、登録の際に RP が選択した metadata と policy の値を使用するべきである（SHOULD）。

この時点で、OP が要求元 RP に対する既存の client 登録を既に持っていることを見いだした場合、その登録は無効化されなければならない（MUST）。無効化の正確な時刻は OP の裁量に委ねられる。これは、登録リクエストの処理中であっても、RP によって開始された同時並行の OpenID 認証リクエストの完了を OP が確実にしたい場合があるためである。

OP は、過去の RP 署名を検証し、過去の RP データに対する他の暗号操作を行うため、無効化された登録から client credentials と鍵素材を保持してもよい（MAY）。

OP は、RP の Resolved Metadata を用いて、自身の OP metadata およびその他の適用可能なポリシーに適合する client 登録を作成する。

OP は、RP の Entity Identifier 以外の client_id を RP に払い出してもよい（MAY）。これにより、OP の OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] の registration endpoint の上に Explicit Registration を実装できる。

RP に client_secret が払い出される場合、それは RP に返される登録 Entity Statement の有効期限より前に期限切れになってはならない（MUST NOT）。

OP は、registration_access_token と registration_client_uri を RP に払い出すべきではない（SHOULD NOT）。RP が登録を更新する際に期待される方法は、新しい Explicit Registration リクエストを行うことだからである。何らかの目的、たとえば登録済み metadata を独立に確認できるようにするために OP が RP に registration_access_token を払い出す場合でも、そのトークンは登録の変更を許してはならない（MUST NOT）。

OP は、受信した RP metadata を、自身の OP metadata およびその他のポリシーに適合させるために、たとえば無効または非対応のパラメータを置換するなどして変更してもよい（MAY）。OP が RP metadata を受け入れない、または適合させるために変更する意思がない場合、OP は client 登録エラーレスポンスを返さなければならない（MUST）。このとき、[OpenID.Registration] の Section 3.3 で指定される invalid_client_metadata または invalid_redirect_uri など、適切なエラーを含める。

OP は、作成した登録に有効期限を割り当てなければならない（MUST）。この時刻は、OP がリクエスト処理に選択した Trust Chain の有効期限を超えてはならない（MUST NOT）。

12.2.3. Successful Explicit Client Registration Response

OP が RP の client 登録を作成した場合、OP は Entity Statement の形で成功レスポンスを構築しなければならない（MUST）。

OP は、Entity Statement の trust_anchor Claim を、リクエスト処理に選択した Trust Anchor に設定しなければならない（MUST）。authority_hints Claim は、選択した Trust Chain における RP の Immediate Superior に設定しなければならない（MUST）。

OP は、作成した登録の有効期限として exp Claim を設定しなければならない（MUST）。OP は、その前に登録を無効化することを選択してもよい（MAY）。これは Section 12.2.6 で説明される。

OP は、metadata Claim により、RP のために作成した client 登録を表現しなければならない（MUST）。これは、openid_relying_party Entity Type Identifier の下に metadata パラメータを配置することで行う。パラメータには、RP に払い出した client_id を含めなければならない（MUST）。RP に credentials（たとえば client_secret）を払い出した場合、それらも含めなければならない（MUST）。

OP は、たとえば token_endpoint_auth_method（既定値が client_secret_basic）など、既定値を持つ metadata パラメータを含めるべきである（SHOULD）。これは、RP によるレスポンス処理を簡素化するためである。

OP は、所持している現在の Federation Entity Key を用いて登録 Entity Statement に署名しなければならない（MUST）。

以下の Entity Statement Claims は、Section 3 で指定するとおり、Explicit Registration レスポンスで使用される。

• iss\ 必須（REQUIRED）。その値は OP の Entity Identifier でなければならない（MUST）。
• sub\ 必須（REQUIRED）。その値は RP の Entity Identifier でなければならない（MUST）。
• iat\ 必須（REQUIRED）。この statement が発行された時刻。
• exp\ 必須（REQUIRED）。この時刻以降、statement は処理のために受け付けられてはならない（MUST NOT）有効期限。
• jwks\ 任意（OPTIONAL）。存在する場合、受信した RP の Entity Configuration にある jwks Entity Statement Claim の逐語的コピーでなければならない（MUST）。これは同名の RP metadata パラメータとは別物である点に注意されたい。
• aud\ 必須（REQUIRED）。"aud"（audience）の値は RP の Entity Identifier でなければならず（MUST）、他の値を含んではならない（MUST NOT）。この Claim は Explicit Registration レスポンスで使用されるものであり、一般的な Entity Statement Claim ではない。
• trust_anchor\ 必須（REQUIRED）。その値は、Explicit Registration リクエストの処理に OP が選択した Trust Anchor の Entity Identifier でなければならない（MUST）。RP が選択した Trust Anchor への完全な Trust Chain が、リクエストおよび／または peer_trust_chain header パラメータの使用によって提供された場合、これはそれらの Trust Chain のルートにある Trust Anchor と一致しなければならない（MUST）。この Claim は Explicit Registration レスポンス固有であり、一般的な Entity Statement Claim ではない。
• authority_hints\ 必須（REQUIRED）。単一要素の配列でなければならず（MUST）、その値は、OP がリクエスト処理に選択した Trust Chain における RP の Immediate Superior を参照しなければならない（MUST）。
• metadata\ 必須（REQUIRED）。openid_relying_party Entity Type Identifier の下に登録済み RP metadata を含まなければならない（MUST）。
• crit\ 任意（OPTIONAL）。Section 3.1 で指定されるとおり、理解され処理されなければならない（MUST）Claims の集合。

成功レスポンスは、HTTP ステータスコード 200 と content type application/explicit-registration-response+jwt を持たなければならない（MUST）。さらに、レスポンスの typ header パラメータ値は explicit-registration-response+jwt でなければならず（MUST）、Explicit Registration レスポンスと他種の Entity Statement の混同を防ぐため、entity-statement+jwt であってはならない（MUST NOT）。

12.2.4. Explicit Client Registration Error Response

client 登録エラーの場合、レスポンスは Section 8.9 で定義されるとおりであり、そこに定義されるエラーと、[OpenID.Registration] の Section 3.3 および [RFC7591] の Section 3.2.2 で定義されるエラーを使用してもよい（MAY）。

12.2.5. Processing Explicit Client Registration Response by RP

レスポンスが成功を示す場合、RP はその内容が有効な Entity Statement であり、かつ OP によって発行されたものであることを検証しなければならない（MUST）。

RP は、OP が用いた署名用 Federation Entity Key が、RP が Explicit Registration リクエストの準備時に OP について正常に解決した Trust Chain において、OP の Immediate Superior が発行した Subordinate Statement の jwks Claim に存在することを確実にしなければならない（MUST）。

RP は、aud（audience）Claim の値が自身の Entity Identifier であることを検証しなければならない（MUST）。

RP は、trust_anchor が自身の Trust Anchor の 1 つを表していることを検証しなければならない（MUST）。RP が選択した Trust Anchor への完全な Trust Chain が、リクエストおよび／または peer_trust_chain header パラメータの使用によって提供された場合、RP は、これがそれらの Trust Chain のルートにある Trust Anchor と一致することを検証しなければならない（MUST）。

RP は、Explicit Registration リクエストで指定した authority_hints の少なくとも 1 つが、OP が trust_anchor Claim に設定した Trust Anchor に到達することを検証しなければならない（MUST）。

RP はまず、OP に登録された情報が、リクエストと同じ entity_types の集合を含むことを確実にしなければならない（MUST）。レスポンス Claim trust_anchor を Trust Anchor の Entity Identifier として用い、authority_hints を Trust Chain 収集の開始点として Trust Chain を収集した後、RP は、Section 6.1.4.1 で指定されるとおり、解決済みポリシーを受信 metadata に適用して、各 entity type のレスポンス metadata が有効であることを検証するべきである（SHOULD）。

受信した登録 Entity Statement が上記のチェックを通過しない場合、RP はそれを拒否しなければならない（MUST）。RP は、一時的な例外を回避するために Explicit Registration リクエストを再試行することを選んでもよい（MAY）。たとえば、Entity metadata または metadata policy の最近の変更により metadata の一時的な不整合が生じた場合である。

12.2.6. After an Explicit Client Registration

RP は、登録 Entity Statement の exp Claim を用いて、client 登録を更新するための適切な戦略を策定できる。RP 実装者は、OP における client_id の期限切れが、RP によって開始されたばかりの OAuth 2.0 フローと一致する場合、OpenID Connect の認証リクエスト、token リクエスト、または UserInfo リクエストが突如失敗する可能性がある点に留意すべきである。期限切れ前に RP の登録を更新することで、このようなエラーの発生を防ぎ、End-User 体験が中断されないようにできる。

OP は、RP のための登録 Entity Statement に示される期限より前に client 登録を無効化してもよい（MAY）。理由の例としては、RP の登録に用いられたフェデレーションから OP が離脱する場合が挙げられる。

12.3. Registration Validity and Trust Reevaluation

OP における Automatic または Explicit Registration の有効性は、OP が登録作成に用いた Trust Chain の存続期間を超えてはならない（MUST NOT）。OP は、より早い時刻に登録を期限切れにすることを選んでもよく（MAY）、または Trust Chain が有効期限に達する前に、登録済み RP に対して Trust Chain の追加の定期的な再評価を行うことを選んでもよい（MAY）。

同様に、Automatic または Explicit Registration を取得した RP は、OP における信頼確立に用いた Trust Chain の期限を過ぎてそれを使用してはならない（MUST NOT）。Automatic Registration を使用する RP の場合、OP に対する信頼は、OP へのリクエストを継続する前に、正常に再評価されなければならない（MUST）。Explicit Registration を使用する RP の場合、RP は登録を正常に更新しなければならない（MUST）。RP は、Trust Chain が有効期限に達する前に、OP に対する Trust Chain の追加の定期的な再評価を行うことを選んでもよい（MAY）。

12.4. Differences between Automatic Registration and Explicit Registration

Automatic Registration と Explicit Registration の主な違いは次のとおりである。

• Automatic Registration では Authentication Request の前に登録ステップがない一方、Explicit Registration では登録ステップがある。（OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] と OAuth 2.0 Dynamic Client Registration [RFC7591] も、事前の登録ステップを用いる。）
• Automatic Registration では Client ID の値は RP の Entity Identifier であり、RP により OP に提供される一方、Explicit Registration では Client ID は OP により割り当てられ、RP に提供される。
• Automatic Registration では Client は、RP が Entity Configuration の公開鍵の 1 つに対応する秘密鍵を管理していることを示すことで認証される。一方、Explicit Registration では、Client Secret の利用を含め、Client を認証するためのより広い選択肢が利用できる。

12.5. Rationale for the Trust Chain in the Request

Automatic と Explicit の両方の Client Registration は、リクエスト元が計算した、リクエストに埋め込まれた Trust Chain（リクエスト元自身に関するもの）の提出をサポートする。これにより次の利点が得られる。

• OP が古くなった RP metadata を使用する問題を解決する。古いデータは、OP が、まだ有効期限に達していない Trust Chain からのキャッシュ済み RP metadata を使用する場合に発生し得る。RP は、リクエストに trust_chain header パラメータまたは trust_chain request パラメータを含めることで、変更が発生したことを OP に通知してもよい（MAY）。これにより OP は Client Registration を更新し、古い metadata による潜在的な一時的障害を防止できる。
• Trust Chain を構築するためにどの trust path を採用すべきかについて、検証可能なヒントを RP が渡せる。これは、RP が複数の Trust Anchor を持つ、または Trust Chain の解決が行き止まりに至り得る複雑なフェデレーションにおいて、OP 側の RP Federation Entity Discovery のコストを削減できる。
• Trust Marks が存在する場合、それを含む Entity Configuration を直接渡せるため、OP が RP の /.well-known/openid-federation endpoint に HTTP リクエストを行う必要を省ける。

13. General-Purpose JWT Claims

このセクションは、さまざまな JWT プロファイルで使用されることを意図した汎用 JWT Claims を定義する。これらは、この仕様が定義する特定種別の JWT においても使用される。

13.1. "jwks" (JSON Web Key Set) Claim

jwks（JSON Web Key Set）Claim の値は、[RFC7517] で定義される JWK Set である。これは暗号鍵の集合を伝達するために用いられる。この Claim の使用は任意（OPTIONAL）である。

