	openid-connect-4-ida-claims-1_0	October 2024
Lodderstedt, et al.	Standards Track	[Page]

Workgroup:: eKYC-IDA
Published:: 1 October 2024
Authors:: T. Lodderstedt

sprind.org

D. Fett

Authlete

M. Haine

Considrd.Consulting Ltd

A. Pulido

Santander

K. Lehmann

1&1 Mail & Media Development & Technology GmbH

K. Koiwai

KDDI Corporation

OpenID Connect for Identity Assurance Claims Registration 1.0

Abstract

この仕様では, エンドユーザーに関する新しい JWT クレームを登録するための OpenID Connect の拡張機能を定義する. この拡張は, 元々 OpenID Connect for Identity Assurance の以前のドラフトで定義されていた, 自然人のアイデンティティに関連する新しいクレームを定義している. この取り組み及び以前のドラフトは, OpenID Foundation の eKYC & IDA ワーキンググループの取り組みである.¶

Foreword

The OpenID Foundation (OIDF) promotes, protects and nurtures the OpenID community and technologies. As a non-profit international standardizing body, it is comprised by over 160 participating entities (workgroup participant). The work of preparing implementer drafts and final international standards is carried out through OIDF workgroups in accordance with the OpenID Process. Participants interested in a subject for which a workgroup has been established have the right to be represented in that workgroup. International organizations, governmental and non-governmental, in liaison with OIDF, also take part in the work. OIDF collaborates closely with other standardizing bodies in the related fields.¶

Final drafts adopted by the Workgroup through consensus are circulated publicly for the public review for 60 days and for the OIDF members for voting. Publication as an OIDF Standard requires approval by at least 50% of the members casting a vote. There is a possibility that some of the elements of this document may be subject to patent rights. OIDF shall not be held responsible for identifying any or all such patent rights.¶

Introduction

この仕様では, 自然人に関する追加の JWT クレームを定義する. この定義されたクレームは ID Token を含む様々なコンテキストで使用できる.¶

Warning

This document is not an OIDF International Standard. It is distributed for review and comment. It is subject to change without notice and may not be referred to as an International Standard. Recipients of this draft are invited to submit, with their comments, notification of any relevant patent rights of which they are aware and to provide supporting documentation.¶

Notational conventions

The keywords "shall", "shall not", "should", "should not", "may", and "can" in this document are to be interpreted as described in ISO Directive Part 2 [ISODIR2]. These keywords are not used as dictionary terms such that any occurrence of them shall be interpreted as keywords and are not to be interpreted with their natural language meanings.¶

▲

1. Scope

この仕様では, [RFC7519] によって定義され, IANA によって管理される "JSON Web Token Claims Registry" のみを定義している. これらのクレームは, [RFC7519] に従い JWT でエンドユーザーの特性を記述する必要があるあらゆるコンテキストで使われるべきである. (SHOULD)¶

2. Normative references

Normative References については Section 5 参照．¶

3. Terms and definitions

このドキュメントでは，以下の用語と定義を適用する．¶

3.1. claim

Entity に関する情報の部分集合.¶

[SOURCE: [OpenID], 1.2]¶

3.2. identity proofing

エンドユーザーが OP または claim provider に自分自身を確実に識別できるエビデンスを提供し，それによって OpenID Connect provider (OP) または claim provider が有用な assurance level でその識別をアサート出来るようにするプロセス¶

3.3. identity verification

エンドユーザーの identity を確認するために，OP または claim provider が実施するプロセス¶

3.4. identity assurance

OP または claim provider が, RP に対してある一定の確からしさをもって特定のエンドユーザーの identity データを主張するプロセスで，通常は assurance level で表される. 法的要件に応じて, OP は identity verification プロセスのエビデンスを RP に提供するよう要求される場合もある.¶

3.5. verified claims

特定のエンドユーザーアカウントへの binding が identity verification プロセスの過程で検証されたエンドユーザー (通常は自然人) に関する Claim¶

