openid-ida-verified-claims-1_0 October 2024
Lodderstedt, et al. Standards Track [Page]
Workgroup:
eKYC-IDA
Published:
Authors:
T. Lodderstedt
sprind.org
D. Fett
Authlete
M. Haine
Considrd.Consulting Ltd
A. Pulido
Santander
K. Lehmann
1&1 Mail & Media Development & Technology GmbH
K. Koiwai
KDDI Corporation

OpenID Identity Assurance Schema Definition 1.0

Abstract

本仕様では, 特定の保証レベルを満たすと評価された多数の Claim に関する様々なアイデンティティ保証メタデータを記述するために使用できる, ペイロードスキーマを定義している.

このペイロードスキーマは [OpenID][W3C_VCDM] を含むがこれらに限らず, 様々な文脈やアプリケーション層プロトコルにわたって再利用可能であることを目的としている.

本ドキュメントでは "verifid_claims" と呼ばれる自然人のアイデンティティ保証に関連する新しいクレームを定義している. これは元々 OpenID Connect for Identity Assurance の以前のドラフトで開発されていたものである. この取り組みと以前のドラフトは, OpenID Foundation eKYC & IDA ワーキンググループの取り組みである.

Foreword

The OpenID Foundation (OIDF) promotes, protects and nurtures the OpenID community and technologies. As a non-profit international standardizing body, it is comprised by over 160 participating entities (workgroup participant). The work of preparing implementer drafts and final international standards is carried out through OIDF workgroups in accordance with the OpenID Process. Participants interested in a subject for which a workgroup has been established have the right to be represented in that workgroup. International organizations, governmental and non-governmental, in liaison with OIDF, also take part in the work. OIDF collaborates closely with other standardizing bodies in the related fields.

Final drafts adopted by the Workgroup through consensus are circulated publicly for the public review for 60 days and for the OIDF members for voting. Publication as an OIDF Standard requires approval by at least 50% of the members casting a vote. There is a possibility that some of the elements of this document may be subject to patent rights. OIDF shall not be held responsible for identifying any or all such patent rights.

Introduction

本仕様では, 保障されたidentity Claims と関連する一連のidentity assurance メタデータを記述するためのスキーマを定義している. この定義の多くは, どのプロセスが実行されるか, データ最小化のための運用要件, このドキュメントで説明される JSON スキーマのどの要素が特定のトランザクションに必要になるのかに依存しており任意となっている.

Warning

This document is not an OIDF International Standard. It is distributed for review and comment. It is subject to change without notice and may not be referred to as an International Standard.

Recipients of this draft are invited to submit, with their comments, notification of any relevant patent rights of which they are aware and to provide supporting documentation.

Notational conventions

The keywords "shall", "shall not", "should", "should not", "may", and "can" in this document are to be interpreted as described in ISO Directive Part 2 [ISODIR2]. These keywords are not used as dictionary terms such that any occurrence of them shall be interpreted as keywords and are not to be interpreted with their natural language meanings.

Table of Contents

1. Scope

本仕様では, 自然人に関連するidentity assurance を記述するために使用されるJSON オブジェクトのスキーマを定義している. これは [RFC7519] で確立されたIANA の "JSON Web Token Claims Registry" に登録される予定である, verified_claims と呼ばれる新しいクレームの定義を構成している. verified_claims クレームの定義の一部として, identity assurance メタデータのための柔軟なコンテナを提供する, verification と呼ばれる要素も定義されている. verification 要素は End-User が検証した Claim に依存しない verification メタデータが必要とされる場合に, 他の仕様の著者や実装者によって使用されるかもしれないことが予期される.

2. Normative references

Normative References については Section 6 参照.

3. Terms and definitions

このドキュメントでは,以下の用語と定義を適用する.

3.1. claim

Entity に関する情報の部分集合.

[SOURCE: [OpenID], 1.2]

3.2. claim provider

エンティティに関する claim と verified claims を返却できるサーバー

Note 1 to entry : claim provider は, OpenID Connect Provider, Verifiable Claims Issuer または検証済みクレームを提供する他のアプリケーションコンポーネントである可能性がある.

[SOURCE: [OpenID], 1.2, modified - added requirement to return verified claims]

3.3. claim recipient

Claims Provider からクレームを受け取るアプリケーション

3.4. identity proofing

エンドユーザーが provider に自分自身を確実に識別できるエビデンスを提供し,それによって provider が有用な assurance level でその識別をアサート出来るようにするプロセス

3.5. identity verification

エンドユーザーの identity を確認するために,provider が実施するプロセス

3.6. identity assurance

プロバイダーが, 別の消費エンティティ([W3C_VCDM]で記述される Relying Party やVerifier など)に対して特定の保証を持つ特定のエンドユーザーの Identity データを主張するプロセスで, 通常は assurance レベルで表される.

Note 1 to entry: 法的要件に応じて,プロバイダーは identity verification プロセスのエビデンスを消費エンティティに提供する必要がある場合もある.