たとえば、jwks（JSON Web Key Set）Claim は、アプリケーションの署名鍵の集合を表すために使用され得る。この Claim は、この仕様では Section 3.1 で指定するとおり、Entity Statement に署名するために用いられる公開鍵を表すために使用される。

13.2. "metadata" Claim

metadata Claim は、JWT に関する metadata を伝達するために用いられる。その値は JSON オブジェクトである。含まれる metadata の詳細はアプリケーション固有である。この Claim の使用は任意（OPTIONAL）である。

たとえば、metadata Claim は、API 記述における endpoint URL とアルゴリズム識別子の集合を表すために使用され得る。この Claim は、この仕様では Section 3.1 で指定するとおり、Entity に関する metadata を表すために使用される。

13.3. "constraints" Claim

constraints Claim は、JWT に関する制約を伝達するために用いられる。その値は JSON オブジェクトである。含まれる制約の詳細はアプリケーション固有である。この Claim の使用は任意（OPTIONAL）である。

たとえば、constraints Claim は、物理的な物体に対する材料の厚みの上限を課すために使用され得る。この Claim は、この仕様では Section 3.3 で指定するとおり、Entity の Trust Chain に対する constraints を表すために使用される。

13.4. "crit" (Critical) Claim

crit（critical）Claim は、この種別の JWT で使用することが指定される Claims の集合に対する拡張が使用されており、それらが理解され処理されなければならない（MUST）ことを示す。これは、理解され処理されなければならない（MUST）拡張 JOSE header パラメータを示す crit header パラメータと同様に用いられる。crit の値は、拡張を使用する Claim が JWT に存在する Claim 名を列挙する配列である。列挙された Claims のいずれかが受信者に理解されずサポートされない場合、その JWT は無効である。生成者は、この種別の JWT での使用が既に指定されている Claim 名、重複名、または JWT 内に Claim 名として出現しない名前を crit リストに含めてはならない（MUST NOT）。生成者は、crit の値として空配列 [] を使用してはならない（MUST NOT）。この Claim の使用は任意（OPTIONAL）である。

この Claim は、この仕様では Section 3.1 で指定するとおり、Entity Statement で使用される際に、この仕様で定義されないが理解され処理されなければならない（MUST）Claims を識別するために使用される。

13.5. "ref" (Reference) Claim

ref（reference）Claim は、JWT に関連するリソースの URI を伝達するために用いられる。これは、HTML における href プロパティに似た役割を JWT において果たす。参照先リソースにある内容の性質は、一般にアプリケーション固有である。ref の値は、URI 値を含む大文字小文字を区別する文字列である。この Claim の使用は任意（OPTIONAL）である。

たとえば、2 当事者間の契約を参照する JWT は、ref（reference）Claim を用いて、契約条項を読めるリソースを参照し得る。この Claim は、この仕様では Section 7.1 で指定するとおり、Trust Mark の発行に関する人間可読な情報を参照する URL を提供するために使用される。

13.6. "delegation" Claim

delegation Claim は、Claim Value が参照する当事者へ権限が委任されていることを表す。delegation の値は、StringOrURI 値を含む大文字小文字を区別する文字列である。この Claim の使用は任意（OPTIONAL）である。

たとえば、delegation Claim は、参照される当事者が subject を代表して法的文書に署名できることを表すために使用され得る。この Claim は、この仕様では Section 7.1 で指定するとおり、特定の識別子を持つ Trust Marks を発行する権利の委任を表すために使用される。

13.7. "logo_uri" (Logo URI) Claim

logo_uri Claim の値は、JWT に関連するロゴを参照する URI である。この Claim の使用は任意（OPTIONAL）である。

たとえば、logo_uri Claim は、ユーザーインタフェースに表示するために組織のロゴを取得する場所を表すために使用され得る。この Claim は、この仕様では Section 7.1 で指定するとおり、Entity のロゴを参照する URL を伝達するために使用される。

14. Claims Languages and Scripts

人間可読な Claim Values および人間可読な値を参照する Claim Values は、複数の言語および文字体系で表現され得る（MAY）。この仕様は、OpenID Connect Core 1.0 [OpenID.Core] の Section 5.2 で定義されるのと同様の方法で、そのような表現を可能にする。

OpenID Connect Core に記載されるとおり、言語と文字体系を指定するため、BCP47 [RFC5646] の言語タグが member 名に追加され、# 文字で区切られる。たとえば family_name#ja-Kana-JP は、日本語のカタカナで表された姓（Family Name）を表し、これは一般に、同じ名前の漢字表記（family_name#ja-Hani-JP として表される）の読みを索引付けし表現するために用いられる。

言語タグは、人間可読な値を含む、または参照する任意のデータ構造で使用できる。これには metadata パラメータおよび Trust Mark パラメータが含まれる。たとえば、metadata には organization_name と organization_name#de が併存し得る。

15. Media Types

この仕様は、これらの media types [RFC2046] を定義する。

15.1. "application/entity-statement+jwt" Media Type

application/entity-statement+jwt media type は、関連する内容が Section 3 で定義される Entity Statement であることを示すために用いられる。この media type にはパラメータを使用しない。

15.2. "application/trust-mark+jwt" Media Type

application/trust-mark+jwt media type は、関連する内容が Section 7 で定義される Trust Mark であることを示すために用いられる。この media type にはパラメータを使用しない。

15.3. "application/resolve-response+jwt" Media Type

application/resolve-response+jwt media type は、関連する内容が Section 8.3.2 で定義される Resolve Response であることを示すために用いられる。この media type にはパラメータを使用しない。

15.4. "application/trust-chain+json" Media Type

application/trust-chain+json media type は、関連する内容が Section 4 で定義される Trust Chain を表す JSON 配列であることを示すために用いられる。この media type にはパラメータを使用しない。

15.5. "application/trust-mark-delegation+jwt" Media Type

application/trust-mark-delegation+jwt media type は、関連する内容が Section 7.2.1 で定義される Trust Mark delegation であることを示すために用いられる。この media type にはパラメータを使用しない。

15.6. "application/jwk-set+jwt" Media Type

application/jwk-set+jwt media type は、関連する内容が Section 8.7.2 で定義される署名済み JWK Set であることを示すために用いられる。この media type にはパラメータを使用しない。

15.7. "application/explicit-registration-response+jwt" Media Type

application/explicit-registration-response+jwt media type は、関連する内容が Section 12.2.3 で定義される Explicit Registration レスポンスであることを示すために用いられる。この media type にはパラメータを使用しない。

15.8. "application/trust-mark-status-response+jwt" Media Type

application/trust-mark-status-response+jwt media type は、関連する内容が Section 8.4.2 で定義される Trust Mark Status Response であることを示すために用いられる。この media type にはパラメータを使用しない。

16. String Operations

一部の OpenID Federation メッセージの処理では、メッセージ内の値を別の値と比較する必要がある。たとえば、iss Claim における Entity Identifier を、sub Claim における Entity Identifier と比較する場合がある。しかし、Unicode [UNICODE] 文字列の比較には重大なセキュリティ上の含意がある。

したがって、JSON 文字列とその他の Unicode 文字列との比較は、以下に指定するとおりに実施しなければならない（MUST）。

• JSON に適用されているエスケープを除去し、Unicode コードポイントの配列を生成する。
• Unicode 正規化（Unicode Normalization）[USA15] は、JSON 文字列にも、比較対象となる文字列にも、いかなる時点でも適用してはならない（MUST NOT）。
• 2 つの文字列の比較は、Unicode コードポイント同士の等価比較（コードポイント to コードポイントの等価比較）として実施しなければならない（MUST）。

これは、OpenID Connect Core 1.0 [OpenID.Core] の Section 14 で指定される比較手順と同一であることに注意されたい。

17. Implementation Considerations

このセクションは、Federations の実装者およびデプロイヤーに対し、Federations において考慮すべき状況や性質に関する指針を提供する。

17.1. Federation Topologies

Entities 間に複数の信頼パスを持つ Federation トポロジーを構築することは可能である。この仕様はそれを禁止しないが、デプロイヤーが認識しておく必要のある曖昧さを生み得る。

以下の Federation トポロジーを考える。

              .--------------.
              | Trust Anchor |
              '--.---.-----.-'
                 |   |     |
              .--'   '--.  '---------------.
              |         |                  |
.-------------v--.   .--v-------------.    |
| Intermediate 1 |   | Intermediate 2 |    |
'-------------.--'   '--.-------------'    |
              |         |                .-v--.
              |         |                | OP |
           .--v---------v---.            '----'
           | Intermediate 3 |
           '-------.--------'
                   |
                   |
                 .-v--.
                 | RP |
                 '----'

Figure 53: Example topology with multiple trust paths between Entities

このトポロジーでは、RP と Trust Anchor の間に複数の信頼パスが存在するため、それらの間に複数の異なる Trust Chain を構築できることを意味する。Intermediate 1 と Intermediate 2 の metadata policy が異なる場合、Trust Chain を構築する際にどちらの Intermediate を使用するかによって、RP の Resolved Metadata が異なる結果となり得る。このような差分の一部は無害である一方、一部は障害を引き起こし得る。

どの信頼パスが Trust Chain 構築時に選択されたとしても意図どおりに機能するトポロジーおよび metadata policy をデプロイすることは、Federation の設計者（アーキテクト）の役割である。もちろん、潜在的な曖昧さを回避する 1 つの方法は、2 つの Entity 間に複数のパスが存在しない木（tree）構造のトポロジーのみを用いることである。木構造でないトポロジーも許容されるが、意識的に、注意深く使用すべきである。

Federation トポロジーにループが含まれる場合でも、Section 10.1 で要求されるとおり、そこから構築される Trust Chains はループを含んではならない（MUST NOT）。

17.2. Federation Discovery and Trust Chain Resolution Patterns

このセクションは、フェデレーション内の entity を発見する（discover）ため、および Trust Chains を解決するために、実装が使用し得るさまざまなパターンを記述する。ここでは、関連するが異なる 2 つの概念を区別することが重要である。

• Discovery: フェデレーションの一部である entity を見つけるプロセス。通常は、利用可能なサービスプロバイダのディレクトリやカタログを構築する目的で行われる。
• Trust Chain Resolution: Section 10 に記載するとおり、既知の entity から Trust Anchor までの Trust Chain を構築し検証するプロセス。このプロセスは、この仕様では（Section 1.2 の定義に従い）Federation Entity Discovery とも呼ばれる。

これらのパターンは discovery と Trust Chain 解決の両方を含み得るが、目的は異なり、ユースケースに応じて独立に使用され得る。たとえば、OpenID Providers のディレクトリを構築する discovery サービスは、発見したすべての entity について必ずしも Trust Chains を解決せずに entity identifiers を収集し得る。実際の Trust Chain 解決は後段で、たとえば RP と OP が認証トランザクションを行う際に Section 10 の Trust Chain 解決プロセスを用いて実施される場合がある。

実装は、以下のパターンの 1 つ以上をサポートし得る。

• Bottom-Up Trust Chain Resolution (Section 17.2.1): Section 10 に記載するとおり、既知の entity identifier から開始して Trust Chains を解決する。
• Top-Down Discovery (Section 17.2.2): Trust Anchor から開始し、階層を下りながらフェデレーション内の entity を探索する。
• Single Point of Trust Resolution (Section 17.2.3): Resolve Endpoint を実装する信頼できる resolver に Trust Chain 解決を委譲する。

Federation の運用者は、異なるユースケースや統合シナリオに対応するため、複数のパターンをサポートすることを選択し得る。サポートするパターンの選択は、フェデレーションの使いやすさや、効果的に統合できるアプリケーションの種類に影響する。

17.2.1. Bottom-Up Trust Chain Resolution

Bottom-up Trust Chain 解決は、Section 10 で記述されるプロセスであり、Terminology セクションの定義にあるとおり Federation Entity Discovery とも呼ばれる。このプロセスは既知の Entity Identifier から開始し、Trust Anchor に到達するまでフェデレーション階層を上方向にたどって Trust Chain を構築する。このパターンは未知の entity を見つける意味での discovery ではなく、既知の entity に対する trust 解決である。

このパターンは、ある entity が、Entity Identifier が既に分かっている別の entity の信頼性を検証する必要があるときに用いられる。典型的には以下の用途で使用される。

