<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body bgcolor=white lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>OpenID (a websso service for UCI &#8220;consumer&#8221;&nbsp; environments)
&#8220;supports&#8221; multiple authentication schemes, including </span>Sign-in
via client side SSL Certificates, Image based passwords and recovery,2-factor
authentication such as password+text. <span style='font-size:11.0pt;font-family:
"Calibri","sans-serif";color:#1F497D'>Go to myopenid.com and see much of that
in practice.</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>OpenId Auth v2 (a particular communications protocol and its extensions,
not the service) enables an RP to signal the requirements of an authentication
scheme, which may even these days be expressed as specifically as </span>Sign-in
via client side SSL Certificates using CA C using TLS ciphersuite EC+AES (by
agreement of the parties).<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Distinguishing the service from the protocol is important if you
are a security architect. OpenID &#8211; the service - is analogous to how the
internet backbone ISPs use ISO&#8217;s &#8220;CLNS&#8221; service to power the
routing &#8220;supporting&#8221; routed protocols (analogous to OpenID Auth
protocol) &#8211; of which by far the commonest is DARPA&#8217;s IPv4 &#8211;
the thing we all know and love for its highly optimal design. In OpenID, the service
player known as an OP MAY present consent screens to users &#8211; not that
that said behavior is in any way part of the &#8220;protocol&#8221;, or even part
of a conformance test for a _<i>protocol</i>_. &nbsp;Is &#8220;user consent&#8221;
to release names and attributes to a given RP &#8220;supported by&#8221; OpenID?
Yes! (It&#8217;s a fundamental part of the UCI mission). Is it _<i>supported</i>_
by the OpenID auth protocol? No. Is a vendor&#8217;s storage of &#8220;personality&#8221;-based
lists of attribute to thereafter &nbsp;be automatically released to a given RP &#8220;supported
by&#8221; the protocol (e.g. myopenid.com&#8217;s practice&nbsp; of persisting
attribute release authority, by RP)? No.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>This &#8220;support&#8221; distinction between service and
protocol is mostly semantics &#8211;to be distinguish valuably only if you are
a security architect doing design or analysis &#8211; e.g. this list. If you
are doing system integration analysis for a business problem (e.g. draw folks
to your web2.0 site), its rather a distraction. Just focus on a complying
vendors pitch (how many schemes does it support?) - &nbsp;and then find the one
that suits your system integration culture the &nbsp;best. If a solution vendor
talks in a business pitch about architecture of secure telematic protocols or
how the underlying library is programmed, pick another vendor (my advice). <o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Measure the vendor&#8217;s support for OpenID by adherence to the
general mission, determine which parts of the mission they specialize in, and
then measure then the amount of demonstrated interworking according to open standards
principles. As the community matures, also then measure the conformance &#8211;as
tested by third parties.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>AS you can see, the openid vendor community _is_ maturing nicely.
Only 12 months ago, &#8220;vendors&#8221; making money were not discouraged from
disclosing that intent, and conformance was a dirty word.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";
color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:
"Tahoma","sans-serif";color:windowtext'> general-bounces@openid.net
[mailto:general-bounces@openid.net] <b>On Behalf Of </b>Paul Madsen<br>
<b>Sent:</b> Wednesday, April 01, 2009 3:21 AM<br>
<b>To:</b> Jonathan Coffman<br>
<b>Cc:</b> general@openid.net<br>
<b>Subject:</b> Re: [OpenID] OpenID Biz Case, etc<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>A nit, OpenID does not 'support' <br>
<br>
o&nbsp;&nbsp; Sign-in via client side SSL Certificates<br>
o&nbsp;&nbsp; Image based passwords and recovery<br>
o&nbsp;&nbsp; 2-factor authentication such as password+text message<br>
<br>
but rather is orthogonal (mostly) to the actual authentication mechanism.<br>
<br>
paul<br>
<br>
Jonathan Coffman wrote: <o:p></o:p></p>