3.7. verified claims

特定のエンドユーザーアカウントへの binding が identity verification プロセスの過程で検証されたエンドユーザー (通常は自然人) に関する claim

4. Requirements

本ドキュメントで定義されている特定の JSON 構造は, 保証される digital identity attributes を渡す必要があるプロトコル, または [JSON] データ交換フォーマットを用いてシステム間で Identity assurance メタデータを転送する必要があるプロトコルで使用可能である必要がある.

5. Verified claims

5.1. General

本仕様は Verified Claim を JSON ベースのアサーションに追加するための汎用的なメカニズムを定義している. これは verified_claims と呼ばれるコンテナ要素を使用し, Claims Recipient に一連の Claim と, これらの Claim の検証に関連するそれぞれのメタデータ及び検証のエビデンスを提供することである. これにより, Claims Recipient が Verified Claims と Unverified Claims を混同したり, Unverified Claims を誤って Verified Claims として処理したりすることがなくなる.

次の例では, トラストフレームワーク trust_framework_example の例に従って, Claims Provider が提供された Claim (given_namefamily_name)を検証したことを Claims Recipient に表明する:

{
  "verified_claims": {
    "verification": {
      "trust_framework": "trust_framework_example"
    },
    "claims": {
      "given_name": "Max",
      "family_name": "Meier"
    }
  }
}

基準となる定義を以下に示す.

5.2. Base elements

verified_claims: 単一のオブジェクトまたはオブジェクトの配列で,各オブジェクトは以下のサブ要素で構成される:

  • claims: 必須 (REQUIRED). エンドユーザに関するの検証済 Claim のためのコンテナであるオブジェクト.
  • verification: 必須 (REQUIRED). 検証プロセスに関するすべてのデータを含むオブジェクト.

注: 実装は, この仕様またはこの仕様の拡張で定義されていないサブ要素を無視しなければならない (SHALL). verified_claims 要素の下に追加のサブ要素を指定するこの仕様の拡張は,OpenID Foundation, エコシステムまたはスキーマのオペレータ,あるいはこの仕様を利用する実際の単一の実装者によって作成されてもよい (MAY).

verified_claims の機械可読な構文定義は [verified_claims.json] で JSON スキーマとして提供され,これは verified_claims 要素を含む JSON ドキュメントを自動的に検証するために使用できる.提供される JSON スキーマファイルは本仕様の標準ではない実装であり,存在する矛盾は実装のバグか,解釈のいずれかである.

トラストフレームワークの定義を含む本仕様の拡張は,データ構造に対するさらなる制約を定義できる.

5.3. Claims element

claims 要素にはプロセスによって検証され, 次のセクションで説明する,対応した verification 要素によって決定されたポリシーに従って検証された End-User についての Claim が含まれる.

claims 要素には OpenID Connect specification [OpenID] の Section 5.1 で定義されている以下の Claim のいずれかが含まれるかもしれない (MAY)

  • name
  • given_name
  • middle_name
  • family_name
  • birthdate
  • address

また, Claim は[OpenID4IDAClaims] で定義されている.

claims 要素は, 兄弟要素の verification で提示された検証プロセスでそれぞれの Claim の値が検証された場合, 他の Claim も含むかもしれない (MAY).

Claim 名は, OpenID Connect 仕様 [OpenID] の Section 5.2 で指定されている言語タグで注釈を付けてもよい (MAY).

claims 要素は, 検証は要求されるが共有するClaimを必要としないユースケースをサポートするために, 空になるかもしれない (MAY).

5.4. Verification element

5.4.1. General

この要素には, 個人の身元を確認し, それぞれの個人データをユーザーアカウントにバインドするために実行されたプロセスに関する情報が含まれる.

5.4.2. Element structure

Verification 要素は異なるアプリケーションプロトコル又は [W3C_VCDM] のようなデジタルアイデンティティデータフォーマットで Identity assurance メタデータの表現が必要な場合, OpenID Connect 及び OpenID Connect for Identity Assurance とは独立して使用できる.

verification 要素は以下の要素を含む:

  • trust_framework: Required. claim provider の identity verification プロセスを管理する trust framework を定める文字列. 例としては eidas で, これは eIDAS [eIDAS] 公認 eID システムを示す.

Claim Recipients は理解できないトラストフレームワーク識別子を含む verified_claims Claim を無視しなければならない (SHOULD).

trust_framework は, verification 要素の中で Claim Recipient に提供される追加のデータを決定する. たとえば, eIDAS 公認 eID システムは, データを追加する必要はないが, eIDAS に管理されていない Claim Provider は Claim Recipient が法的義務を果たすために verification evidence を提供する必要がある. 後者の例としては, ドイツのマネーロンダリング防止法 (de_aml) に基づいて行動する Claim Provider である.