• OpenID Providers が、認証リクエストの際に Relying Party (RP) を検証する場合
• Resource servers が Client の信頼性を検証する場合
• 既知の当事者からの受信リクエストを検証する任意の Entity の場合
• フェデレーション環境における動的な信頼確立の場合

Bottom-up Trust Chain 解決プロセスは、Section 10 に記載するとおり、以下の手順に従う。

• subject entity の Entity Configuration から開始する（提供されるか、Section 9 で定義されるプロセスで取得する）。
• authority_hints を用いて immediate superior entities を特定する。
• 各 Superior Entity の Entity Configuration を取得する。
• Fetch Endpoints（Section 8.1.1 で定義）を用いて、subject entity に関する Subordinate Statements を取得する。
• Trust Anchor に到達するまで階層を再帰的に上方向へたどる。
• 完全な Trust Chain を構築し検証する。
• federation policy を適用して resolved metadata を導出する。

17.2.2. Top-Down Discovery

Top-down discovery は、既知の Trust Anchor から開始し、フェデレーション階層を下方向にたどることで、フェデレーションの一部である entity を見つけるプロセスである。このパターンは、事前に Entity Identifiers を必ずしも把握していない状態で、利用可能な entity、特に特定の Entity Types の entity を発見することを目的とする場合に用いられる。

このパターンは、特に以下に有用である。

• Relying Party (RP) が OpenID Providers を探すためのサービス discovery
• Clients が特定のサービス種別を探すためのリソース discovery
• Federation の閲覧や探索
• プロバイダのディレクトリやカタログの構築（例: WAYF サービス、Seamless Access）

Top-down discovery プロセスは以下の手順に従う。

• discovering entity が信頼する既知の Trust Anchor から開始する。
• list endpoint（Section 8.2 で定義）を用いて Immediate Subordinate entities を発見する。
• entity_type パラメータでフィルタし、プロトコル固有のプロバイダ（例: openid_provider）を見つける。
• Intermediate entities については、その Subordinates を再帰的にたどる。
• 発見した entity の Entity Identifiers を収集し、必要に応じて Entity Configurations も収集する。

Top-down discovery に Trust Chain 解決を含めるかどうかはユースケースに依存し得る点に注意されたい。たとえば、ログイン時にユーザーが選択するための OpenID Providers のディレクトリを構築する場合、discovery サービスは、すべての発見済み entity について Trust Chains を解決せずに、entity identifiers と基本的な metadata を収集することがある。しかし、ディレクトリに含める前に entity がフェデレーションに正しく登録されていることを検証する必要がある場合、discovery プロセスの一部として Trust Chain 解決を行うことを選択し得る。

17.2.3. Single Point of Trust Resolution

Single point of trust 解決は、Section 8.3 で定義される Resolve Endpoint を実装する信頼できる resolver に、Trust Chain 解決プロセス全体を委譲する。これにより entity は、Trust Chain 解決の複雑さを専門サービスへオフロードできる。

このパターンは、以下に有用である。

• Trust Chain 解決の複雑さをオフロードしたい Entities
• 集中型の trust 評価サービス
• resolved metadata のキャッシュによる性能最適化
• 軽量 client に対する統合の簡素化

このパターンでは、subject entity の Entity Identifier が事前に既知である必要がある点に注意されたい。フェデレーション内の未知の entity を見つけるという意味での discovery 機能は提供しない。

Single point of trust 解決プロセスは以下の手順に従う。

• Resolve Endpoint を持つ信頼できる resolver を特定する。
• subject Entity Identifier と Trust Anchor を resolver に送信する。
• resolver が（bottom-up パターンに従って）内部で完全な Trust Chain 解決を行う。
• resolver が resolved metadata と Trust Marks を返す。
• 必要に応じて、resolver 自身の Trust Chain を検証する。
• プロトコル処理に resolved metadata を使用する。

17.3. Trust Anchors and Resolvers Go Together

フェデレーション内に resolver が 1 つしか存在しない場合、その entity は Trust Anchor と Resolver の両方であるべきである。そうであれば、resolver の利用者は Resolver のために Trust Chains を収集して評価する必要がなくなる。Trust Anchor は定義上信頼されており、その entity が Resolver としても機能するなら、そのサービスは暗黙に信頼されることになる。

17.4. One Entity, One Service

ある entity が Trust Anchor と Resolver の双方のサービスを提供できるようにすることとは別に、各 entity が 1 つのことだけを行うようにしておくのには十分な理由がある。理由は、将来、特定のサービスをフェデレーション間で共有することがはるかに容易になるためである。

17.5. Trust Mark Policies

Entity Statement における trust marks を検証する際、それは 3 つの部分に分けられる。

• Validating Trust Marks in the Context of Validating an Entity Statement\ Section 3.6 の Entity Statement Validation の文言によれば、Trust Mark の検証は Claim Value の構文検証（trust_mark_type の値の整合性を含む）に限定される。
• Validating a Specific Trust Mark\ これは Section 7.3 で記述される内容である。Trust Mark を検証するには、entity は Trust Mark Issuer から、当該 Entity が信頼する Trust Anchor までの Trust Chain を見つけなければならない。これは、その後アプリケーションプロトコルでどのフェデレーションが用いられるかとは無関係である。
• Deciding which Trust Marks to Use\ あるフェデレーションは、特定の基準に合致する Trust Marks のみを使用すべきである（SHOULD）とする policy を持ち得る（MAY）。

そのような基準の例としては、Trust Mark の trust_mark_type が Trust Anchor の trust_mark_issuers に列挙されていること、そしてそうである場合に、そのインスタンスの iss が対応する Entity Identifiers のリストに含まれていることが挙げられる。なお、そのリストは空リストである場合があり、これは当該 trust_mark_type の Trust Mark を誰でも発行できることを意味する。そのような Trust Marks は、さまざまな理由で現れ得る。たとえば、別のフェデレーションに関連付けられた Trust Marks を Entity Configuration が含んでいる場合や、特定の目的または特定の Entity の対象者のために意図された Trust Marks の場合である。

Entity はまた、自身の裁量により、フェデレーション内で認識されていない Trust Marks であっても、かつ accreditation authority がアウトオブバンドの仕組みによって確立される場合には、提示された Trust Marks を利用することを選択してもよい（MAY）。

18. Security Considerations

18.1. Denial-of-Service Attack Prevention

この仕様で定義されるいくつかのインタフェースは、Denial-of-Service（DoS）攻撃に利用され得る。特に、resolve endpoint（Section 8.2）、Explicit Client Registration（Section 12.2）、Automatic Client Registration（Section 12.1）は HTTP 伝播攻撃（HTTP propagation attacks）のベクタとして悪用され得る。以下では、そのような攻撃がどのように発生し得るか、およびそれを防ぐための対策を説明する。

攻撃者は、自身の Entity Configuration に何百もの偽の authority_hints を提供することで、Federation Entity Discovery の仕組みを悪用し、多数の HTTP リクエストを伝播させ得る。攻撃者が OP に authorization request を送信する RP を支配している状況を想像してほしい。攻撃者が作成した各リクエストに対し、OP は、攻撃者の Entity Configuration を取得するための 1 つのリクエストを生成し、さらに authority_hints に見つかった各 URL ごとにもう 1 つのリクエストを生成する。

これらの endpoint が提供される場合、[RFC4732] に記載されるものを含め、以下に述べるような適切な防御手法が必要である。

• 実装は、調査する意思のある authority_hints の数に上限を設けるべきである。これは、攻撃者が自身の Entity Configuration に多数の偽 authority_hints を定義する攻撃から保護するためである。
• Entities は、Section 12.1.1.1 で説明されるとおり、リクエストに Trust Chain（Section 4.3）を含めることを要求され得る。静的な Trust Chain は事前定義された信頼パスを提供するため、Federation Entity Discovery を実施する必要がなくなる。この場合、Trust Anchor の公開鍵で Trust Chain を静的に検証できるため、伝播攻撃は防止される。
• Trust Mark は、その issuer の公開鍵を用いて静的に検証できる。Trust Marks の静的検証は、伝播攻撃に対するフィルタとなる。OpenID Provider (OP) が Entity Configuration 内で少なくとも 1 つの有効な Trust Mark を発見した場合、それはリクエストを開始した Relying Party (RP) の信頼性の証拠となり得る。Trust Mark は任意であるため、これを要求するかどうかの決定はフェデレーション実装の裁量に委ねられ、フェデレーションは特定のニーズに従って Trust Marks を定義し要求し得る。
• resolve endpoint において Client 認証が不要な場合、受信リクエストが自動的に Trust Chains の収集（Federation Entity Discovery プロセス）および評価を引き起こすべきではない。代わりに、その resolve endpoint は、認証されていない Client リクエストに対して、既に評価され信頼に足ると判断された Entities に関するキャッシュ済み情報のみで応答すべきである。この場合、Federation Entity Discovery プロセスの開始が resolve endpoint のデフォルト動作であってはならない。
• request objects を参照渡し（request_uri request パラメータを使用）することは、Section 12.1.1 で説明されるとおり、攻撃者が OP に対して攻撃者の制御下にある任意のコンテンツを取得させる仕組みを排除するため、一部のデプロイメントではサポートされない場合がある。

18.2. Unsigned Error Messages

このプロトコルの基本的な設計目標の 1 つは、メッセージを end-to-end で保護することである。これは TLS を要求するだけでは達成できない。なぜなら、多くの場合 TLS は end-to-end ではなく、HTTPS から HTTP へのリバースプロキシで終端するからである。したがって、署名されていないエラーメッセージを許容すると、DoS 攻撃を行いたい者に対して攻撃ベクタを開くことになる。これは OpenID Federation 固有の話ではなく、HTTPS から HTTP のリバースプロキシが使用される他のプロトコルにおいても同様に当てはまる。

19. Privacy Considerations

実装者は、以下のプライバシー上の考慮事項を認識すべきである。

Entity Statements\ Entity Statements は、個人間の信頼関係や特定の業務アプリケーションのためではなく、フェデレーション内の組織的な Entities 間の信頼関係を確立するよう設計されている。Know Your Customer や Anti-Money Laundering のプロセスで必要となる個人または法人に対する信頼・評判評価は、それらの目的に特化した専門プラットフォームを通じて管理されるべきである。Entity Statements は公開インフラを用いて信頼関係を促進するため、フェデレーション運用および組織間の信頼確立に必要不可欠な情報に限定されるべきである。

Trust Mark Status\ Trust Mark Status endpoint は、Trust Marks の状態をリアルタイムに問い合わせられるようにする。Federation Fetch endpoint と同様に、Trust Mark Status endpoint がいかなる client 認証方式でも保護されていない場合、Trust Marks を検証するリクエストは、必ずしも Entities 間の実際の相互作用や関係を示すとは限らず、単に日常的なネットワーク検査や discovery プロセスの一部である可能性がある。これは、IPv4/IPv6 アドレスや DNS Whois エントリのような標準的なネットワーク診断ツールを通じて、Trust Mark Issuers が、他の Entities についての Trust Marks を評価している Entities を追跡できてしまう可能性がある。追跡リスクを軽減するため、実装は短寿命の Trust Marks を使用する、または Trust Marked Entities Listing（Section 8.5）を sub パラメータなしで trust_mark_type パラメータのみで使用することで Trust Mark Status endpoint を使用する必要性を減らす、といった対策を取り得る。

Federation Fetch Endpoint\ Federation Fetch endpoint は、Subordinate Statements をリアルタイムに問い合わせられるようにする。Trust Mark Status の検証と同様に、フェデレーション基盤が公開され広く閲覧可能であり、かつ endpoints がいかなる client 認証方式でも保護されていない場合、Subordinate Statements を取得するリクエストは、必ずしも Entities 間の実際の相互作用や関係を示すとは限らず、単に日常的なネットワーク検査や discovery プロセスの一部である可能性がある。しかし、これは、IPv4/IPv6 アドレスや DNS Whois エントリのような標準的なネットワーク診断ツールを通じて、Trust Anchors または Intermediates が、他の Entities との trust 関係を評価している Entities を追跡できてしまう可能性がある。Entities が他の Entities を検査し相互作用することに関する追跡リスクを軽減するため、実装者は、適切な場合に静的かつ短寿命の Trust Chains を使用することを検討すべきである。これにより、Subordinate Statements をリアルタイムに取得する必要性を減らせる。

