azp? <br><br><div class="gmail_quote">2013/3/28 Matias Woloski <span dir="ltr"><<a href="mailto:matiasw@gmail.com" target="_blank">matiasw@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div style="font-size:13px;font-family:arial,sans-serif">Hi everyone,</div><div style="font-size:13px;font-family:arial,sans-serif"><br></div><div style="font-size:13px;font-family:arial,sans-serif">

Our customers have this typical scenario of a web application consuming web services. In this context, they were using WS-Trust delegation (ActAs) to delegate the identity of the caller. Is there something equivalent to this in the OpenID Connect/OAuth world? I would basically like to have an nicer HTTP alternative to WS-Trust 1.4 ActAs.</div>


<div style="font-size:13px;font-family:arial,sans-serif"><br></div><div style="font-size:13px;font-family:arial,sans-serif">Something like:</div><div><pre style="font-size:13px;background-color:rgb(204,204,204);white-space:pre-wrap;font-family:'Courier New',Courier,monospace;padding:4px">
POST /delegation HTTP/1.1
  Host: <a href="http://server.example.com/" target="_blank">server.example.com</a>
  Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
  Content-Type: application/x-www-form-urlencoded

  id_token=.....user_id_token....
    &target=<a href="http://service.example.com/" target="_blank">http://service.example.com</a></pre><pre style="padding:4px"><pre style="font-size:13px;background-color:rgb(204,204,204);white-space:pre-wrap;font-family:'Courier New',Courier,monospace;padding:4px">
HTTP/1.1 200 OK
  Content-Type: application/json
  Cache-Control: no-store
  Pragma: no-cache
  {
   "token_type":"Bearer",
   "expires_in":3600,
   "id_token":"... id_token_scoped_to_target ... "
  }</pre><pre style="font-size:13px;white-space:pre-wrap;padding:4px"><span style><font face="arial, helvetica, sans-serif">The resulting id_token would look like this.</font></span></pre>

<pre style="padding:4px"><pre style="font-size:13px;background-color:rgb(204,204,204);white-space:pre-wrap;font-family:'Courier New',Courier,monospace;padding:4px">  {
   "aud": "<a href="http://service.example.com" target="_blank">http://service.example.com</a>",
   "iss": "<a href="http://server.example.com" target="_blank">http://server.example.com</a>"
   "act_as": "...client_id of the caller...",
   "sub": "...original caller subject name... "
   "...": ... more claims from the subject (transformed/mapped) ...</pre><font face="arial, helvetica, sans-serif">Thanks,<br>Matias</font></pre></pre></div></div>
<br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>