  • assurance_level: Optional. それぞれの verified_claims のEnd-User Claimに関連付けられた assurance レベルを決定する文字列. 値の範囲は,それぞれの trust_framework 値によって異なる.例えば,トラストフレームワーク eidas は,identity assurance level low, substantialhigh を持つことができる.事前定義されたトラストフレームワークと assurance level については [predefined_values_page] を参照すること.
  • assurance_process: Optional. 実行された保証プロセスを表す JSON オブジェクト.これはエビデンスが trust_frameworkassurance_level の要件をどのように満たしているかを反映する.エビデンスの事実記録と従った手順は evidence 要素に記録される; この要素は evidenceassurance_process を相互参照するために利用される.これには次の1つ以上のサブ要素がある:

    • policy: Optional. 準拠した標準またはポリシーを表す文字列.
    • procedure: Optional. 準拠した policy からの特定の手順を表す文字列.
    • assurance_details: Optional. エビデンスが policy にどのように準拠しているかに関する詳細を示す JSON 配列. この配列が存在する場合, 少なくとも一つの要素を持たなければならない (SHALL). 各要素は以下のサブ要素を持つ可能性がある:

      • assurance_type: Optional. エビデンスが assurance_process のどの部分を満たしているのかを示す文字列.
      • assurance_classification: Optional. trust_framework の要求に応じて evidence がどのように分類又は評価されたのか反映する文字列.
      • evidence_ref: Optional. 参照されているエビデンスの JSON 配列. この配列が存在する場合, 少なくとも一つの要素が存在しなければならない (SHALL).

        • check_id: Required. evidence 配列の要素である check_details で用いられる check_id キーを参照する識別子. claim provider は, evidence_ref が用いられる場合, check_idcheck_details に存在することを確認しなければならない (SHALL).
        • evidence_metadata: Optional. trust_framework への準拠を示すために, assurance_process が必要とする evidence についてのメタデータを指すオブジェクト. 次のサブ要素を持つ:
        • evidence_classification: Optional. trust_framework への準拠を示すために, evidencecheck_details で示されたプロセスがどのように assurance_process によって分類されるのか示すオブジェクト.
  • time: Optional. Identity verification が行われた日時を示す ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD フォーマットのタイムスタンプ.この時間は, (潜在的に存在する) document/time 要素とは異なるかもしれない.なぜなら,後者はあるエビデンスがチェックされた時間を表すのに対し,この要素はプロセスが完了した時間を表すためである.さらに,全体の verification プロセスとエビデンスの検証は,異なる当事者が行うことができる(document/verifier を参照).特定のトラストフレームワークでは,この要素の存在が要求される場合がある.
  • verification_process: Optional. Claim Provider が実行する identity verification process への一意な参照.紛争や監査の際に詳細を識別して取り出すために使用される.特定のトラストフレームワークでは,この要素の存在が要求される場合がある.
  • evidence: Optional. End-User の identity を確認するために Claim Provider が使用したエビデンスに関する情報を個別の JSON オブジェクトとして含む JSON 配列.すべてのオブジェクトには,エビデンスの種類を決めるプロパティ type が含まれる.Claim Recipient は evidence プロパティを適切に処理するためにこの情報を使用する.

重要: 実装は本仕様または本仕様の拡張で定義されていないサブ要素を無視しなければならない (SHALL).

5.4.3. Minimum conformant

上記の定義及び相当数の任意のサブ要素が存在することに基づき, 最低限の適合性を持つverified_claims のペイロードを示すことは有益である. さらに詳細な内容を転送する必要がある場合は, openid-ida-verified-claims に準拠したverified_claims 要素を, さらに任意で詳細に含めることができる. この例は規範的なものではない.

{
    "verified_claims": {
      "verification": {
        "trust_framework": "de_aml"
      },
      "claims": {}
    }
  }

5.4.4. Evidence element

5.4.4.1. Evidence element structure

evidence 配列の要素は, 次の要素で構成されている:

type: Required. エビデンスのタイプを定義する値.

以下のエビデンスのタイプが定義されている:

  • document: End-User から提供されたパスポート,ID カード,公的機関が署名した PDF など,物理的または電子的文章に基づく検証.
  • electronic_record: 政府機関,銀行,公共事業者,信用調査機関など,承認,認知,規制,または認定されたソースから電子的に取得したデータまたは情報に基づく検証.
  • vouch: 承認または認知された自然人が,Claim(s) が正規かつ真実であると彼らの知る限り信じていることを宣言することによって与えられた証明に基づく検証.
  • electronic_signature: End-User に一意にリンク可能で, かつ署名者を識別できる電子署名の使用に基づく Verification. eIDAS 高度電子署名 (AES) または適格電子署名 (QES).

attachments: Optional. ドキュメントや証明書のコピーなどの添付ファイルを表す JSON オブジェクトの配列. Structure of members of the attachments array is described in [Attachments].

エビデンスの種類に応じて,以下で説明するように追加の要素が定義される.

5.4.4.2. Evidence type document

以下の要素は,タイプが document であるエビデンス サブ要素に含まれる.

type: 値が document に設定されている場合に必須 (Required).

check_details: Optional. evidence に関連して行われたチェックを表す JSON 配列.この配列が存在する場合,少なくとも1つのメンバがなければならない (SHALL).