20. IANA Considerations

20.1. OAuth Dynamic Client Registration Metadata Registration

この仕様は、[RFC7591] により確立された IANA「OAuth Dynamic Client Registration Metadata」レジストリ [IANA.OAuth.Parameters] に、以下の client metadata エントリを登録する。

Client Metadata Name: client_registration_types

Client Metadata Description: RP が使用したい client 登録種別を指定する文字列の配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.1.2

Client Metadata Name: signed_jwks_uri

Client Metadata Description: client の JWK Set ドキュメントを payload とする署名済み JWT を参照する URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.1

Client Metadata Name: organization_name

Client Metadata Description: この client を所有する組織を表す人間可読な名称

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Client Metadata Name: description

Client Metadata Description: End-User に提示可能な、この client の人間可読な簡潔な説明

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Client Metadata Name: keywords

Client Metadata Description: この client に適用される検索キーワード、タグ、カテゴリ、またはラベルを表す 1 つ以上の文字列からなる JSON 配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Client Metadata Name: information_uri

Client Metadata Description: End-User が閲覧できる、この client に関する追加情報のドキュメント URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Client Metadata Name: organization_uri

Client Metadata Description: この client を所有する組織の Web ページの URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

20.2. OAuth Authorization Server Metadata Registration

この仕様は、[RFC8414] により確立された IANA「OAuth Authorization Server Metadata」レジストリ [IANA.OAuth.Parameters] に、以下の metadata エントリを登録する。

Metadata Name: client_registration_types_supported

Metadata Description: Client Registration Types Supported

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.1.3

Metadata Name: federation_registration_endpoint

Metadata Description: Federation Registration Endpoint

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.1.3

Metadata Name: signed_jwks_uri

Metadata Description: この authorization server の JWK Set ドキュメントを payload とする署名済み JWT を参照する URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.1

Metadata Name: jwks

Metadata Description: 値渡しで渡される JSON Web Key Set ドキュメント

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.1

Metadata Name: organization_name

Metadata Description: この authorization server を所有する組織を表す人間可読な名称

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: display_name

Metadata Description: End-User に提示される authorization server の人間可読な名称

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: description

Metadata Description: End-User に提示可能な、この authorization server の人間可読な簡潔な説明

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: keywords

Metadata Description: この authorization server に適用される検索キーワード、タグ、カテゴリ、またはラベルを表す 1 つ以上の文字列からなる JSON 配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: contacts

Metadata Description: この authorization server の責任者に連絡する方法（通常はメールアドレス）を表す文字列の配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: logo_uri

Metadata Description: この authorization server を所有する組織のロゴを参照する URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: information_uri

Metadata Description: End-User が閲覧できる、この authorization server に関する追加情報のドキュメント URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: organization_uri

Metadata Description: この authorization server を所有する組織の Web ページの URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

20.3. OAuth Protected Resource Metadata Registration

この仕様は、[RFC9728] により確立された IANA「OAuth Protected Resource Metadata」レジストリ [IANA.OAuth.Parameters] に、以下の protected resource metadata エントリを登録する。

Metadata Name: signed_jwks_uri

Metadata Description: protected resource の JWK Set ドキュメントを payload とする署名済み JWT を参照する URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.1

Metadata Name: jwks

Metadata Description: 値渡しで渡される JSON Web Key Set ドキュメント

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.1

Metadata Name: organization_name

Metadata Description: この protected resource を所有する組織を表す人間可読な名称

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: description

Metadata Description: End-User に提示可能な、この protected resource の人間可読な簡潔な説明

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: keywords

Metadata Description: この protected resource に適用される検索キーワード、タグ、カテゴリ、またはラベルを表す 1 つ以上の文字列からなる JSON 配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: contacts

Metadata Description: この protected resource の責任者に連絡する方法（通常はメールアドレス）を表す文字列の配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: logo_uri

Metadata Description: この protected resource を所有する組織のロゴを参照する URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

Metadata Name: organization_uri

Metadata Description: この protected resource を所有する組織の Web ページの URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.2

20.4. OAuth Parameters Registration

この仕様は、[RFC6749] により確立された IANA「OAuth Parameters」レジストリ [IANA.OAuth.Parameters] に、以下の parameter を登録する。

Parameter Name: trust_chain

Parameter Usage Location: authorization request

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 12.1.1.1

20.5. OAuth Extensions Error Registration

この仕様は、[RFC6749] により確立された IANA「OAuth Extensions Error Registry」レジストリ [IANA.OAuth.Parameters] に、以下の値を登録する。

Name: invalid_request

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: invalid_client

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: invalid_issuer

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: invalid_subject

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: invalid_trust_anchor

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: invalid_trust_chain

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: invalid_metadata

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: not_found

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: server_error

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: temporarily_unavailable

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

Name: unsupported_parameter

Usage Location: authorization endpoint

Protocol Extension: OpenID Federation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Reference: この仕様の Section 8.9

20.6. JSON Web Signature and Encryption Header Parameters Registration

この仕様は、[RFC7515] により確立された IANA「JSON Web Signature and Encryption Header Parameters」レジストリ [IANA.JOSE] に、以下の JWS header parameters を登録する。

Header Parameter Name: trust_chain

Header Parameter Description: OpenID Federation Trust Chain

Header Parameter Usage Location: JWS

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 4.3

Header Parameter Name: peer_trust_chain

Header Parameter Description: OpenID Federation Peer Trust Chain

Header Parameter Usage Location: JWS

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 4.4

20.7. JSON Web Key Parameters Registration

この仕様は、[RFC7517] により確立された IANA「JSON Web Key Parameters」レジストリ [IANA.JOSE] に、以下のパラメータを登録する。

Parameter Name: iat

Parameter Description: RFC 7519 で定義される Issued At

Used with "kty" Value(s): *

Parameter Information Class: Public

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 8.7.2

Parameter Name: nbf

Parameter Description: RFC 7519 で定義される Not Before

Used with "kty" Value(s): *

Parameter Information Class: Public

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 8.7.2

Parameter Name: exp

Parameter Description: RFC 7519 で定義される Expiration Time

Used with "kty" Value(s): *

Parameter Information Class: Public

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 8.7.2

Parameter Name: revoked

Parameter Description: Revoked Key Properties

Used with "kty" Value(s): *

Parameter Information Class: Public

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 8.7.2

20.8. JSON Web Token Claims Registration

この仕様は、[RFC7519] により確立された IANA「JSON Web Token Claims」レジストリ [IANA.JWT.Claims] に、以下の Claims を登録する。

Claim Name: jwks

Claim Description: JSON Web Key Set

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.1

Claim Name: metadata

Claim Description: Metadata object

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.2

Claim Name: constraints

Claim Description: Constraints object

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.3

Claim Name: crit

Claim Description: この種別の JWT に対する拡張により定義され、この JWT 内に存在し、理解して処理しなければならない（MUST） Claims の一覧

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.4

Claim Name: ref

Claim Description: Reference

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.5

Claim Name: delegation

Claim Description: Delegation

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.6

Claim Name: logo_uri

Claim Description: ロゴを参照する URI

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 13.7

Claim Name: authority_hints

Claim Description: Authority Hints

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.2

Claim Name: trust_anchor_hints

Claim Description: Trust Anchor Hints

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.2

Claim Name: trust_marks

Claim Description: Trust Marks

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.2

Claim Name: trust_mark_issuers

Claim Description: Trust Mark Issuers

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.2

Claim Name: trust_mark_owners

Claim Description: Trust Mark Owners

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.2

Claim Name: metadata_policy

Claim Description: Metadata Policy object

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.3

Claim Name: metadata_policy_crit

Claim Description: Critical Metadata Policy Operators

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.3

Claim Name: source_endpoint

Claim Description: Source Endpoint URL

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 3.3

Claim Name: keys

Claim Description: JWK Set 内の JWK 値の配列

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 5.2.1

Claim Name: trust_mark_type

Claim Description: Trust Mark Type Identifier

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 7.1

Claim Name: trust_chain

Claim Description: Trust Chain

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 8.3.2

Claim Name: trust_anchor

Claim Description: Trust Anchor ID

Change Controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification Document(s): この仕様の Section 12.2.3

20.9. Well-Known URI Registration

この仕様は、[RFC5785] により確立された IANA「Well-Known URIs」レジストリ [IANA.well-known] に、以下の well-known URI を登録する。

URI suffix: openid-federation

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Specification document: この仕様の Section 9

Related information: （なし）

20.10. Media Type Registration

この仕様は、[RFC6838] で述べられている方法に従い、「Media Types」レジストリ [IANA.MediaTypes] に、以下の media types [RFC2046] を登録する。

Type name: application

Subtype name: entity-statement+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Entity Statement は JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.1

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: trust-mark+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Trust Mark は JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.2

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: resolve-response+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Entity Resolve Response は署名付きの JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.3

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: trust-chain+json

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Trust Chain は JWT の JSON 配列である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.4

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: trust-mark-delegation+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Trust Mark delegation は署名付きの JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.5

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Roland Hedberg, roland@catalogix.se

Intended usage: COMMON

Restrictions on usage: なし

Author: Roland Hedberg, roland@catalogix.se

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: jwk-set+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。署名付き JWK Set は署名付きの JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.6

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: explicit-registration-response+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Explicit Registration response は JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.7

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

---

Type name: application

Subtype name: trust-mark-status-response+jwt

Required parameters: 該当なし

Optional parameters: 該当なし

Encoding considerations: バイナリ。Trust Mark Status Response は署名付きの JWT である。JWT の値は、base64url でエンコードされた値（空文字列である場合もある）の連なりとしてエンコードされ、ピリオド（'.'）文字で区切られる。

Security considerations: この仕様の Section 18 を参照

Interoperability considerations: 該当なし

Published specification: この仕様の Section 15.8

Applications that use this media type: この仕様を使用するアプリケーション

Fragment identifier considerations: 該当なし

Additional information:

Magic number(s): 該当なし

File extension(s): 該当なし

Macintosh file type code(s): 該当なし

Person & email address to contact for further information:

Michael B. Jones, michael_b_jones@hotmail.com

Intended usage: COMMON

Restrictions on usage: なし

Author: Michael B. Jones, michael_b_jones@hotmail.com

Change controller: OpenID Foundation Artifact Binding Working Group - openid-specs-ab@lists.openid.net

Provisional registration? No

21. References

21.1. Normative References

[OpenID.Core] Sakimura, N., Bradley, J., Jones, M.B., de Medeiros, B., and C. Mortimore, "OpenID Connect Core 1.0", 15 December 2023, openid-connect-core-1_0.html.

[OpenID.Discovery] Sakimura, N., Bradley, J., Jones, M.B., and E. Jay, "OpenID Connect Discovery 1.0", 15 December 2023, openid-connect-discovery-1_0.html.

[OpenID.Registration] Sakimura, N., Bradley, J., and M.B. Jones, "OpenID Connect Dynamic Client Registration 1.0", 15 December 2023, openid-connect-registration-1_0.html.

[OpenID.RP.Choices] Jones, M.B., Hedberg, R., Bradley, J., and F. Skokan, "OpenID Connect Relying Party Metadata Choices 1.0", 24 April 2025, openid-connect-rp-metadata-choices-1_0.html.

[RFC2119] Bradner, S., "要件レベルを示すために RFC で用いるキーワード", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, rfc2119.

[RFC4732] Handley, M., Ed., Rescorla, E., Ed., and IAB, "インターネットにおけるサービス妨害（DoS）に関する考慮事項", RFC 4732, DOI 10.17487/RFC4732, December 2006, rfc4732.

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "インターネット X.509 公開鍵基盤：証明書および証明書失効リスト（CRL）プロファイル", RFC 5280, DOI 10.17487/RFC5280, May 2008, rfc5280.

[RFC5646] Phillips, A., Ed. and M. Davis, Ed., "言語を識別するためのタグ", BCP 47, RFC 5646, DOI 10.17487/RFC5646, September 2009, rfc5646.

[RFC6749] Hardt, D., Ed., "OAuth 2.0 Authorization Framework", RFC 6749, DOI 10.17487/RFC6749, October 2012, rfc6749.

[RFC7515] Jones, M., Bradley, J., and N. Sakimura, "JSON Web Signature (JWS)", RFC 7515, DOI 10.17487/RFC7515, May 2015, rfc7515.

