In the initial phase, it has to do the account linking. <div>However, the notion of how to federate the user accounts between different domains are not well defined in OAuth. </div><div>If the application server and the authorization server are in the same domain, then, it may suffice to be pure play oauth. It may be OK for the federated case, but we have not done the security analysis on it. That is why we are leveraging on OpenID Connect for now. <br>
<br><div class="gmail_quote">2013/2/21 Torsten Lodderstedt <span dir="ltr"><<a href="mailto:torsten@lodderstedt.net" target="_blank">torsten@lodderstedt.net</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto"><div>Hi Nat,</div><div><br></div><div>I'm wondering why this is defined as a OIDC extension. To me it looks like ordinary OAuth + Token Introspection.</div><div><br></div><div>Regards,</div><div>Torsten.</div>
<div><br>Am 20.02.2013 um 16:46 schrieb Nat Sakimura <<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>>:<br><br></div><div><div class="h5"><blockquote type="cite"><div>Good. Thanks. <div><br>
</div><div>When I was trying to update <a href="http://tools.ietf.org/id/draft-sakimura-oidc-extension-nonweb-00.txt" target="_blank">http://tools.ietf.org/id/draft-sakimura-oidc-extension-nonweb-00.txt</a> , it just came to my mind. This non-web extension utilizes the sub from the userinfo endpoint and if there were no assurance that sub in ID Token and sub from userinfo response would be the same, it would break. </div>

<div><br></div><div>Nat<br><br><div class="gmail_quote">2013/2/20 Brian Campbell <span dir="ltr"><<a href="mailto:bcampbell@pingidentity.com" target="_blank">bcampbell@pingidentity.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">per <a href="http://openid.bitbucket.org/openid-connect-messages-1_0.html#StandardClaims" target="_blank">http://openid.bitbucket.org/openid-connect-messages-1_0.html#StandardClaims</a><br><br>"The <tt>sub</tt> (subject) Claim in the UserInfo Endpoint response MUST exactly match the 
          <tt>sub</tt> Claim in the ID Token, before using additional UserInfo Endpoint Claims."</div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div>On Wed, Feb 20, 2013 at 8:27 AM, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>></span> wrote:<br>



</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Hi. A question. <div><br></div><div>In Messages, it is stated that: <h3 style="font-family:helvetica,monaco,'MS Sans Serif',arial,sans-serif;color:rgb(51,51,51)">



2.3.  UserInfo Endpoint</h3><p style="margin-left:2em;margin-right:2em;font-family:verdana,charcoal,helvetica,arial,sans-serif">
The UserInfo Endpoint is a Protected Resource that returns Claims about the authenticated End-User. Claims are represented by a JSON object that contains a collection of name and value pairs for the Claims.</p><div>Does Userinfo Endpoint only provide data for authenticated End-user? Or is it a generic protected resource that returns whatever have been authorized at the authorization server? In another word, is the value of sub in the ID Token and the Userinfo response for the access token whose hash is in the ID Token the same?  </div>



<span><font color="#888888">
-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</font></span></div>
<br></div></div>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Openid-specs-ab mailing list</span><br><span><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a></span><br>
<span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></span><br></div></blockquote></div></div></div></blockquote></div><br><br clear="all">
<div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div>