  • check_method: Required. 完了したチェックを表す文字列で,これにはドキュメントの信頼性の確認や,ユーザーの生体認証を identity document と照合するなどのプロセスが含まれる.事前定義された check_details 値の詳細については,[predefined_values_page] 参照.
  • organization: Optional. チェックを実行した法人を示す文字列.Claim Provider 自身がチェックを実行していない場合,これを含むべきである (SHOULD).
  • check_id: Optional. チェック (verification または validation) が実行されたイベントを参照する識別子.Claim Provider は evidence_ref 要素が使用されるときにこれが存在することを保証しなければならない (SHALL).Claim Provider は監査中にトランザクション識別子をトランザクションの詳細に解決できることを確認しなければならない (SHALL).
  • time: Optional. チェックが完了した日付を表す ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD フォーマットのタイムスタンプ.

document_details: Optional. identity verification の実行に使用されたドキュメントを表す JSON オブジェクト.これは以下のプロパティで構成される:

  • type: Required. ドキュメントのタイプを表す文字列.事前定義されたドキュメント値については [predefined_values_page] 参照. Claim Provider は Claim Recipients がアサーションを処理できないか,監査目的でこの値を保存するか,特注のビジネスロジックを適用する場合,事前定義された値以外を使用してもよい (MAY).
  • document_number: Optional. エンドユーザーに発行されたドキュメントを一意に識別する識別子/番号を表す文字列.これはパスポート番号や証明書番号などのように,1つのドキュメントで利用され,再発行されると変更される.
  • personal_number: Optional. 国民識別番号,個人識別番号,市民番号,社会保障番号,運転免許証番号,口座番号,顧客番号,ライセンシー番号のような,エンドユーザーに割り当てられ,1つのドキュメントで使用されることに限定されない識別子を表す文字列.
  • serial_number: Optional. パーソナライズ情報に関係なくドキュメントを識別する識別子/番号を表す文字列 (これは通常,物理的中間生成物にのみ適用され,パーソナライゼーションの前に存在する).
  • date_of_issuance: Optional. ISO 8601 [ISO8601] YYYY-MM-DD 形式で表す,ドキュメントの発行された日付.
  • date_of_expiry: Optional. ISO 8601 [ISO8601] YYYY-MM-DD 形式で表す,ドキュメントの有効期限の日付.
  • issuer: Optional. ドキュメントの発行者に関する情報を含む JSON オブジェクト.このオブジェクトは下記のプロパティで構成される:

    • name: Optional. ドキュメントの発行者を指定する.
    • OpenID Connect address Claim (see [OpenID]) のすべての要素
    • country_code: Optional. "USA" や "JPN" のような ISO 3166/ICAO 3-letter codes [ICAO-Doc9303] で,ドキュメントを発行した国や超国家組織を表す文字列.状況によっては,互換性の理由から 2-letter ICAO codes が使用されるかもしれない (MAY).
    • jurisdiction: Optional. 発行者が管轄する地域/州/件/市町村の名前を含む文字列 (この情報が一般的な知識でないか,住所から導き出せない場合).
  • derived_claims: Optional. evidence 配列のメンバーの一部として記述された, ドキュメントに由来する End-User に関する Claim を含む JSON オブジェクト. derived_claims 要素を使用する場合, 次の条件が存在する:

    • derived_claims 要素は, OpenID Connect の仕様 [OpenID] または [OpenID4IDAClaims] で定義される Claim のいずれかを含めることができる(MAY).
    • derived_claims 要素は, evidence 配列のメンバーの一部として記述された, ドキュメントに由来する (OpenID Connect の仕様[OpenID] でも[OpenID4IDAClaims] でも定義されていない) 他の End-User に関する Claim を含めることもできる(MAY).
    • derived_claims 要素に含まれるEnd-User Claim は, verified_claimsclaims 要素に対応する Claim を持たなければならない(SHALL).
    • derived_claims 要素が使用される場合, evidence 配列の全ての要素が存在している必要があり, verified_claimsclaims 要素の下にあるすべての Claim は少なくとも一つの derived_claims に対応する Claim を持っている必要がある (SHOULD).
    • Claim 名には, OpenID Connect の仕様 [OpenID] のセクション5.2で指定されているように, 言語タグの注釈をつけることができる(MAY).
    • derived_claims 要素が存在する場合, 空欄になってはならない(SHALL).
5.4.4.3. Evidence type electronic_record

以下の要素は,タイプが electronic_record であるエビデンス サブ要素に含まれる.

type: 値が electronic_record に設定されている場合に必須 (Required).

check_details: Optional. evidence に関連して行われたチェックを表す JSON 配列.

  • check_method: Required. 完了したチェックを表す文字列.事前定義された check_method 値については [predefined_values_page] 参照.
  • organization: Optional. チェックを実行した法人を示す文字列.Claim Provider 自身がチェックを実行していない場合,これを含むべきである (SHOULD).
  • check_id: Optional. チェック (verification または validation) が実行されたイベントを参照する識別子.Claim Provider は evidence_ref 要素が使用されるときにこれが存在することを保証しなければならない (SHALL).Claim Provider は監査中にトランザクション識別子をトランザクションの詳細に解決できることを確認しなければならない (SHALL).
  • time: Optional. チェックが完了した日付を表す ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD フォーマットのタイムスタンプ.

record: Optional. identity verification の実行に使用されたレコードを表す JSON オブジェクト.これは以下のプロパティで構成される:

  • type: Required. 電子記録のタイプを表す文字列.事前定義された identity エビデンス値については [predefined_values_page] 参照. Claim Provider は Claim Recipients がアサーションを処理できないか,監査目的でこの値を保存するか,特注のビジネスロジックを適用する場合,事前定義された値以外を使用してもよい (MAY).
  • created_at: Optional. ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD 形式で表す,レコードの作成された日付.
  • date_of_expiry: Optional. ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD 形式で表す,ドキュメントの有効期限の日付.
  • source: Optional. レコードのソースに関する情報を含む JSON オブジェクト.このオブジェクトは下記のプロパティで構成される:

    • name: Optional. electronic_record のソースの指定.
    • OpenID Connect address Claim (see [OpenID]) のすべての要素: Optional.
    • country_code: Optional. "USA" や "JPN" のような ISO 3166/ICAO 3-letter codes [ICAO-Doc9303] で,エビデンスを発行した国や超国家組織を表す文字列.状況によっては,互換性の理由から 2-letter ICAO codes が使用されるかもしれない (MAY).
    • jurisdiction: Optional. ソースが管轄する地域/州/件/市町村の名前を含む文字列 (一般的な知識でないか,住所から導き出せない場合).
  • derived_claims: Optional. evidence 配列のメンバーの一部として記述された, 電子記録に由来する End-User に関する Claim を含む JSON オブジェクト.

    • derived_claims 要素は, OpenID Connect の仕様[OpenID] または[OpenID4IDAClaims] で定義されるClaim のいずれかを含めることができる(MAY).
    • derived_claims 要素は, evidence 配列のメンバーの一部として記述された, 電子記録に由来する (OpenID Connect の仕様[OpenID] でも[OpenID4IDAClaims] でも定義されていない) 他の End-User に関する Claim を含めることができる (MAY).
    • Claim 名には, OpenID Connect の仕様[OpenID] のセクション5.2で指定されているように, 言語タグの注釈をつけることができる(MAY).
    • derived_claims 要素が存在する場合, 空欄になってはならない(SHALL NOT).
5.4.4.4. Evidence type vouch

以下の要素は,タイプが vouch であるエビデンス サブ要素に含まれる.

type: 値が vouch に設定されている場合に必須 (Required).

check_details: Optional. vouch に関連して行われたチェックを表す JSON 配列.

  • check_method: Required. 完了したチェックを表す文字列で,これには vouch の信頼性の確認や,ユーザーが vouch で参照されている自分つであるかどうかの確認などのプロセスが含まれる.事前定義された check_details 値の詳細については,[predefined_values_page] 参照.
  • organization: Optional. チェックを実行した法人を示す文字列.Claim Provider 自身がチェックを実行していない場合,これを含むべきである (SHOULD).
  • check_id: Optional. チェック (verification または validation) が実行されたイベントを参照する識別子.Claim Provider は evidence_ref 要素が使用されるときにこれが存在することを保証しなければならない (SHALL).Claim Provider は監査中にトランザクション識別子をトランザクションの詳細に解決できることを確認しなければならない (SHALL).
  • time: Optional. チェックが完了した日付を表す ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD フォーマットのタイムスタンプ.

attestation: Optional. 証拠の基礎となるアテステーションを表す JSON オブジェクト.これは以下のプロパティで構成される:

  • type: REQUIRED. 証拠のタイプを表す文字列.事前定義された証拠値については [predefined_values_page] 参照. Claim Provider は Claim Recipients がアサーションを処理できないか,監査目的でこの値を保存するか,特注のビジネスロジックを適用する場合,事前定義された値以外を使用してもよい (MAY).
  • reference_number: OPTIONAL. End-User について与えられた証拠を一意に識別する識別子/番号を表す文字列.
  • date_of_issuance: OPTIONAL. ISO 8601 [ISO8601] YYYY-MM-DD 形式で表す,vouch が作成されたされた日付.
  • date_of_expiry: OPTIONAL. ISO 8601 [ISO8601] YYYY-MM-DD 形式で表す,エビデンスの有効期限の日付.
  • voucher: OPTIONAL. 証拠を提供するエンティティに関する情報を含む JSON オブジェクト.このオブジェクトは下記のプロパティで構成される:

    • name: OPTIONAL. OpenID Connect 仕様の Section 5.1 で定義されているのと同じ形式で,End-User Claim の証拠/参照を提供する人の名前を含む文字列.
    • birthdate: OPTIONAL. OpenID Connect 仕様の Section 5.1 で定義されているのと同じ形式で,End-User Claim の証拠/参照を提供する人の誕生日を含む文字列.
    • OpenID Connect address Claim (see [OpenID]) のすべての要素: OPTIONAL.
    • country_code: OPTIONAL. "USA" や "JPN" のような ISO 3166/ICAO 3-letter codes [ICAO-Doc9303] で,エビデンスを発行した国や超国家組織を表す文字列.状況によっては,互換性の理由から 2-letter ICAO codes が使用されるかもしれない (MAY).
    • occupation: OPTIONAL. 証拠/参照を与える人の職業または他の権限を含む文字列 .
    • organization: OPTIONAL. voucher が表す組織の名前を含む文字列.
  • derived_claims: OPTIONAL. evidence 配列のメンバーの一部として記述された, vouch に由来する End-User に関する Claim を含む JSON オブジェクト. derived_claims 要素を使用する場合, 次の条件が存在する:

    • derived_claims 要素は OpenID Connectの仕様 [OpenID] のセクション5.1及び[OpenID4IDAClaims] で定義されたClaim のいずれかを含むことができる(MAY).
    • derived_claims 要素は, evidence 配列のメンバーの一部として記述された, vouch に由来する (OpenID Connect の仕様[OpenID] でも[OpenID4IDAClaims] でも定義されていない) 他の End-User に関する Claim も含めることができる(MAY).
    • Claim 名には, OpenID Connect の仕様 [OpenID] のセクション5.2で指定されているように, 言語タグの注釈をつけることができる(MAY).
    • derived_claims 要素が存在する場合, 空欄になってはならない(SHALL NOT).
5.4.4.5. Evidence type electronic_signature

以下の要素は,タイプが electronic_signature であるエビデンス サブ要素に含まれる.

  • type: 値が electronic_signature に設定されている場合に必須 (Required).
  • signature_type: Required. エビデンスとして使用される署名のタイプを表す文字列. 値の範囲は,それぞれのトラストフレームワークによって制限されるかもしれない.
  • issuer: Required. 署名者の証明書を発行した認証局を表す文字列.
  • serial_number: Required. 署名に使用される証明書のシリアル番号を表す文字列.
  • created_at: Optional. ISO 8601 [ISO8601] YYYY-MM-DDThh:mm[:ss]TZD 形式で表す,署名の作成された日付.
  • derived_claims: Optional. evidence 配列のメンバーの一部として記述された, 電子署名に由来する End-User に関する Claim を含む JSON オブジェクト. derived_claims 要素を使用する場合, 次の条件が存在する:

    • derived_claims 要素は OpenID Connect の仕様 [OpenID] のセクション5.1及び[OpenID4IDAClaims] で定義された Claim のいずれかを含むことができる(MAY).
    • derived_claims 要素は署名者に対して署名されたオブジェクトを一意に紐づけるために使用される eIDAS で説明される高度電子署名の要素などの, evidence 配列のメンバーの一部として記述された, 電子的に署名されたオブジェクトに由来する他の End-User に関する Claim も含めることができる(MAY).
    • Claim 名には, OpenID Connect の仕様 [OpenID] のセクション5.2で指定されているように, 言語タグの注釈をつけることができる(MAY).
    • derived_claims 要素が存在する場合, 空欄になってはならない(SHALL NOT).

5.4.5. Attachments

identity verification プロセス中に,特定のドキュメントアーティファクトが収集される場合があり,トラストフレームワークに応じて特定の期間保存する必要がある.これらのアーティファクトは,後で監査や品質管理などの際に確認することができる.これらのアーティファクトには次のものが含まれるが,これらに限定されない:

  • 検証プロセス自体を文章化/証明する,記入済みかつ署名済みフォームのスキャン
  • End-User の identity を確認するために使用されるドキュメントのスキャンまたは写真コピー
  • 検証プロセスのビデオ録画
  • 電子署名の証明書

Claim Provider によってサポートされ,Claim Recipient から要求された場合,Claim Recipient が検証済み Claim 情報とともにこれらのアーティファクトを保存できるように,これらの要素を検証済み Claim のレスポンスに含めることができる.

添付ファイルは JSON オブジェクト形式で表現される.添付ファイルの定義とそれを表すスキーマは [Attachments] で説明されている.

5.5. Examples

5.5.1. Framework with assurance level and associated claims

{
  "verified_claims": {
    "verification": {
      "trust_framework": "eidas",
      "assurance_level": "substantial"
    },
    "claims": {
      "given_name": "Max",
      "family_name": "Meier",
      "birthdate": "1956-01-28",
      "place_of_birth": {
        "country": "DE",
        "locality": "Musterstadt"
      },
      "nationalities": [
        "DE"
      ]
    }
  }
}

5.5.2. Document + utility statement

{
  "verified_claims": {
    "verification": {
      "trust_framework": "de_aml",
      "time": "2012-04-23T18:25Z",
      "verification_process": "513645-e44b-4951-942c-7091cf7d891d",
      "evidence": [
        {
          "type": "document",
          "check_details": [
            {
              "check_method": "pvp"
            },
            {
              "check_method": "vpip"
            }
          ],
          "time": "2012-04-22T11:30Z",
          "document_details": {
            "type": "de_erp_replacement_idcard",
            "issuer": {
              "name": "Stadt Augsburg",
              "country": "DE"
            },
            "document_number": "53554554",
            "date_of_issuance": "2010-04-23",
            "date_of_expiry": "2020-04-22"
          }
        },
        {
          "type": "document",
          "check_details": [
            {
              "check_method": "vpip"
            }
          ],
          "time": "2012-04-22T11:30Z",
          "document_details": {
            "type": "utility_statement",
            "issuer": {
                "name": "Stadtwerke Musterstadt",
                "country": "DE",
                "region": "Niedersachsen",
                "street_address": "Energiestrasse 33"
            },
            "date_of_issuance": "2013-01-31"
          }
        }
      ]
    },
    "claims": {
      "given_name": "Max",
      "family_name": "Meier",
      "birthdate": "1956-01-28",
      "place_of_birth": {
        "country": "DE",
        "locality": "Musterstadt"
      },
      "nationalities": [
        "DE"
      ],
      "address": {
        "locality": "Maxstadt",
        "postal_code": "12344",
        "country": "DE",
        "street_address": "An der Weide 22"
      }
    }
  }
}

