<div dir="ltr">I haven't heard of azp before (was focusing just on the basic and implicit profile). <div><br></div><div>Just read the spec and from what I understand "azp" would be in my example the "aud" of the id_token generated by the delegation endpoint. But I'm not sure. The definition of "Authorized Presenter" is kind of ambiguous to me. Is it the party that "presents" the token, the caller?  Sorry if I'm missing something obvious. <div>

<ul style><li style>What is the difference between having multiple audiences vs using azp?<br></li><li style>In the scenario I describe there is claims transformation/mapping/augmentation, so it's not enough with just adding the "azp" to the original id_token, which takes me to the next point</li>

<li style>Maybe this is subject to a different spec. But as an implementer, what I would like to see is the protocol flow for the delegation scenario (kind of like what I wrote in the email). The "azp" claim sounds like a small part of that.<br>

</li></ul><div style>Thanks!</div></div><div style>Matias</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 28, 2013 at 1:24 PM, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">azp? <br><br><div class="gmail_quote">2013/3/28 Matias Woloski <span dir="ltr"><<a href="mailto:matiasw@gmail.com" target="_blank">matiasw@gmail.com</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
<div dir="ltr"><div style="font-size:13px;font-family:arial,sans-serif">Hi everyone,</div><div style="font-size:13px;font-family:arial,sans-serif"><br></div><div style="font-size:13px;font-family:arial,sans-serif">

Our customers have this typical scenario of a web application consuming web services. In this context, they were using WS-Trust delegation (ActAs) to delegate the identity of the caller. Is there something equivalent to this in the OpenID Connect/OAuth world? I would basically like to have an nicer HTTP alternative to WS-Trust 1.4 ActAs.</div>




<div style="font-size:13px;font-family:arial,sans-serif"><br></div><div style="font-size:13px;font-family:arial,sans-serif">Something like:</div><div><pre style="font-size:13px;background-color:rgb(204,204,204);white-space:pre-wrap;font-family:'Courier New',Courier,monospace;padding:4px">

POST /delegation HTTP/1.1
  Host: <a href="http://server.example.com/" target="_blank">server.example.com</a>
  Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
  Content-Type: application/x-www-form-urlencoded

  id_token=.....user_id_token....
    &target=<a href="http://service.example.com/" target="_blank">http://service.example.com</a></pre><pre style="padding:4px"><pre style="font-size:13px;background-color:rgb(204,204,204);white-space:pre-wrap;font-family:'Courier New',Courier,monospace;padding:4px">

HTTP/1.1 200 OK
  Content-Type: application/json
  Cache-Control: no-store
  Pragma: no-cache
  {
   "token_type":"Bearer",
   "expires_in":3600,
   "id_token":"... id_token_scoped_to_target ... "
  }</pre><pre style="font-size:13px;white-space:pre-wrap;padding:4px"><span><font face="arial, helvetica, sans-serif">The resulting id_token would look like this.</font></span></pre>

<pre style="padding:4px"><pre style="font-size:13px;background-color:rgb(204,204,204);white-space:pre-wrap;font-family:'Courier New',Courier,monospace;padding:4px">  {
   "aud": "<a href="http://service.example.com" target="_blank">http://service.example.com</a>",
   "iss": "<a href="http://server.example.com" target="_blank">http://server.example.com</a>"
   "act_as": "...client_id of the caller...",
   "sub": "...original caller subject name... "
   "...": ... more claims from the subject (transformed/mapped) ...</pre><font face="arial, helvetica, sans-serif">Thanks,<br>Matias</font></pre></pre></div></div>
<br></div></div>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en</div>
</font></span></blockquote></div><br></div>