4. Claims

4.1. Additional claims about end-users

この仕様は, OpenID Connect 仕様 [OpenID] 及び OpenID Connect for Identity Assurance 仕様 [OpenID4IDA] で定義される Claim に加えて, ([RFC7519]に従う) JWT が使われるかもしれないあらゆるコンテキストにおいて, エンドユーザーデータを伝達するための次の Claim を定義している.¶

Table 1
Claim	Type	Description
`place_of_birth`	JSON object	エンドユーザーの出生地. このメンバー値は，次のメンバーの一部またはすべてを含む JSON 構造である:
		`country`: [ISO3166-1] Alpha-2 または [ISO3166-3] 構文で国を表す文字列.
		`region`: State, province, prefecture, または他の地域コンポーネントを表す文字列. 一部の管轄区域ではこのフィールドは必須かもしれない.
		`locality`: city, または別の地域を表す文字列.
`nationalities`	array	ICAO 3-letter codes [ICAO-Doc9303] を用いてエンドユーザーの国籍を表す. 互換性の理由から，状況によっては 2-letter ICAO codes が使われるかもしれない.
`birth_family_name`	string	エンドユーザーが生まれたとき, あるいは少なくとも子供の時から持っている姓. この用語は人生の途中に何らかの理由で姓を変更した人が利用できる. 一部の文化では，人々は複数の姓を持つことも，姓を持たないこともあることに注意すること．全ての名前はスペース文字で区切って存在する．
`birth_given_name`	string	エンドユーザーが生まれたとき, あるいは少なくとも子供の時から持っている名前. この用語は人生の途中に何らかの理由で名前を変更した人が利用できる．一部の文化では，人々は複数の名を持つことに注意すること．全ての名前はスペース文字で区切って存在する．
`birth_middle_name`	string	エンドユーザーが生まれたとき, あるいは少なくとも子供の時から持っているミドルネーム. この用語は人生の途中に何らかの理由でミドルネームを変更した人が利用できる.一部の文化では，人々は複数のミドルネームを持つことができることに注意すること．全ての名前はスペース文字で区切って存在する．また，一部の文化ではミドルネームが使用されていないことにも注意すること．
`salutation`	string	エンドユーザの敬称．
`title`	string	エンドユーザの肩書．
`msisdn`	string	ITU-T recommendation [E.164] に従って表現されたエンドユーザーの携帯電話番号．
`also_known_as`	string	芸名，宗教名，または実名以外の特定の文脈で人が知られているその他の種類の別名/仮名．

4.2. Extended address claim

この仕様は，[OpenID] で定義されている address クレームを，国を ISO コードとして含む別のサブフィールドによって拡張する．¶

country_code: Optional. ISO 3-letter code [ISO3166-3] (例: "USA" や "JPN") を使用して表される住所の国部分．2-letter ISO codes [ISO3166-1] は，互換性の理由から使用されるかもしれない (MAY)．country_code は，既存の country フィールドの代わりに使用してもよい (MAY)．¶

4.3. Examples

このセクションには, このドキュメントで説明される End-User Claim の例を示す, JSON スニペットが含まれている.¶

{
"place_of_birth": {
  "country": "GB",
  "locality": "London"
  }
}

{
"nationalities": ["GB", "SL"]
}

{
"birth_family_name": "Elba"
}

{
"birth_given_name": "Idrissa"
}

{
"birth_middle_name": "Akuna"
}

{
"salutation": "Mr"
}

{
"title": "Dr"
}

{
"msisdn": "1999550123"
}

{
"also_known_as": "DJ Big Driis"
}

"address": {
  "locality": "Leavesden",
  "postal_code": "WD25 7LR",
  "country": "United Kingdom",
  "street_address": "4 Privet Drive",
  "country_code": "GBR"
}

5. Security considerations

ワーキンググループはこの仕様に直接関係する security considerations を特定していない．¶

本仕様で説明されるデータ構造には個人情報が含まれる．本仕様を参照する標準と本仕様を使用する実装者は，これらの構造の安全な伝送と，その使用から生じうるセキュリティとプライバシーの影響を考慮すべきである．¶