5.5.3. Array of verified claims

{
  "verified_claims": [
    {
      "verification": {
        "trust_framework": "eidas",
        "assurance_level": "substantial"
      },
      "claims": {
        "given_name": "Max",
        "family_name": "Meier",
        "birthdate": "1956-01-28",
        "place_of_birth": {
          "country": "DE",
          "locality": "Musterstadt"
        },
        "nationalities": [
          "DE"
        ]
      }
    },
    {
      "verification": {
        "trust_framework": "de_aml",
        "time": "2012-04-23T18:25Z",
        "verification_process": "f24c6f-6d3f-4ec5-973e-b0d8506f3bc7",
        "evidence": [
          {
            "type": "document",
            "method": "pipp",
            "time": "2012-04-22T11:30Z",
            "document": {
              "type": "idcard"
            }
          }
        ]
      },
      "claims": {
        "address": {
          "locality": "Maxstadt",
          "postal_code": "12344",
          "country": "DE",
          "street_address": "An der Weide 22"
        }
      }
    }
  ]
}

5.5.4. Derived claims

{
    "verified_claims": {
      "verification": {
        "trust_framework": "de_aml",
        "time": "2012-04-23T18:25Z",
        "verification_process": "513645-e44b-4951-942c-7091cf7d891d",
        "evidence": [
          {
            "type": "document",
            "time": "2012-04-22T11:30Z",
            "document_details": {
              "type": "de_erp_replacement_idcard",
              "document_number": "53554554",
              "date_of_expiry": "2020-04-22"
            },
            "derived_claims": {
              "given_name": "Max",
              "family_name": "Meier",
              "birthdate": "1956-01-28",
              "nationalities": [
                "DE"
              ]
            }
          },
          {
            "type": "document",
            "time": "2012-04-22T11:30Z",
            "document_details": {
              "type": "utility_statement",
              "date_of_issuance": "2013-01-31"
            },
            "derived_claims": {
              "given_name": "Maximillion",
              "family_name": "Meier",
              "address": {
                "locality": "Maxstadt",
                "postal_code": "12344",
                "country": "DE",
                "street_address": "An der Weide 22"
              }
            }
          }
        ]
      },
      "claims": {
        "given_name": "Max",
        "family_name": "Meier",
        "birthdate": "1956-01-28",
        "nationalities": [
          "DE"
        ],
        "address": {
          "locality": "Maxstadt",
          "postal_code": "12344",
          "country": "DE",
          "street_address": "An der Weide 22"
        }
      }
    }
  }

6. Security considerations

ワーキンググループはこの仕様に直接関係する security considerations を特定していない.

本仕様で説明されるデータ構造には個人情報が含まれる.本仕様を参照する標準と本仕様を使用する実装者は,これらの構造の安全な伝送と,その使用から生じうるセキュリティとプライバシーの影響を考慮すべきである.

7. Normative References

[ICAO-Doc9303]
International Civil Aviation Organization, "Machine Readable Travel Documents, Seventh Edition, 2015, Part 3: Specifications Common to all MRTDs", , <https://www.icao.int/publications/Documents/9303_p3_cons_en.pdf>.
[ISO8601]
ISO, "ISO 8601. Data elements and interchange formats - Information interchange - Representation of dates and times", <https://www.iso.org/iso/catalogue_detail?csnumber=40874>.
[ISODIR2]
ISO/IEC, "ISO/IEC Directives, Part 2 - Principles and rules for the structure and drafting of ISO and IEC documents", <https://www.iso.org/sites/directives/current/part2/index.xhtml>.
[OpenID]
Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, "OpenID Connect Core 1.0 incorporating errata set 1", , <https://openid.net/specs/openid-connect-core-1_0.html>.
[RFC7519]
Jones, M., Bradley, J., and N. Sakimura, "JSON Web Token (JWT)", RFC 7519, DOI 10.17487/RFC7519, , <https://www.rfc-editor.org/info/rfc7519>.
[predefined_values_page]
OpenID Foundation, "Overview page for predefined values", , <https://openid.net/wg/ekyc-ida/identifiers/>.