<p class=MsoNormal>Hey there all, If you have a moment to breeze through the
following I would really appreciate it.<br>
<br>
Here&#8217;s the situation: we&#8217;re a major media company who is scrapping
all prior user authentication systems and building from the ground-up.
I&#8217;m working to make the case that OpenID absolutely has to be a key
component of this new system. Am I missing key points or mis-characterizing the
things I&#8217;ve learned? (I&#8217;ve read through many blog posts, watched
all kinds of presentations on slideshare, etc to compile the below)<br>
<br>
-- btw: I do plan to post this to my blog once it&#8217;s a little more fleshed
out.<br>
<br>
==========<br>
OpenID Business Case<br>
&nbsp;<br>
Summary: OpenID is an emerging web standard upon which users are able to use
existing accounts from major providers, like Google and Yahoo, in order to sign
in to other sites. In support of TKTKT commitment to open standards and given
that OpenID is quickly becoming a market requirement the TKT Universal
Authentication System will take advantage of the technology.<br>
&nbsp;<br>
Key Reasons to use OpenID:<br>
&nbsp;<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; OpenID is a system for decentralized
single sign-on; it solves the technology problem of duplicate usernames and the
user problem of having to manage multiple usernames and passwords securely.<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Users control and manage their own
identity, which aligns with the TKTKTK mission of empowering users to
participate as well as our dedication to open standards and technology.<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Simple Registration system in OpenID can
help users fill out their registration form with things like their name, email
address, location, etc without us having to force them to fill out those
fields.<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; The OpenID provider's business is
authentication; they can invest much more effort than we can in securing user's
data and information than we can.<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Increase in number of sign-ups due to
fewer form fields to fill out during registration, and ease of user interface.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Persistent log-ins, each time the user
opens the site they don&#8217;t have to sign-in again.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Fewer support resources necessary as
users rely on their identity provider of choice.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Being an open standard, hundreds of
people are working to enhance the technology and TKT has an opportunity to not
only participate, but also give back.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Marketing and promotional opportunities
around TKT adoption of the OpenStack would be seen as an extremely positive
move in the technology community and return positive buzz.<br>
&nbsp;<br>
User Adoption: There are over 500 million OpenID enabled users originating from
the following sites and thousands more:<br>
&nbsp;<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AOL<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Yahoo<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Blogger<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Flickr<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Livedoor<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LiveJournal<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Wordpress.com<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SmugMug<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Technorati<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Orange<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Vox<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ClaimID<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MyOpenID<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MyID.net<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Myvidoop<br>
<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Verisign<br>
<br>
&nbsp;<br>
Market Support:<br>
&nbsp;<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Google, IBM, Microsoft, VeriSign, Yahoo,
PayPal, Verisign, and Facebook all have representatives on the OpenID board.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Those companies and many more are
heavily invested in seeing this standard adopted, and competing technologies
have folded into the OpenStack and are concentrating on their own individual
niches as enhancements rather than replacements of OpenID (oAuth, ActivityStreams,
PortableContacts, MicroFormats).<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Users expect for their data to be
portable between sites, a social network or site with social functionality that
does not allow the user to take their information with them across the web is
going against the marketplace.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Over 35,000 sites currently accept
OpenIDs (with sites like Blogger and WordPress being counted as single sites
despite having millions of blogs).<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Whitelabel social networking products
have already enabled all of their customers to begin accepting OpenID,
including Ning and KickApps, and pbWiki.<br>
&nbsp;<br>
TKT Technology Platforms Support - The following software in-use on TKTKTKT and
TKTKT web sites support OpenID already:<br>
&nbsp;<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MovableType (out of the box)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; WordPress (well-tested module)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Drupal (out of the box)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Joomla (out of the box)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Plone (out of the box)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Atlassian (JIRA) (out of the box)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Basecamp/Backpack/HighRise (out of the
box)<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MediaWiki (extension)<br>
&nbsp;<br>
At the end of the list I included some of the products we use internally as
well because let&#8217;s not forget the efficiencies created in utilizing a web
standard for our own internal usage as well.<br>
&nbsp;<br>
Security Benefits:<br>
&nbsp;<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TKTK doesn&#8217;t have security
efforts, nor should we be in the business of managing user&#8217;s online
identities, especially given the amount of data and information that is
collected by systems.<br>
&middot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; OpenID supports alternative methods of
authentication beyond anything that we would actually need such as:<br>
o&nbsp;&nbsp; Sign-in via client side SSL Certificates<br>
o&nbsp;&nbsp; Image based passwords and recovery<br>
o&nbsp;&nbsp; 2-factor authentication such as password+text message<br>
<br>
<br>
<o:p></o:p></p>

<pre><o:p>&nbsp;</o:p></pre><pre style='text-align:center'>

<hr size=4 width="90%" align=center>

</pre><pre><o:p>&nbsp;</o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>general mailing list<o:p></o:p></pre><pre><a
href="mailto:general@openid.net">general@openid.net</a><o:p></o:p></pre><pre><a
href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre
style='text-align:center'>

<hr size=4 width="90%" align=center>

</pre><pre><o:p>&nbsp;</o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>No virus found in this incoming message.<o:p></o:p></pre><pre>Checked by AVG - <a
href="http://www.avg.com">www.avg.com</a> <o:p></o:p></pre><pre>Version: 8.5.285 / Virus Database: 270.11.35/2033 - Release Date: 03/31/09 13:05:00<o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>&nbsp; <o:p></o:p></pre>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<div>

<p class=MsoNormal>-- <br>
<span style='font-size:10.0pt'>Paul Madsen<br>
e:paulmadsen @ ntt-at.com<br>
m:613-282-8647<br>
web:connectid.blogspot.com<br>
</span><a href="http://feeds.feedburner.com/%7Er/blogspot/gMwy/%7E6/1"><span
style='text-decoration:none'><img border=0 width=400 height=82 id="_x0000_i1027"
src="cid:image001.gif@01C9B29E.3D63B010" alt=ConnectID></span></a><o:p></o:p></p>

</div>

</div>

</div>

</body>

</html>