[RFC7516] Jones, M. and J. Hildebrand, "JSON Web Encryption (JWE)", RFC 7516, DOI 10.17487/RFC7516, May 2015, rfc7516.

[RFC7517] Jones, M., "JSON Web Key (JWK)", RFC 7517, DOI 10.17487/RFC7517, May 2015, rfc7517.

[RFC7519] Jones, M., Bradley, J., and N. Sakimura, "JSON Web Token (JWT)", RFC 7519, DOI 10.17487/RFC7519, May 2015, rfc7519.

[RFC7591] Richer, J., Ed., Jones, M., Bradley, J., Machulak, M., and P. Hunt, "OAuth 2.0 Dynamic Client Registration Protocol", RFC 7591, DOI 10.17487/RFC7591, July 2015, rfc7591.

[RFC7638] Jones, M. and N. Sakimura, "JSON Web Key (JWK) Thumbprint", RFC 7638, DOI 10.17487/RFC7638, September 2015, rfc7638.

[RFC8174] Leiba, B., "RFC 2119 キーワードにおける大文字と小文字の曖昧性", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, rfc8174.

[RFC8259] Bray, T., Ed., "JavaScript Object Notation（JSON）データ交換フォーマット", STD 90, RFC 8259, DOI 10.17487/RFC8259, December 2017, rfc8259.

[RFC8414] Jones, M., Sakimura, N., and J. Bradley, "OAuth 2.0 Authorization Server Metadata", RFC 8414, DOI 10.17487/RFC8414, June 2018, rfc8414.

[RFC8705] Campbell, B., Bradley, J., Sakimura, N., and T. Lodderstedt, "OAuth 2.0 相互 TLS（mTLS）クライアント認証と証明書拘束 Access Token", RFC 8705, DOI 10.17487/RFC8705, February 2020, rfc8705.

[RFC9101] Sakimura, N., Bradley, J., and M. Jones, "OAuth 2.0 Authorization Framework: JWT-Secured Authorization Request（JAR）", RFC 9101, DOI 10.17487/RFC9101, August 2021, rfc9101.

[RFC9126] Lodderstedt, T., Campbell, B., Sakimura, N., Tonge, D., and F. Skokan, "OAuth 2.0 Pushed Authorization Requests", RFC 9126, DOI 10.17487/RFC9126, September 2021, rfc9126.

[RFC9728] Jones, M.B., Hunt, P., and A. Parecki, "OAuth 2.0 Protected Resource Metadata", RFC 9728, DOI 10.17487/RFC9728, April 2025, rfc9728.

[UNICODE] The Unicode Consortium, "The Unicode Standard", unicode 版本の最新情報。

[USA15] Whistler, K., "Unicode Normalization Forms", Unicode Standard Annex 15, 12 August 2023, tr15.

21.2. Informative References

[App-Fed-Linkage] Dzhuvinov, V., "How to link an application protocol to an OpenID Federation 1.0 trust layer", 4 December 2024, How to link...

[FAPI] Sakimura, N., Bradley, J., and E. Jay, "Financial-grade API Security Profile 1.0 - Part 2: Advanced", 12 March 2021, openid-financial...

[IANA.JOSE] IANA, "JSON Object Signing and Encryption (JOSE)", jose.

[IANA.JWT.Claims] IANA, "JSON Web Token Claims", jwt.

[IANA.MediaTypes] IANA, "Media Types", media-types.

[IANA.OAuth.Parameters] IANA, "OAuth Parameters", oauth-parameters.

[IANA.well-known] IANA, "Well-Known URIs", well-known-uris.

[RFC2046] Freed, N. and N. Borenstein, "Multipurpose Internet Mail Extensions（MIME）Part Two: Media Types", RFC 2046, DOI 10.17487/RFC2046, November 1996, rfc2046.

[RFC5785] Nottingham, M. and E. Hammer-Lahav, "Well-Known Uniform Resource Identifiers（URIs）の定義", RFC 5785, DOI 10.17487/RFC5785, April 2010, rfc5785.

[RFC6838] Freed, N., Klensin, J., and T. Hansen, "Media Type Specifications and Registration Procedures", BCP 13, RFC 6838, DOI 10.17487/RFC6838, January 2013, rfc6838.

[RFC8725] Sheffer, Y., Hardt, D., and M. Jones, "JSON Web Token Best Current Practices", BCP 225, RFC 8725, DOI 10.17487/RFC8725, February 2020, rfc8725.

[RFC9525] Saint-Andre, P. and R. Salz, "Service Identity in TLS", RFC 9525, DOI 10.17487/RFC9525, November 2023, rfc9525.

Appendix A. Example OpenID Provider Information Discovery and Client Registration 以下を仮定する。LIGO プロジェクトは、eduGAIN 内のすべての OP に対して自分たちの wiki へのアクセスを提供したい。LIGO は InCommon フェデレーションに登録されている。

以下は、eduGAIN Trust Anchor の下にあるフェデレーションを示す。

                    eduGAIN
                       |
    +------------------+------------------+
    |                                     |
 SWAMID                               InCommon
    |                                     |
  umu.se                                  |
    |                                     |
op.umu.se                           wiki.ligo.org

Figure 54: eduGAIN フェデレーション内の参加者

SWAMID と InCommon は、いずれもそれ自体が identity federation である。また、両者は共通して eduGAIN フェデレーションのメンバーでもある。

SWAMID と InCommon は Entities の登録方法が異なる。SWAMID は組織を登録し、その組織に所属する Entities を組織に登録させる。一方で InCommon は、すべての Entities を直接登録し、いずれの組織 Entity の下にも置かない。したがって、フェデレーションにおける深さに違いが生じる。

Umeå University の研究者が LIGO Wiki にログインしたいと仮定する。Wiki では、研究者は何らかの discovery service を用いて、ホームの identity provider（op.umu.se）を見つける。

Wiki の RP 部分が、どの OP とやり取りすべきか（SHOULD）を把握したら、次に OP についていくつかのことを知る必要がある。これらはすべて metadata から得られる。しかし metadata を見つけるだけでは十分ではなく、RP はその metadata を信頼できなければならない。

ここで少し寄り道をして、フェデレーションを構築するために必要なことから始める。

A.1. Setting Up a Federation フェデレーションのインフラを構築する手順は次のとおりである。

Trust Anchor の署名鍵を生成する。これらは公開鍵／秘密鍵のペアでなければならない（MUST）。

Federation Entity Keys を用いて JWTs/Entity Statements に署名できる署名サービスを用意する。

署名付き Entity Statements を公開できる web services を用意する。1 つはフェデレーションの Entity Identifier に対応する URL で Entity Configuration を返すもの、もう 1 つは Section 8.1.1 で述べた fetch endpoint を提供するもの。

これらの要件が満たされたら、Federation Operator はフェデレーションに Entities を追加できる。Entity の追加は、次のことに帰着する。

フェデレーションの Entity Identifier と、Entity Statements に署名するために federation operator が用いる鍵ペアの公開部分を、Entity に提供する。

Entity の Entity Identifier と、Entity が自分の Entity Configuration で公開する予定の JWK Set を取得する。

federation operator が Entities の追加を始める前に、誰がフェデレーションの一員になれるのか、そしてフェデレーションのレイアウト（構造）をどうするのかについてのポリシーが必要である。InCommon のように 1 階層のフェデレーションとするのか、SWAMID のように 2 階層にするのか、あるいは多階層にするのか。フェデレーションはまた、Section 6 で述べた federation policy framework を用いて、他のポリシーを実装することも検討できる。

フェデレーションが整備されると、物事が動き始める。

A.2. The LIGO Wiki Discovers the OP's Metadata Federation Entity Discovery は、RP が Section 9 で定義された手順を用いて OP の Entity（この場合は https://op.umu.se）の Entity Configuration を取得することから始まる一連の手順である。その後は、次の手順の流れとなる。

authority hints を用いて Immediate Superior Entities を抽出する。

そのような各 Entity について Entity Configuration を取得する。これは Section 9 で定義された手順を用いる。

各 Immediate Superior の fetch endpoint を用いて、Section 8.1.1 に従い、Immediate Subordinate Entity に関する Subordinate Statements を取得する。

これを何回繰り返す必要があるかは、フェデレーションの深さに依存する。以下は、上記のフェデレーション構成を用いて、RP が OP の metadata を見つけるために実行する各手順の結果である。

Trust Chain を構築する際には、Trust Chain の subject の Entity Configuration と併せて、各 Immediate Superior が自分の Immediate Subordinates について発行した Subordinate Statements が用いられる。

Intermediates の Entity Configurations は Trust Chain の一部ではない。

A.2.1. Entity Configuration for https://op.umu.se LIGO WIKI の RP は、Section 9 で定義された手順を用いて、OP（op.umu.se）から Entity Configuration を取得する。

結果は次の Entity Configuration である。

{
  "authority_hints": [
    "https://umu.se"
  ],
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://op.umu.se",
  "sub": "https://op.umu.se",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "dEEtRjlzY3djcENuT01wOGxrZlkxb3RIQVJlMTY0...",
        "kty": "RSA",
        "n": "x97YKqc9Cs-DNtFrQ7_vhXoH9bwkDWW6En2jJ044yH..."
      }
    ]
  },
  "metadata": {
    "openid_provider": {
      "issuer": "https://op.umu.se/openid",
      "signed_jwks_uri": "https://op.umu.se/openid/jwks.jose",
      "authorization_endpoint": "https://op.umu.se/openid/authorization",
      "client_registration_types_supported": [
        "automatic",
        "explicit"
      ],
      "request_parameter_supported": true,
      "grant_types_supported": [
        "authorization_code",
        "implicit",
        "urn:ietf:params:oauth:grant-type:jwt-bearer"
      ],
      "id_token_signing_alg_values_supported": [
        "ES256",
        "RS256"
      ],
      "logo_uri": "https://www.umu.se/img/umu-logo-left-neg-SE.svg",
      "op_policy_uri": "https://www.umu.se/en/website/legal-information/",
      "response_types_supported": [
        "code",
        "code id_token",
        "token"
      ],
      "subject_types_supported": [
        "pairwise",
        "public"
      ],
      "token_endpoint": "https://op.umu.se/openid/token",
      "federation_registration_endpoint": "https://op.umu.se/openid/fedreg",
      "token_endpoint_auth_methods_supported": [
        "client_secret_post",
        "client_secret_basic",
        "client_secret_jwt",
        "private_key_jwt"
      ]
    }
  }
}

Figure 55: Entity Configuration Issued by https://op.umu.se

authority_hints は Intermediate Entity https://umu.se を指している。したがって、これが次の手順となる。

この Entity Configuration が Trust Chain の最初のリンクである。

A.2.2. Entity Configuration for https://umu.se

LIGO の RP は、Section 9 で定義された手順を用いて https://umu.se から Entity Configuration を取得する。

リクエストは次のようになる。

GET /.well-known/openid-federation HTTP/1.1
Host: umu.se

Figure 56: https://umu.se が発行する Entity Configuration\ そして、この GET は次を返す。

{
  "authority_hints": [
    "https://swamid.se"
  ],
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://umu.se",
  "sub": "https://umu.se",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "endwNUZrNTJsX2NyQlp4bjhVcTFTTVltR2gxV2RV...",
        "kty": "RSA",
        "n": "vXdXzZwQo0hxRSmZEcDIsnpg-CMEkor50SOG-1XUlM..."
      }
    ]
  },
  "metadata": {
    "federation_entity": {
      "contacts": ["ops@umu.se"],
      "federation_fetch_endpoint": "https://umu.se/oidc/fedapi",
      "organization_uri": "https://www.umu.se",
      "organization_name": "UmU"
    }
  }
}

Figure 57: Entity Configuration JWT Claims Set\ この手順でこの Entity Configuration から利用される情報は federation_fetch_endpoint のみであり、これは次の手順で使用される。

A.2.3. Subordinate Statement Published by https://umu.se about https://op.umu.se

RP は、Section 8.1.1 で定義されている https://umu.se が提供する fetch endpoint を使用して、https://op.umu.se に関する情報を取得する。

リクエストは次のようになる。

GET /oidc/fedapi?sub=https%3A%2F%2Fop.umu.se&
iss=https%3A%2F%2Fumu.se HTTP/1.1
Host: umu.se

Figure 58: https://umu.se に対し、https://op.umu.se に関する Subordinate Statement を要求するリクエスト\ そして結果は次のとおりである。

