Vercelは2026年6月23日(現地時間)、同社のOIDC発行者 (oidc.vercel.com) がカスタムオーディエンスに対応したと発表した。この新機能により、Vercelのデプロイメントは特定のオーディエンスクレームを持つOIDCトークンをリクエストできるようになり、サードパーティプロバイダーとの間でセキュアなサービス間認証が可能となる。各プロバイダーに固有のオーディエンスを使用することはセキュリティ上の推奨事項であり、特定プロバイダーの侵害時に攻撃者がOIDCトークンを他のプロバイダーに対して悪用するリスクを軽減できる。Vercelはこのサービスを通じて、追加のインフラ管理なしでプロバイダー固有のトークン発行を容易にする。
カスタムオーディエンスの導入は、セキュリティ上のベストプラクティスとして、各プロバイダーにユニークなオーディエンスを割り当てることを強く推奨している。これは、特定のプロバイダーが何らかの形で侵害された場合に、攻撃者がそのトークンを異なるプロバイダーに対してリプレイ攻撃を行うのを防ぐ上で極めて重要となる。
VercelのOIDCシステムでは、デプロイメントがVercelが署名したOIDCトークンを受け取ると、新しい交換サービスがこのトークンを受け入れる。その後、この交換サービスは、元のトークンと同じキーで署名され、ダウンストリームサービスをターゲットとする更新されたオーディエンス (aud) クレームを持つ新しいトークンを発行する。この交換されたトークンは、元のトークンが持つプロジェクト (project)、環境 (environment)、所有者 (owner)、有効期限 (expiration) といった主要なクレームを保持しつつ、発行者 (iss) を https://oidc.vercel.com/{owner} に設定する。
さらに、交換されたトークンには、元のトークンのオーディエンスと発行時刻を含むアクタ (act) クレームが追加される。これにより、委任のチェーンが監査可能となり、セキュリティ管理が強化される。発行時刻 (iat) クレームは、新しいトークンが作成された時点のタイムスタンプに更新される。オプションとしてJWT ID (jti) を渡すことで、交換されたトークンに一意の識別子を割り当てることも可能であり、サービス間のトークン使用状況の監査やトレーシングに役立つ。
ダウンストリームサービスは、https://oidc.vercel.com/{owner}/.well-known/jwks で公開されている公開鍵を使用して、交換されたトークンの署名を検証できる。この署名キーとトークン交換エンドポイントは、全てのVercel regionsに地理的にレプリケートされており、利用者は低遅延でのトークン交換を利用できる。
参考: Vercel Blog (アーカイブ) — 2026年6月23日 09:00 (JST)
原文ハイライト"secure service-to-service authentication with third-party providers"