6. Normative References

[E.164]: ITU-T, "Recommendation ITU-T E.164", November 2010, <https://www.itu.int/rec/T-REC-E.164/en>.
[ICAO-Doc9303]: International Civil Aviation Organization, "Machine Readable Travel Documents, Seventh Edition, 2015, Part 3: Specifications Common to all MRTDs", 2015, <https://www.icao.int/publications/Documents/9303_p3_cons_en.pdf>.
[ISO3166-1]: ISO, "ISO 3166-1:2020. Codes for the representation of names of countries and their subdivisions -- Part 1: Country codes", 2020, <https://www.iso.org/standard/72482.html>.
[ISO3166-3]: ISO, "ISO 3166-3:2020. Codes for the representation of names of countries and their subdivisions -- Part 3: Code for formerly used names of countries", 2020, <https://www.iso.org/standard/72482.html>.
[ISODIR2]: ISO/IEC, "ISO/IEC Directives, Part 2 - Principles and rules for the structure and drafting of ISO and IEC documents", <https://www.iso.org/sites/directives/current/part2/index.xhtml>.
[OpenID]: Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, "OpenID Connect Core 1.0 incorporating errata set 1", 8 November 2014, <https://openid.net/specs/openid-connect-core-1_0.html>.
[OpenID4IDA]: Lodderstedt, T., Fett, D., Haine, M., Pulido, A., Lehmann, K., and K. Koiwai, "OpenID Connect for Identity Assurance 1.0", 16 June 2023, <https://openid.net/specs/openid-connect-4-identity-assurance-1_0.html>.
[RFC7519]: Jones, M., Bradley, J., and N. Sakimura, "JSON Web Token (JWT)", RFC 7519, DOI 10.17487/RFC7519, May 2015, <https://www.rfc-editor.org/info/rfc7519>.

7. Informative References

8. Translation References

[oidfj]: OpenID ファウンデーションジャパン, "OpenID ファウンデーションジャパン", <https://www.openid.or.jp>.
[oidfj-trans]: OpenID ファウンデーションジャパン, "翻訳・教育ワーキンググループ", <http://openid-foundation-japan.github.com/>.
[oidfj-kycwg]: OpenID ファウンデーションジャパン, "KYC ワーキンググループ", <https://www.openid.or.jp>.
[oidfj-github]: OpenID ファウンデーションジャパン, "Github レポジトリー", <https://github.com/openid-foundation-japan>.

Appendix A. IANA considerations

A.1. JSON Web Token claims registration

この仕様は [RFC7519] によって確立された IANA における "JSON Web Token Claims Registry" に次の値を登録することを要求している.¶

A.1.1. Registry contents

A.1.1.1. Claim `place_of_birth`

Claim Name:: place_of_birth¶
Claim Description:: エンドユーザーの出生地を表現する構造化クレーム¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.2. Claim `nationalities`

Claim Name:: nationalities¶
Claim Description:: エンドユーザーの国籍を表現する文字列配列¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.3. Claim `birth_family_name`

Claim Name:: birth_family_name¶
Claim Description:: 誰かがが生まれたとき, あるいは少なくとも子供の時から持っている姓. この用語は人生の途中に何らかの理由で姓を変更した人が利用できる. 一部の文化では，人々は複数の姓を持つことも，姓を持たないこともあることに注意すること．全ての名前はスペース文字で区切って存在する．¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.4. Claim `birth_given_name`

Claim Name:: birth_given_name¶
Claim Description:: 誰かが生まれたとき, あるいは少なくとも子供の時から持っている名前. この用語は人生の途中に何らかの理由で名前を変更した人が利用できる．一部の文化では，人々は複数の名を持つことに注意すること．全ての名前はスペース文字で区切って存在する．¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.5. Claim `birth_middle_name`