{
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://umu.se",
  "sub": "https://op.umu.se",
  "source_endpoint": "https://umu.se/oidc/fedapi",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "dEEtRjlzY3djcENuT01wOGxrZlkxb3RIQVJlMTY0...",
        "kty": "RSA",
        "n": "x97YKqc9Cs-DNtFrQ7_vhXoH9bwkDWW6En2jJ044yH..."
      }
    ]
  },
  "metadata_policy": {
    "openid_provider": {
      "contacts": {
        "add": [
          "ops@swamid.se"
        ]
      },
      "organization_name": {
        "value": "University of Umeå"
      },
      "subject_types_supported": {
        "value": [
          "pairwise"
        ]
      },
      "token_endpoint_auth_methods_supported": {
        "default": [
          "private_key_jwt"
        ],
        "subset_of": [
          "private_key_jwt",
          "client_secret_jwt"
        ],
        "superset_of": [
          "private_key_jwt"
        ]
      }
    }
  }
}

Figure 59: https://umu.se が https://op.umu.se について発行した Subordinate Statement\ この Subordinate Statement が Trust Chain の 2 番目のリンクである。

A.2.4. Entity Configuration for https://swamid.se

LIGO Wiki の RP は、Section 9 で定義された手順を用いて https://swamid.se から Entity Configuration を取得する。

リクエストは次のようになる。

GET /.well-known/openid-federation HTTP/1.1
Host: swamid.se

Figure 60: https://swamid.se から Entity Configuration を要求するリクエスト\ そして、この GET は次を返す。

{
  "authority_hints": [
    "https://edugain.geant.org"
  ],
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://swamid.se",
  "sub": "https://swamid.se",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "N1pQTzFxUXZ1RXVsUkVuMG5uMnVDSURGRVdhUzdO...",
        "kty": "RSA",
        "n": "3EQc6cR_GSBq9km9-WCHY_lWJZWkcn0M05TGtH6D9S..."
      }
    ]
  },
  "metadata": {
    "federation_entity": {
      "contacts": ["ops@swamid.se"],
      "federation_fetch_endpoint": "https://swamid.se/fedapi",
      "organization_uri": "https://www.sunet.se/swamid/",
      "organization_name": "SWAMID"
    }
  }
}

Figure 61: https://swamid.se が発行した Entity Configuration\ この手順でこの Entity Configuration から利用される情報は federation_fetch_endpoint のみであり、これは次の手順で使用される。

A.2.5. Subordinate Statement Published by https://swamid.se about https://umu.se

LIGO Wiki の RP は、Section 8.1.1 で定義されている https://swamid.se が提供する fetch endpoint を使用して、https://umu.se に関する情報を取得する。

リクエストは次のようになる。

GET /fedapi?sub=https%3A%2F%2Fumu.se&
iss=https%3A%2F%2Fswamid.se HTTP/1.1
Host: swamid.se

Figure 62: https://swamid.se に対し、https://umu.se に関する Subordinate Statement を要求するリクエスト\ そして結果は次のとおりである。

{
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://swamid.se",
  "sub": "https://umu.se",
  "source_endpoint": "https://swamid.se/fedapi",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "endwNUZrNTJsX2NyQlp4bjhVcTFTTVltR2gxV2RV...",
        "kty": "RSA",
        "n": "vXdXzZwQo0hxRSmZEcDIsnpg-CMEkor50SOG-1XUlM..."
      }
    ]
  },
  "metadata_policy": {
    "openid_provider": {
      "id_token_signing_alg_values_supported": {
        "subset_of": [
          "RS256",
          "ES256",
          "ES384",
          "ES512"
        ]
      },
      "token_endpoint_auth_methods_supported": {
        "subset_of": [
          "client_secret_jwt",
          "private_key_jwt"
        ]
      },
      "userinfo_signing_alg_values_supported": {
        "subset_of": [
          "ES256",
          "ES384",
          "ES512"
        ]
      }
    }
  }
}

Figure 63: https://swamid.se が https://umu.se について発行した Subordinate Statement\ この Subordinate Statement が Trust Chain の 3 番目のリンクである。

この Subordinate Statement の発行者が、LIGO Wiki の RP がアクセスできる Trust Anchors のリストに含まれていないと仮定すると、さらに 1 段階進める必要がある。

A.2.6. Entity Configuration for https://edugain.geant.org

RP は、Section 9 で定義された手順を用いて https://edugain.geant.org から Entity Configuration を取得する。

リクエストは次のようになる。

GET /.well-known/openid-federation HTTP/1.1
Host: edugain.geant.org

Figure 64: https://edugain.geant.org から Entity Configuration を要求するリクエスト\ そして、この GET は次を返す。

{
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://edugain.geant.org",
  "sub": "https://edugain.geant.org",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "Sl9DcjFxR3hrRGdabUNIR21KT3dvdWMyc2VUM2Fr...",
        "kty": "RSA",
        "n": "xKlwocDXUw-mrvDSO4oRrTRrVuTwotoBFpozvlq-1q..."
      }
    ]
  },
  "metadata": {
    "federation_entity": {
      "federation_fetch_endpoint": "https://geant.org/edugain/api"
    }
  }
}

Figure 65: https://edugain.geant.org が発行した Entity Configuration\ Trust Anchor の Entity Configuration の中で、Relying Party (RP) は federation_fetch_endpoint を探し、Trust Anchor の更新された Federation Entity Keys を取得する。Federation 内の各 Entity は、自身の Federation Entity Keys やその他の属性を、いつでも変更し得る。詳細は Section 11.2 を参照のこと。

A.2.7. Subordinate Statement Published by https://edugain.geant.org about https://swamid.se

LIGO Wiki の RP は、Section 8.1.1 で定義されている https://edugain.geant.org の fetch endpoint を使用して、「https://swamid.se」に関する情報を取得する。

リクエストは次のようになる。

GET /edugain/api?sub=https%3A%2F%2Fswamid.se&
iss=https%3A%2F%2Fedugain.geant.org HTTP/1.1
Host: geant.org

Figure 66: https://edugain.geant.org に対し、https://swamid.se に関する Subordinate Statement を要求するリクエスト\ そして結果は次のとおりである。

{
  "exp": 1568397247,
  "iat": 1568310847,
  "iss": "https://edugain.geant.org",
  "sub": "https://swamid.se",
  "source_endpoint": "https://edugain.geant.org/edugain/api",
  "jwks": {
    "keys": [
      {
        "e": "AQAB",
        "kid": "N1pQTzFxUXZ1RXVsUkVuMG5uMnVDSURGRVdhUzdO...",
        "kty": "RSA",
        "n": "3EQc6cR_GSBq9km9-WCHY_lWJZWkcn0M05TGtH6D9S..."
      }
    ]
  },
  "metadata_policy": {
    "openid_provider": {
      "contacts": {
        "add": ["ops@edugain.geant.org"]
      }
    },
    "openid_relying_party": {
      "contacts": {
        "add": ["ops@edugain.geant.org"]
      }
    }
  }
}

Figure 67: https://edugain.geant.org が https://swamid.se について発行した Subordinate Statement\ この statement の発行者が、LIGO Wiki の RP がアクセスできる Trust Anchors のリストに含まれていると仮定すると、この Subordinate Statement が Trust Chain の 4 番目のリンクとなる。Trust Anchor の Entity Configuration も Trust Chain に含められる場合がある（MAY）。その場合、それは 5 番目で最後のリンクとなる。

これで Trust Chain のすべてのメンバーを取得した。要約すると、次の Entity Statements を取得したことになる。

• Leaf Entity https://op.umu.se の Entity Configuration —— Trust Chain の 1 番目のリンク
• https://umu.se の Entity Configuration —— Trust Chain には含まれない
• https://umu.se が https://op.umu.se について発行した Subordinate Statement —— Trust Chain の 2 番目のリンク
• https://swamid.se の Entity Configuration —— Trust Chain には含まれない
• https://swamid.se が https://umu.se について発行した Subordinate Statement —— Trust Chain の 3 番目のリンク
• https://edugain.geant.org の Entity Configuration —— オプションとして Trust Chain の 5 番目かつ最後のリンク
• https://edugain.geant.org が https://swamid.se について発行した Subordinate Statement —— Trust Chain の 4 番目のリンク

LIGO Wiki の RP が、何らかの安全な out-of-band の手段で提供されている Trust Anchor の公開鍵を用いれば、Section 10.2 に記載のとおり Trust Chain を検証できるようになる。

A.2.8. Verified Metadata for https://op.umu.se

チェーンの検証ができたので、LIGO Wiki の RP は次の手順に進める。

Immediate Superiors がそれぞれ自分の Immediate Subordinates について発行した 3 つの Subordinate Statements の metadata policies を結合し、Leaf Entity が提示した metadata statement にその結合ポリシーを適用すると、次が得られる。

{
  "authorization_endpoint": "https://op.umu.se/openid/authorization",
  "contacts": [
    "ops@swamid.se",
    "ops@edugain.geant.org"
  ],
  "federation_registration_endpoint": "https://op.umu.se/openid/fedreg",
  "client_registration_types_supported": [
    "automatic",
    "explicit"
  ],
  "grant_types_supported": [
    "authorization_code",
    "implicit",
    "urn:ietf:params:oauth:grant-type:jwt-bearer"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256",
    "ES256"
  ],
  "issuer": "https://op.umu.se/openid",
  "signed_jwks_uri": "https://op.umu.se/openid/jwks.jose",
  "logo_uri": "https://www.umu.se/img/umu-logo-left-neg-SE.svg",
  "organization_name": "University of Umeå",
  "op_policy_uri": "https://www.umu.se/en/website/legal-information/",
  "request_parameter_supported": true,
  "response_types_supported": [
    "code",
    "code id_token",
    "token"
  ],
  "subject_types_supported": [
    "pairwise"
  ],
  "token_endpoint": "https://op.umu.se/openid/token",
  "token_endpoint_auth_methods_supported": [
    "private_key_jwt",
    "client_secret_jwt"
  ]
}

Figure 68: metadata policies を適用して Trust Chain から導出した Resolved Metadata\ これで Provider Discovery の手順の終わりに到達した。

A.3. Examples of the Two Ways of Doing Client Registration

Section 12 で述べたとおり、client registration を行う方法は 2 つある。

Automatic\ 将来の通信において client がどの機能を用いるべきか（SHOULD）について、RP と OP の間で交渉は行われない。選択された Trust Chain の metadata policies によってフィルタされた RP の公開 metadata が、使用される metadata を定義する。

Explicit\ RP は federation_registration_endpoint にアクセスし、そこで RP の metadata を提供する。OP は、Trust Chain がすでに定義しているものに加えて、さらなる制約を加える metadata policy を返す場合がある（MAY）。

A.3.1. RP Sends Authentication Request (Automatic Client Registration)

LIGO Wiki の RP は登録を行わず、直接 Authentication Request の送信に進む。

以下は、そのような Authentication Request の例である。

GET /openid/authorization?
  request=eyJ0eXAiOiJvYXV0aC1hdXRoei1yZXErand0IiwiYWxnIjoiU
    lMyNTYiLCJraWQiOiJkVU4yYTAxd1JraGtTV3BsUVRodmNWQklOVUl3
    VFVkT1VGVTJUbVZyU21oRVFYZ3paWGxwVHpkUU5BIn0.
    eyJyZXNwb25zZV90eXBlIjogImNvZGUiLCAic2NvcGUiOiAib3Blbml
    kIHByb2ZpbGUgZW1haWwiLCAiY2xpZW50X2lkIjogImh0dHBzOi8vd2
    lraS5saWdvLm9yZyIsICJzdGF0ZSI6ICIyZmY3ZTU4OS0zODQ4LTQ2Z
    GEtYTNkMi05NDllMTIzNWU2NzEiLCAibm9uY2UiOiAiZjU4MWExODYt
    YWNhNC00NmIzLTk0ZmMtODA0ODQwODNlYjJjIiwgInJlZGlyZWN0X3V
    yaSI6ICJodHRwczovL3dpa2kubGlnby5vcmcvb3BlbmlkL2NhbGxiYW
    NrIiwgImlzcyI6ICJodHRwczovL3dpa2kubGlnby5vcmciLCAiaWF0I
    jogMTU5MzU4ODA4NSwgImF1ZCI6ICJodHRwczovL29wLnVtdS5zZSJ9
    .cRwSFNcDx6VsacAQDcIx
    5OAt_Pj30I_uUKRh04N4QJd6MZ0f50sETRv8uspSt9fMa-5yV3uzthX
    _v8OtQrV33gW1vzgOSRCdHgeCN40StbzjFk102seDwtU_Uzrcsy7KrX
    YSBp8U0dBDjuxC6h18L8ExjeR-NFjcrhy0wwua7Tnb4QqtN0QCia6DD
    8QBNVTL1Ga0YPmMdT25wS26wug23IgpbZB20VUosmMGgGtS5yCI5AwK
    Bhozv-oBH5KxxHzH1Oss-RkIGiQnjRnaWwEOTITmfZWra1eHP254wFF
    2se-EnWtz1q2XwsD9NSsOEJwWJPirPPJaKso8ng6qrrOSgw
  &response_type=code
  &client_id=https%3A%2F%2Fwiki.ligo.org
  &redirect_uri=https%3A%2F%2Fwiki.ligo.org/openid/callback
  &scope=openid+profile+email
  HTTP/1.1
Host: op.umu.se

