<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Spec call notes 9-Jan-12<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal">Edmund Jay<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Breno de Medeiros<o:p></o:p></p>
<p class="MsoNormal">Naveen Agarwal<o:p></o:p></p>
<p class="MsoNormal">Tony Nadalin<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda:<o:p></o:p></p>
<p class="MsoNormal">                Open Issues<o:p></o:p></p>
<p class="MsoNormal">                Session Management Spec Update<o:p></o:p></p>
<p class="MsoNormal">                OpenID 2.0 Migration Recommendations<o:p></o:p></p>
<p class="MsoNormal">                Spec Review Feedback Received<o:p></o:p></p>
<p class="MsoNormal">                Events<o:p></o:p></p>
<p class="MsoNormal">                Updating the openid.net/connect page<o:p></o:p></p>
<p class="MsoNormal">                Updates on Other Work Needed<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Open Issues:<o:p></o:p></p>
<p class="MsoNormal">                For #502-504, we need more details on the change(s) that Hideki is proposing - John will follow up<o:p></o:p></p>
<p class="MsoNormal">                We assigned #505 to John for him to propose new language<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Session Management Spec Update<o:p></o:p></p>
<p class="MsoNormal">                Breno said that what Google needs for logout/session is reasonably complex<o:p></o:p></p>
<p class="MsoNormal">                The user experience is important so people aren't logged out by mistake<o:p></o:p></p>
<p class="MsoNormal">                                They want a user confirmation step<o:p></o:p></p>
<p class="MsoNormal">                                Requires a level of indirection<o:p></o:p></p>
<p class="MsoNormal">                Google wants to give users the option to sign into another account at logout time<o:p></o:p></p>
<p class="MsoNormal">                                So it's "switch account" - not "logout" - at that point<o:p></o:p></p>
<p class="MsoNormal">                                One of the possible outcomes is "logout"<o:p></o:p></p>
<p class="MsoNormal">                                The user may not be logged out at the end<o:p></o:p></p>
<p class="MsoNormal">                Google wants RPs to quickly detect logout/account switch at the IdP and adapt<o:p></o:p></p>
<p class="MsoNormal">                Google is working towards those two targets<o:p></o:p></p>
<p class="MsoNormal">                Google thinks that IdPs want to promote users being signed in<o:p></o:p></p>
<p class="MsoNormal">                                They think that IdPs are not as interested in logout as session synchronization<o:p></o:p></p>
<p class="MsoNormal">                Breno and Naveen think they understand what it will take to do this<o:p></o:p></p>
<p class="MsoNormal">                They think that February 6th would be a difficult target to hit<o:p></o:p></p>
<p class="MsoNormal">                                But Breno is willing to start outlining what should be in the spec<o:p></o:p></p>
<p class="MsoNormal">                                Naveen thinks that they can give a demo late this week or early next week<o:p></o:p></p>
<p class="MsoNormal">                                Then Breno can describe how it works<o:p></o:p></p>
<p class="MsoNormal">                                They will work with the working group then on turning it into a real spec<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">                Breno also raised the old issue of whether the ID Token should include a hash of the Access Token<o:p></o:p></p>
<p class="MsoNormal">                                This isn't in the current spec since we never received a write-up of it<o:p></o:p></p>
<p class="MsoNormal">                                They are using the same algorithm for hashing the ID Token as for signing the ID Token<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">                Naveen will schedule a demo for next Monday's call<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID 2.0 Migration Recommendations<o:p></o:p></p>
<p class="MsoNormal">                Google has been having discussions about it and has ideas they think would work<o:p></o:p></p>
<p class="MsoNormal">                They would issue both identifiers<o:p></o:p></p>
<p class="MsoNormal">                                Returning the OpenID 2.0 identifier from the UserInfo endpoint<o:p></o:p></p>
<p class="MsoNormal">                John pointed out that OpenID 2.0 delegation may add complications<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Spec Review Feedback Received:<o:p></o:p></p>
<p class="MsoNormal">                Breno plans to review the present specs during the present review period<o:p></o:p></p>
<p class="MsoNormal">                Mike gave the WG a heads-up that Yaron sent several pages of feedback<o:p></o:p></p>
<p class="MsoNormal">                In particular, Yaron believes that Issuers must be able to include a path<o:p></o:p></p>
<p class="MsoNormal">                                Mike will come back to discuss this once he has a specific proposal<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Events:<o:p></o:p></p>
<p class="MsoNormal">                John spoke with Don about an interop event at RSA<o:p></o:p></p>
<p class="MsoNormal">                                Don will communicate to the board that we want to do that<o:p></o:p></p>
<p class="MsoNormal">                                We need to find a sponsor that can provide space<o:p></o:p></p>
<p class="MsoNormal">                John also gave the other list of proposed events to Don<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">We ran out of time to discuss:<o:p></o:p></p>
<p class="MsoNormal">                Updating the openid.net/connect page<o:p></o:p></p>
<p class="MsoNormal">                Updates on Other Work Needed<o:p></o:p></p>
</div>
</body>
</html>