It IS possible already for an RP to destroy an OP session.  Two URLs have already been given on this thread for very large OPs, that if the RP simply redirected the user agent to when the user logged out of the RP, would automatically also log the user out of the OP.<div>

<br></div><div>If this is undesirable behavior, perhaps OpenID 2.1 should forbid it.</div><div><br></div><div>On the other hand, I think a facility for OPs to have an optional Log Out All button for a user to log out of all RPs at once would be a very useful, and user-centric feature that would allow the user to log out of everything without having to clear all cookies.</div>

<div><br clear="all">--<br>Andrew Arnott<br>&quot;I [may] not agree with what you have to say, but I&#39;ll defend to the death your right to say it.&quot; - Voltaire<br>
<br><br><div class="gmail_quote">On Wed, Apr 8, 2009 at 8:29 AM, Jack Cleaver <span dir="ltr">&lt;<a href="mailto:jack@jackpot.uk.net">jack@jackpot.uk.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="im">Peter Williams wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In our environment, a user typically has several SSO sessions open at<br>
 several RPs, each operating in different (sub) domains. Some subset of them (called them RP1  and RP2) may be sharing session management with Facebook - the OP.<br>
<br>
We have been told numerous times by folks in control of their business rules that any decision to logout the user from one RP1 MUST<br>
 not log the user out of RP2. Assuming RP1 and RP2 are both talking<br>
to Facebook OP, RP2 must be able to continue to use its association<br>
to the OP after a logout exchange between RP1/OP, without the user having to re-authenticate (create a new IDP session).<br>
</blockquote>
<br></div>
This seems to me to be entirely rational, and what I would expect.<br>
Certainly I would *not* expect any RP to be able to destroy my OP<br>
session without my explicit say-so. Really, I don&#39;t think anything I do<br>
on website A should have any effect on my session at website B.<br>
<br>
If it is *possible* for an RP to destroy my OP session, then some RP<br>
will sooner or later be configured to do just that. Therefore I think it<br>
should not be possible.<br>
<br>
-- <br><font color="#888888">
Jack.</font><div><div></div><div class="h5"><br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
</div></div></blockquote></div><br></div>