Sure thing, just submitted #558.<br><br>I'm not necessary arguing for a change on the second issue. An having the "openid" scope disambiguate does make sense for a lot of situations.  However, there is still the potential for ambiguity here, isn't there? There's nothing preventing a client from requesting AS specific scope values during the course of an OpenID Connect transaction, is there? <br>

<br><div class="gmail_quote">On Fri, Mar 23, 2012 at 10:41 PM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">







<div link="blue" vlink="purple" lang="EN-US">
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Could you file an issue tracker issue about the first issue?  Since OAuth provides no IANA registry for scope values, OpenID Connect shouldn’t try to use it.
</span><span style="font-size:11.0pt;font-family:Wingdings;color:#1f497d">J</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The second issue has already been extensively discussed.  There’s a consensus that (1) short names matter and (2) if a short name conflicts with a short name
 in an existing deployment, the presence of the “openid” scope value can be used to disambiguate between the two meanings of them in the OpenID Connect case, should such a need arise.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks for the careful review you’re doing.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                            -- Mike<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>]
<b>On Behalf Of </b>Brian Campbell<br>
<b>Sent:</b> Friday, March 23, 2012 2:08 PM<br>
<b>To:</b> <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a>><br>
<b>Subject:</b> [Openid-specs-ab] scope of scope?<u></u><u></u></span></p><div><div class="h5">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I'm still the newbie here so please forgive me if this has already been discussed but I have a concerns/questions about OpenID Connect's use of scope values. I realize most of you are probably traveling to Paris right now - I'm at a gate
 in O'Hare typing this - but I wanted to throw this out there in hopes of maybe discussing at the meeting on Sunday.<br>
<br>
2 things really,<br>
<br>
1st: <br>
§10.1.1 of Standard -08* has an IANA registry request for the scope values, openid, profile, email, address, and phone. However, oauth-v2 does not establish, as far as I can tell, a registry for scope values - only for token types, parameters, response types
 and extension errors.<br>
<br>
Perhaps this raises the question of if OAuth2 should establish some registry for scope values or otherwise provide some guidance on avoiding name collisions when using specific scope values in derivative specification? It doesn't provide much now, "The [scope]
 strings are defined by the authorization server" seems to be the extent of it. Anyway, the way I read it currently, the registration request in §10.1.1 is either illegal or meaningless.<br>
<br>
<br>
 2nd: <br>
Technical details of if/how to reserve scope values aside, does it make sense for this specification to try and reserve values that seem like they might be in common use already by existing OAuth deployments and products? I understand there's likely a desire
 of short values but I expected to see some kind of attempt at qualifying them?  i.e. oic_ or openid_ or something along those lines.<br>
<br>
Thanks,<br>
Brian<br>
<br>
<br>
* <a href="http://openid.bitbucket.org/openid-connect-standard-1_0.html#anchor21" target="_blank">
http://openid.bitbucket.org/openid-connect-standard-1_0.html#anchor21</a><u></u><u></u></p>
</div></div></div>
</div>

</blockquote></div><br>