<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Spec call notes 31-Jan-13<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Tim Bray<o:p></o:p></p>
<p class="MsoNormal">Edmund Jay<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal">Justin Richer<o:p></o:p></p>
<p class="MsoNormal">Tim Bray<o:p></o:p></p>
<p class="MsoNormal">Roland Hedberg<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda:<o:p></o:p></p>
<p class="MsoNormal">               MTI for OpenID Request Object<o:p></o:p></p>
<p class="MsoNormal">               New Open Issues<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">MTI for OpenID Request Object:<o:p></o:p></p>
<p class="MsoNormal">               Google didn't feel like the ROI was there for the request object for them<o:p></o:p></p>
<p class="MsoNormal">                              You could have a perfectly functional SSO system without it<o:p></o:p></p>
<p class="MsoNormal">               People agreed that if it's not supported, this needs to be discoverable<o:p></o:p></p>
<p class="MsoNormal">               People agreed that the implementation shouldn't fail due to unrecognized parameters<o:p></o:p></p>
<p class="MsoNormal">                              OAuth 3.1 says that unrecognized parameters must be ignored<o:p></o:p></p>
<p class="MsoNormal">               Mike expressed view that the existence of the request object should at least trigger a request for default claims<o:p></o:p></p>
<p class="MsoNormal">               George would prefer to define basic request object support, rather than just punting it<o:p></o:p></p>
<p class="MsoNormal">                              Or if not, then maybe fail<o:p></o:p></p>
<p class="MsoNormal">               Mike pointed out that we've always said that authentications should succeed if possible<o:p></o:p></p>
<p class="MsoNormal">                              And clients have to check whether the claims returned meet their needs<o:p></o:p></p>
<p class="MsoNormal">               Nat is worried about the privacy implications of returning more information than is requested<o:p></o:p></p>
<p class="MsoNormal">               Tim also expressed strong reservations about the request_file<o:p></o:p></p>
<p class="MsoNormal">                              Support for that could be made discoverable, rather than MTI<o:p></o:p></p>
<p class="MsoNormal">               Brian suggested possibly separating support for fine-grained authorization from support for signed parameters<o:p></o:p></p>
<p class="MsoNormal">               Mike will write up a middle ground Request Object proposal<o:p></o:p></p>
<p class="MsoNormal">                              Parse request parameters in request object but ignore claims sections<o:p></o:p></p>
<p class="MsoNormal">                              Tim will review proposal with Google team<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">New Open Issues:<o:p></o:p></p>
<p class="MsoNormal">               We went through most of the new open issues and decided upon resolutions<o:p></o:p></p>
<p class="MsoNormal">               We didn't get through the issues that are actually lists of comments<o:p></o:p></p>
</div>
</body>
</html>