Claim Name:: birth_middle_name¶
Claim Description:: 誰かが生まれたとき, あるいは少なくとも子供の時から持っているミドルネーム. この用語は人生の途中に何らかの理由でミドルネームを変更した人が利用できる.一部の文化では，人々は複数のミドルネームを持つことができることに注意すること．全ての名前はスペース文字で区切って存在する．また，一部の文化ではミドルネームが使用されていないことにも注意すること．¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.6. Claim `salutation`

Claim Name:: salutation¶
Claim Description:: エンドユーザーの敬称, 例えば, "Mr"¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.7. Claim `title`

Claim Name:: title¶
Claim Description:: エンドユーザーの肩書, 例えば, "Dr"¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.8. Claim `msisdn`

Claim Name:: msisdn¶
Claim Description:: ITU-T勧告 [E.164] に従ってフォーマットされたエンドユーザーの電話番号.¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

A.1.1.9. Claim `also_known_as`

Claim Name:: also_known_as¶
Claim Description:: 芸名, 宗教名, または実名以外の特定の文脈で人が知られているその他の種類の別名/仮名.¶
Change Controller:: eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net¶
Specification Document(s):: このドキュメントの Claims セクション¶

Appendix B. Acknowledgements

この仕様に対する初期の寄稿で説明されている概念は, yes.com とパートナー企業の次の人々の貢献によるものである: Karsten Buch, Lukas Stiebig, Sven Manz, Waldemar Zimpfer, Willi Wiedergold, Fabian Hoffmann, Daniel Keijsers, Ralf Wagner, Sebastian Ebling, Peter Eisenhofer.¶

我々は, この仕様を進化させる助けとなる, 価値あるフィードバックを与えて貢献してくれた Julian White, Bjorn Hjelm, Stephane Mouy, Alberto Pulido, Joseph Heenan, Vladimir Dzhuvinov, Azusa Kikuchi, Naohiro Fujie, Takahiko Kawasaki, Sebastian Ebling, Marcos Sanz, Tom Jones, Mike Pegman, Michael B. Jones, Jeff Lombardo, Taylor Ongaro, Peter Bainbridge-Clayton, Adrian Field, George Fletcher, Tim Cappalli, Michael Palage, Sascha Preibisch, Giuseppe De Marco, Nick Mothershaw, Hodari McClain, Nat Sakimura に感謝する.¶

Appendix C. Notices

The OpenID Foundation (OIDF) grants to any Contributor, developer, implementer, or other interested party a non-exclusive, royalty free, worldwide copyright license to reproduce, prepare derivative works from, distribute, perform and display, this Implementers Draft or Final Specification solely for the purposes of (i) developing specifications, and (ii) implementing Implementers Drafts and Final Specifications based on such documents, provided that attribution be made to the OIDF as the source of the material, but that such attribution does not indicate an endorsement by the OIDF.¶

The technology described in this specification was made available from contributions from various sources, including members of the OpenID Foundation and others. Although the OpenID Foundation has taken steps to help ensure that the technology is available for distribution, it takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this specification or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any independent effort to identify any such rights. The OpenID Foundation and the contributors to this specification make no (and hereby expressly disclaim any) warranties (express, implied, or otherwise), including implied warranties of merchantability, non-infringement, fitness for a particular purpose, or title, related to this specification, and the entire risk as to implementing this specification is assumed by the implementer. The OpenID Intellectual Property Rights policy requires contributors to offer a patent promise not to assert certain patent claims against other contributors and against implementers. The OpenID Foundation invites any interested party to bring to its attention any copyrights, patents, patent applications, or other proprietary rights that may cover technology that may be required to practice this specification.¶

Appendix D. Translator

本仕様の翻訳は, OpenID ファウンデーションジャパン [oidfj] KYC ワーキンググループ [oidfj-kycwg], 翻訳・教育ワーキンググループ [oidfj-trans] を主体として, 有志のメンバーによって行われました. 質問や修正依頼などについては, Github レポジトリー [oidfj-github] にご連絡ください.¶