8. Informative References

[Attachments]
Lodderstedt, T., Fett, D., Haine, M., Pulido, A., Lehmann, K., and K. Koiwai, "OpenID Connect for Identity Assurance Attachments 1.0", , <https://openid.net/specs/openid-connect-4-ida-attachments-1_0.html>.
[JSON]
Bray, T., "The JavaScript Object Notation (JSON) Data Interchange Format", , <https://www.rfc-editor.org/rfc/rfc8259>.
[OpenID4IDAClaims]
Lodderstedt, T., Fett, D., Haine, M., Pulido, A., Lehmann, K., and K. Koiwai, "OpenID Connect for Identity Assurance Claims Registration 1.0", , <https://openid.net/specs/openid-connect-4-ida-claims-1_0.html>.
[W3C_VCDM]
Sporny, M., Longley, D., and D. Chadwick, "Verifiable Credentials Data Model v1.1", , <https://www.w3.org/TR/vc-data-model/>.
[eIDAS]
European Parliament, "REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC", , <https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32014R0910>.
[verified_claims.json]
OpenID Foundation, "JSON Schema for assertions using verified_claims", , <https://openid.net/wg/ekyc-ida/references/>.

9. Translation References

[oidfj]
OpenID ファウンデーションジャパン, "OpenID ファウンデーションジャパン", <https://www.openid.or.jp>.
[oidfj-trans]
OpenID ファウンデーションジャパン, "翻訳・教育ワーキンググループ", <http://openid-foundation-japan.github.com/>.
[oidfj-kycwg]
OpenID ファウンデーションジャパン, "KYC ワーキンググループ", <https://www.openid.or.jp>.
[oidfj-github]
OpenID ファウンデーションジャパン, "Github レポジトリー", <https://github.com/openid-foundation-japan>.

Appendix A. IANA considerations

A.1. JSON Web Token claims registration

この仕様は [RFC7519] によって確立された IANA の "JSON Web Token Claims Registry" に次の値を登録することを要求している.

A.1.1. Registry contents

A.1.1.1. Claim verified_claims
Claim Name:
verified_claims
Claim Description:
End-User Claim とそれらの Claim がどのように保証されているかの詳細を含む構造化された Claim.
Change Controller:
eKYC and Identity Assurance Working Group - openid-specs-ekyc-ida@lists.openid.net
Specification Document(s):
本ドキュメントの verified claims セクション

Appendix B. Acknowledgements

本仕様の初稿で説明されている概念には, yes.com の次の人々とパートナー企業が貢献した: Karsten Buch, Lukas Stiebig, Sven Manz, Waldemar Zimpfer, Willi Wiedergold, Fabian Hoffmann, Daniel Keijsers, Ralf Wagner, Sebastian Ebling, Peter Eisenhofer.

我々は本仕様の発展の助けとなる, 価値あるフィードバックと貢献をしてくれたJulian White, Bjorn Hjelm, Stephane Mouy, Joseph Heenan, Vladimir Dzhuvinov, Azusa Kikuchi, Naohiro Fujie, Takahiko Kawasaki, Sebastian Ebling, Marcos Sanz, Tom Jones, Mike Pegman, Michael B. Jones, Jeff Lombardo, Taylor Ongaro, Peter Bainbridge-Clayton, Adrian Field, George Fletcher, Tim Cappalli, Michael Palage, Sascha Preibisch, Giuseppe De Marco, Nick Mothershaw, Hodari McClain, Dima Postnikov, Nat Sakimura に感謝する.

Appendix C. Notices

Copyright (c) 2024 The OpenID Foundation.

The OpenID Foundation (OIDF) grants to any Contributor, developer, implementer, or other interested party a non-exclusive, royalty free, worldwide copyright license to reproduce, prepare derivative works from, distribute, perform and display, this Implementers Draft or Final Specification solely for the purposes of (i) developing specifications, and (ii) implementing Implementers Drafts and Final Specifications based on such documents, provided that attribution be made to the OIDF as the source of the material, but that such attribution does not indicate an endorsement by the OIDF.

The technology described in this specification was made available from contributions from various sources, including members of the OpenID Foundation and others. Although the OpenID Foundation has taken steps to help ensure that the technology is available for distribution, it takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this specification or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any independent effort to identify any such rights. The OpenID Foundation and the contributors to this specification make no (and hereby expressly disclaim any) warranties (express, implied, or otherwise), including implied warranties of merchantability, non-infringement, fitness for a particular purpose, or title, related to this specification, and the entire risk as to implementing this specification is assumed by the implementer. The OpenID Intellectual Property Rights policy requires contributors to offer a patent promise not to assert certain patent claims against other contributors and against implementers. The OpenID Foundation invites any interested party to bring to its attention any copyrights, patents, patent applications, or other proprietary rights that may cover technology that may be required to practice this specification.

Appendix D. Translator

本仕様の翻訳は, OpenID ファウンデーションジャパン [oidfj] KYC ワーキンググループ [oidfj-kycwg], 翻訳・教育ワーキンググループ [oidfj-trans] を主体として, 有志のメンバーによって行われました. 質問や修正依頼などについては, Github レポジトリー [oidfj-github] にご連絡ください.

Authors' Addresses

Torsten Lodderstedt
sprind.org
Daniel Fett
Authlete
Mark Haine
Considrd.Consulting Ltd
Alberto Pulido
Santander
Kai Lehmann
1&1 Mail & Media Development & Technology GmbH
Kosuke Koiwai
KDDI Corporation