Figure 69: Automatic Client Registration を用いた Authentication Request\ OP がこの Authentication Request を受信すると、RP がすでに登録済みでない限り、RP を動的に取得し、RP との間で信頼を確立し始める。

A.3.1.1. OP Fetches Entity Statements

OP は RP（wiki.ligo.org）について Trust Chain を確立する必要がある。この例における OP には、次の 2 つのフェデレーションの公開鍵が設定されている。

• https://edugain.geant.org
• https://swamid.se

OP は、Section 9 で述べた手順を用いて Entity Configuration を取得し、Client Identifier https://wiki.ligo.org の metadata 解決を開始する。

この手順は Appendix A.2 で述べたものと同じであり、次の Entity Statements を含む Trust Chain が得られる。

• Leaf Entity https://wiki.ligo.org の Entity Configuration
• https://incommon.org が https://wiki.ligo.org について発行した Subordinate Statement
• https://edugain.geant.org が https://incommon.org について発行した Subordinate Statement

A.3.1.2. OP Evaluates the RP Metadata

LIGO Wiki の RP が、何らかの安全な out-of-band の手段で提供されている Trust Anchor の公開鍵を用いれば、Section 10.2 に記載のとおり Trust Chain を検証できるようになる。

ここでは完全な Entity Statements は列挙せず、metadata と metadata_policy の部分のみを示す。metadata policies は 2 つある。

edugain.geant.org:

"metadata_policy": {
  "openid_provider": {
    "contacts": {
      "add": ["ops@edugain.geant.org"]
    }
  },
  "openid_relying_party": {
    "contacts": {
      "add": ["ops@edugain.geant.org"]
    }
  }
}

Figure 70: 複数の metadata type に関連する Metadata Policies

incommon.org:

"metadata_policy": {
  "openid_relying_party": {
    "application_type": {
      "one_of": [
        "web",
        "native"
      ]
    },
    "contacts": {
      "add": ["ops@incommon.org"]
    },
    "grant_types": {
      "subset_of": [
        "authorization_code",
        "refresh_token"
      ]
    }
  }
}

Figure 71: RP に関連する Metadata Policy

次に、これらを結合し、wiki.ligo.org の metadata に適用する。

"metadata": {
  "openid_relying_party": {
    "application_type": "web",
    "client_name": "LIGO Wiki",
    "contacts": [
      "ops@ligo.org"
    ],
    "grant_types": [
      "authorization_code",
      "refresh_token"
    ],
    "id_token_signing_alg_values_supported":
      ["ES256", "PS256", "RS256"],
    "signed_jwks_uri": "https://wiki.ligo.org/jwks.jose",
    "redirect_uris": [
      "https://wiki.ligo.org/openid/callback"
    ],
    "response_types": [
      "code"
    ],
    "subject_type": "public",
    "token_endpoint_auth_method": "private_key_jwt"
  }
}

Figure 72: metadata policy をまだ適用していない結合済み metadata

最終的な結果は次のとおりである。

"metadata": {
  "openid_relying_party": {
    "application_type": "web",
    "client_name": "LIGO Wiki",
    "contacts": [
      "ops@ligo.org",
      "ops@edugain.geant.org",
      "ops@incommon.org"
    ],
    "grant_types": [
      "refresh_token",
      "authorization_code"
    ],
    "id_token_signing_alg_values_supported":
      ["ES256", "PS256", "RS256"],
    "signed_jwks_uri": "https://wiki.ligo.org/jwks.jose",
    "redirect_uris": [
      "https://wiki.ligo.org/openid/callback"
    ],
    "response_types": [
      "code"
    ],
    "subject_type": "public",
    "token_endpoint_auth_method": "private_key_jwt"
  }
}

Figure 73: metadata policy を適用した後の Resolved Metadata

Trust Chain と最終的な Relying Party (RP) の metadata を取得できれば、OpenID Provider (OP) は Authentication Request 内の Request Object の署名を検証するために必要なものをすべて揃えたことになる。検証には、signed_jwks_uri endpoint で利用可能な公開鍵を用いる。

A.3.2. RP Starts with Client Registration (Explicit Client Registration)

ここでは、LIGO Wiki の RP が、OP（op.umu.se）の federation_registration_endpoint に対して明示的登録（Explicit Registration）のリクエストを送信する。リクエストには、RP の Entity Configuration が含まれる。

RP の Entity Configuration における JWT Claims Set の例を以下に示す。

{
  "iss": "https://wiki.ligo.org",
  "sub": "https://wiki.ligo.org",
  "iat": 1676045527,
  "exp": 1676063610,
  "aud": "https://op.umu.se",
  "metadata": {
    "openid_relying_party": {
      "application_type": "web",
      "client_name": "LIGO Wiki",
      "contacts": ["ops@ligo.org"],
      "grant_types": ["authorization_code"],
      "id_token_signed_response_alg": "RS256",
      "signed_jwks_uri": "https://wiki.ligo.org/jwks.jose",
      "redirect_uris": [
        "https://wiki.ligo.org/openid/callback"
      ],
      "response_types": ["code"],
      "subject_type": "public"
    }
  },
  "jwks": {
    "keys": [
      {
        "kty": "RSA",
        "use": "sig",
        "kid": "U2JTWHY0VFg0a2FEVVdTaHptVDJsNDNiSDk5MXRBVEtNSFVkeXZwb",
        "e": "AQAB",
        "n": "4AZjgqFwMhTVSLrpzzNcwaCyVD88C_Hb3Bmor97vH-2AzldhuVb8K..."
      }
    ]
  },
  "authority_hints": ["https://incommon.org"]
}

Figure 74: RP's Entity Configuration JWT Claims Set

OP は RP の Entity Configuration を受け取り、付録 A.2 に示された手順の並びに従って処理を進める。

OP は、付録 A.3.1.2 で述べたのと同一の RP メタデータを問題なく解決（resolve）する。続いて、自身の OP メタデータに準拠する形で RP を登録し、その結果を登録用の Entity Statement（registration Entity Statement）として返す。

OP が Refresh Token をサポートしないと仮定すると、authorization_code の grant type のみで RP を登録することになる。これは、RP に返されるメタデータにも反映される。

返されるメタデータには、client_id、client_secret、および OP が RP のために払い出したその他のパラメータも含まれる。

以下は、明示的なクライアント登録（explicit client registration）に成功した後、OP が RP に返す登録用 Entity Statement の JWT Claims Set の例である。

{
  "iss": "https://op.umu.se",
  "sub": "https://wiki.ligo.org",
  "aud": "https://wiki.ligo.org",
  "iat": 1601457619,
  "exp": 1601544019,
  "trust_anchor": "https://edugain.geant.org",
  "metadata": {
    "openid_relying_party": {
      "client_id": "m3GyHw",
      "client_secret_expires_at": 1604049619,
      "client_secret": "cb44eed577f3b5edf3e08362d47a0dc44630b3dc6ea99f7a79205",
      "client_id_issued_at": 1601457619,
      "application_type": "web",
      "client_name": "LIGO Wiki",
      "contacts": [
        "ops@edugain.geant.org",
        "ops@incommon.org",
        "ops@ligo.org"
      ],
      "grant_types": [
        "authorization_code"
      ],
      "id_token_signed_response_alg": "RS256",
      "signed_jwks_uri": "https://wiki.ligo.org/jwks.jose",
      "redirect_uris": [
        "https://wiki.ligo.org/openid/callback"
      ],
      "response_types": [
        "code"
      ],
      "subject_type": "public"
    }
  },
  "authority_hints": [
    "https://incommon.org"
  ],
  "jwks": {
    "keys": [
      {
        "kty": "RSA",
        "use": "sig",
        "kid": "U2JTWHY0VFg0a2FEVVdTaHptVDJsNDNiSDk5MXRBVEtNSFVkeXZwb",
        "e": "AQAB",
        "n": "4AZjgqFwMhTVSLrpzzNcwaCyVD88C_Hb3Bmor97vH-2AzldhuVb8K..."
      },
      {
        "kty": "EC",
        "use": "sig",
        "kid": "LWtFcklLOGdrW",
        "crv": "P-256",
        "x": "X2S1dFE7zokQDST0bfHdlOWxOc8FC1l4_sG1Kwa4l4s",
        "y": "812nU6OCKxgc2ZgSPt_dkXbYldG_smHJi4wXByDHc6g"
      }
    ]
  }
}

Figure 75: JWT Claims Set of Registration Entity Statement Returned by OP to RP after Explicit Client Registration

Appendix B. Notices

著作権 (c) 2025 The OpenID Foundation.

The OpenID Foundation（OIDF）は、あらゆる寄稿者、開発者、実装者、またはその他の関係者に対し、本 Implementers Draft、Final Specification、または Final Specification Incorporating Errata Corrections を複製し、そこから派生著作物を作成し、配布し、上演し、表示するための、非独占的・ロイヤリティフリー・全世界的な著作権ライセンスを付与する。この許諾は、(i) 仕様を策定すること、および (ii) これら文書に基づいて Implementers Draft、Final Specifications、ならびに Final Specification Incorporating Errata Corrections を実装すること、という目的に限って認められる。なお、OIDF を資料の出所として帰属表示（attribution）を行うことを条件とするが、その帰属表示は OIDF による推奨（endorsement）を示すものではない。

本仕様で述べる技術は、OpenID Foundation のメンバーその他を含む、さまざまな提供元からの寄与によって公開された。OpenID Foundation は、この技術が配布可能であることを確保するための手順を講じてきたが、本仕様で述べる技術の実装または利用に関連して主張され得る、いかなる知的財産権その他の権利についても、その有効性または範囲に関して立場を表明しない。また、そのような権利に基づくライセンスが利用可能かどうか、あるいは利用可能だとしてどの範囲までかについても表明しない。さらに、OpenID Foundation がそのような権利を特定するための独自の取り組みを行ったことを表明するものでもない。OpenID Foundation および本仕様の寄稿者は、本仕様に関して、明示・黙示・その他いかなる形態の保証も行わず（ここに明示的に否認する）、商品性、非侵害、特定目的への適合性、または権原に関する黙示の保証を含め、すべての保証を否認する。本仕様を実装することに伴うリスクは、すべて実装者が負担する。OpenID Intellectual Property Rights policy（openid.net に掲載）は、寄稿者に対し、他の寄稿者および実装者に対して特定の特許請求を主張しないという特許に関する約束（patent promise）を提供することを求めている。OpenID は、本仕様を実施するために必要となり得る技術を対象とする著作権、特許、特許出願、またはその他の専有権が存在する可能性がある場合、いかなる関係者からでもその情報提供を歓迎する。

Appendix C. Document History

[[ To be removed from the final specification ]]

-46

Fixed #293: Said that ECs and ESs MUST NOT contain the peer_trust_chain header parameter.

Fixed #295: Removed unnecessary "sorted as specified in Section 4" phrases.

Fixed #296: Reworded odd language about operators that can be combined.

Fixed #297: Made statement about non-interoperable JSON a note.

Fixed #298: Referenced RFC 9525 for Web PKI.

Allowed the Trust Chain in the trust_chain header parameter to begin with an Entity other than the JWT's subject.

Added reference to Client Authentication section to clarify statement about whether the caller is authenticated.

Described the use of the "aud" (audience) claim in Explicit Registration requests and responses.

Fixed #311: Clarified that the expiration of a resolve response is the minimum of the expiration of the Trust Chain and the expiration of any included Trust Mark.

Fixed #292: Included the Trust Chain in the description of the Resolve Endpoint.

-45

Fixed #233: Gave examples of the use of Automatic Registration at OAuth 2.0 endpoints other than the Authorization Endpoint and Token Endpoint.

Fixed #216: Added two more implementation considerations.

Added Implementation Considerations section "Federation Discovery and Trust Chain Resolution Patterns".

Fixed #237: The order of the elements resulting from merging two sets is not defined.

Fixed #241: Restructured Entity Statement section.

Fixed #84: Added section on validating Entity Statements.

Fixed #243: Be explicit about what to do when server validation fails in automatic registration.

Fixed #100: Define the peer_trust_chain header parameter and use it in combination with the trust_chain header parameter to provide the Federation Integrity and Metadata Integrity properties. This PR leaves the existing trust_chain request parameter for Automatic Registration and the existing Trust Chain-as-request-body syntax for Explicit Registration in place for historical reasons, but defines that the use of the trust_chain header parameter is RECOMMENDED over either of those more ad-hoc methods.

Fixed #283: Provided better description of "crit" Claim in IANA registration.

Fixed #215: Added trust_anchor_hints Entity Configuration Claim.

Fixed #275: Uppercased "Claim", "Claim Name", and "Claim Value".

-44

Fixed #127: Explained Trust Mark Issuer validation in more detail.

Corrected location of Constraints in Trust Chain Example figure.

Fixed #147: Added a note about client authentication methods and Automatic Registration.

Applied must-have feature requests for Swedish government use cases, specifically:

Make it optional to publish an Entity Configuration at the Entity Identifier's /.well-known/openid-federation URL (which is already true when using Explicit Registration).

Allow non-https Entity Identifiers (while leaving defining how to retrieve Entity Configurations for them to future extensions).

Make use of client_registration_types and client_registration_types_supported RECOMMENDED rather than REQUIRED.

Remove recommendation that informational metadata values be in the Entity's federation_entity metadata.

Applied strong requests for Swedish government use cases, specifically:

Fixes #244: Sign Trust Mark Status responses and extend the set of defined status values.

Added warning about using JWKS representations where they may not be understood.

-43

Fixed #194: Renamed trust_mark_id to trust_mark_type.

Fixed #24, #25, #212: Simplified Trust Mark Status endpoint by having it take the Trust Mark to be validated as a parameter.

Fixed #35: Removed requirement for the value and default operators to support JSON object values, since merging them requires comparison. Added note about metadata policy and comparing JSON objects.

Fixed #167: Added Privacy Considerations section.

Fixed #196: The output of rows 3 and 4 in Table 1: Examples of Outputs with Combinations of essential and subset_of for Different Inputs must be empty JSON array [].

OAuth 2.0 Protected Resource Metadata is now RFC 9728.

Follow Implementation Considerations in [OpenID.RP.Choices].

Added note about using different signing algorithms for different Entity Statements in a Trust Chain.

Fixed #172: Added Resolved Metadata as defined term.

Fixed #166: Recommend way to validate non-expiring Trust Marks.

Fixed #193: Clarified that "metadata" declarations declare the roles that the Entity plays - its Entity Types.

Fixed #202: Added String Operations section.

Fixed #173: Use Resolved Metadata term in Explicit Registration.

Added informational metadata parameters display_name, description, keywords, and information_uri and added IANA registrations for them.

Added protected resource metadata IANA registrations.

Renamed homepage_uri to organization_uri.

-42

Addresses #11, #180: Allows the following unconditional operator combinations: add + superset_of. Makes the following previously conditional operator combinations unconditional: default + one_of, default + subset_of, default + superset_of. Makes the following previously unconditional operator combination conditional: value + essential. Allows the following conditional operator combinations: value + add, value + default, value + one_of, value + subset_of, value + superset_of.

Addresses #182: When applying the subset_of operator on a metadata parameter, if the resulting intersection is empty, then the metadata is made empty. Previously it was removed, which may lead to policy override for metadata parameters that have a default value, for instance grant_types RP metadata or grant_types_supported OP metadata. The merge of two subset_of operators is changed to allow empty intersection as well.

Addresses #129: Clarifies that the combination rules for a metadata policy operator apply to both individual as well as merged metadata parameter policies.

Fixed #184: Clarified that Request Objects can be passed by value or by reference.

Fixed #178: Clarify that other client methods (than automatic and explicit) are allowed.

Fixed #181: Contributed metadata policies must be logically sound and consistent with one another.

Fixed #130: Allow multiple Trust Anchor values to be passed in resolve requests.

Require trust_chain claim in resolve response.

Fixed #161: Prohibit loops in Trust Chains.

Fixed #47: Described using and not using a provided Trust Chain during Automatic Registration.

Fixed #85: Clarified Trust Chain selection during Explicit Registration. Also corrected the authority_hints value in the Explicit Registration response to be the Immediate Superior of the RP in the Trust Chain selected for it by the OP.

Fixed #35: Clarified that using non-interoperable JSON, as per Sections 4 and 8 of RFC 8259, can result in unpredictable metadata and metadata policy behavior.

Fixed #162: Trust Mark claim id renamed to trust_mark_id. Other more specific Trust Mark JWT typ header parameter values can be used if defined by trust frameworks in use and understood by the implementation.

-41

Fixed #131: Changed anchor request parameter to trust_anchor, changed trust_anchor_id claim to trust_anchor, and changed type request parameter to entity_type.

Explicitly typed base64url-encoded examples that were previously untyped. Also added missing client_id and iss values in some examples.

Fixed #7, #86, #134, and #148: Provides implementation considerations on Federation topologies.

Fixed #136: Defined additional error codes and rationalized naming. Renamed trust_chain_validation_failed to invalid_trust_chain and renamed missing_trust_anchor to invalid_trust_anchor.

Fixed #133: Refined wording about client authentication when using Automatic Registration and added token_endpoint_auth_methods_supported in RP metadata example.

Reference OpenID Connect Relying Party Metadata Choices 1.0.

Fixed #143: Added Trust Mark Issuer and Trust Mark Owner to Terminology section.

Fixed #139: Clarified description of using request objects.

Fixed #140: Federation Entity Keys MUST NOT appear in metadata.

Fixed #105 and #106: Informatively say that the require_signed_request_object and require_pushed_authorization_requests metadata parameters can be used.

Fixed #107: Clarified how to validate Trust Marks.

Fixed #114: Described why it may make sense to not support the use of request_uri other than in conjunction with a PAR request.

Fixed #108: Removed remark about trust mark delegation revocation.

Fixed #120: Required kid (Key ID) header parameter in Signed JWK Set JWTs.

Define media type for Explicit Registration responses application/explicit-registration-response+jwt distinct from application/entity-statement+jwt.

Restrict audience values to the single Entity Identifier of the intended recipient.

-40

Renamed validation_failed error code to trust_chain_validation_failed. Fixed

89: Improved Entity Statement jwks claim description.

Fixed #88: Explicitly require audience validation for explicit registration requests and responses.

Fixed #28: Described validation of resolved metadata.

Fixed #98: Require that the audience of JWTs used for client authentication at federation endpoints with private_key_jwt be the Entity Identifier of the endpoint's Entity.

Fixed #34: Deleted request_authentication_methods_supported and request_authentication_signing_alg_values_supported and replaced with the use of standard Request Object and PAR metadata values. Also restricted PAR authentication methods to those performing signing with the RP's keys.

Fixed #98: Required audience when using private_key_jwt with PAR to be the Authorization Server's Entity Identifier.

Reverted change to allow PAR requests not using Request Objects when the client authentication method uses a signature with a Federation Entity Key.

Fixed #104: Removed the *_auth_signing_algs metadata parameters in favor of endpoint_auth_signing_alg_values_supported.

Required that the issuer OP and AS metadata values match the Entity Identifier.

Fixed #69: Specified more details of successful and error responses to authentication requests using Automatic Registration.

Fixed #24: Removed trust_mark and iat from Trust Mark Status endpoint. Use GET at Trust Mark Status endpoint.

-39

Fixed #33: Corrected "add" operator values in examples to be arrays.

Endpoint URLs are not form-urlencoded in JSON metadata parameter values.

Fixed #52: Clarified that PAR requests must use Request Objects.

Fixed #64: Explicitly typed signed JWK Sets.

Fixed #55: Required validating explicit typing of JWTs.

Fixed #53: State that JWS and JWE Compact Serializations are used.

Fixed #49: Added request_authentication_signing_alg_values_supported to example.

Fixed #46: Corrected statement about preventing use of Request Object for private_key_jwt client authentication.

Fixed #43: Allow multiple type request parameters in resolve requests.

Fixed #40: Changed section name from "Resolve Entity Statement" to "Resolve Entity".

Improved descriptions of the JWT Claims being registered, per feedback from the IANA Designated Expert.

Fixes #45: Tightened Trust Chain signature validation wording.

Fixed #40: Changed section name from "Resolve Entity Statement" to "Resolve Entity".

Fixed #39: Removed iss parameter from fetch endpoint.

Fixed #54: MAY NOT -> MUST NOT.

Fixed #58: Require authority_hints value to contain the Entity Identifiers of all Immediate Superiors.

-38

Added section defining each media type, per IANA Designed Expert review.

Fixed #36: Simplified obtaining Entity Configurations.

Fixed #30: Simplified fetch endpoint to only return Subordinate Statements.

Removed text describing endpoints as being "encoded in application/x-www-form-urlencoded format".

-37

Note that after the approval and publication of the fourth Implementer's Draft https://openid.net/specs/openid-federation-1_0-ID4.html, work on the OpenID Federation specification moved from the repository https://bitbucket.org/openid/connect/ to the repository https://github.com/openid/federation. Issue numbers before this draft are from the Bitbucket repository. Issue numbers starting with this draft are from the GitHub repository.

Fixed #15: Clarified that OpenID Federation can be used for trust establishment with any application protocols.

Fixed #18: Clarified use of valid Trust Marks.

Fixed #19: Clarified that Federation Entities publish their public keys.

Fixed #22: Defined that Entity Identifiers MUST use the https scheme.

Clarified that additional client_registration_types MAY be defined and used.

Corrected Usage Location values in IANA "OAuth Extensions Error Registry" registrations.

-36

Made the definition of iat and exp consistent.

（以下、同様に続く）

Acknowledgements 著者は、本仕様に貢献した以下の個人および組織に謝意を表する: Marcus Almgren, Patrick Amrein, Pasquale Barbaro, Ralph Bragg, Peter Brand, Brian Campbell, David Chadwick, Michele D'Amico, Kushal Das, Andrii Deinega, Erick Domingues, Heather Flanagan, Michael Fraser, Samuel Gulliksson, Joseph Heenan, Pedram Hosseyni, Marko Ivančić, Łukasz Jaromin, Leif Johansson, Takahiko Kawasaki, Ralf Küsters, Torsten Lodderstedt, Josh Mandel, Francesco Marino, John Melati, Alexey Melnikov, Henri Mikkonen, Aaron Parecki, Eduardo Perottoni, Chris Phillips, Roberto Polli, Justin Richer, Jouke Roorda, Nat Sakimura, Mischa Sallé, Stefan Santesson, Marcos Sanz, Michael Schwartz, Giada Sciarretta, Amir Sharif, Sean Turner, Davide Vaghetti, Niels van Dijk, Tim Würtele, Kristina Yasuda, Gabriel Zachmann, GEANT4-2 の JRA3T3 task force, および SIROS Foundation。

Authors' Addresses Roland Hedberg (editor) independent Email: roland@catalogix.se Michael B. Jones Self-Issued Consulting Email: michael_b_jones@hotmail.com URI: https://self-issued.info/ Andreas Åkre Solberg Sikt Email: Andreas.Solberg@sikt.no URI: https://www.linkedin.com/in/andreassolberg/ John Bradley Yubico Email: ve7jtb@ve7jtb.com URI: http://www.thread-safe.com/ Giuseppe De Marco independent Email: demarcog83@gmail.com URI: https://www.linkedin.com/in/giuseppe-de-marco-bb054245/ Vladimir Dzhuvinov Connect2id Email: vladimir@connect2id.com URI: https://www.linkedin.com/in/vladimirdzhuvinov/