<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

tt

        {mso-style-priority:99;

        font-family:"Courier New";}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I can see folks not wanting to look in multiple places and try to piece these together but want a single state value<o:p></o:p></span></p>

<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></a></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> John Bradley [mailto:ve7jtb@ve7jtb.com]

<br>

<b>Sent:</b> Monday, August 12, 2013 1:59 PM<br>

<b>To:</b> Tim Bray<br>

<b>Cc:</b> Anthony Nadalin; <openid-specs-ab@lists.openid.net><br>

<b>Subject:</b> Re: [Openid-specs-ab] acr values<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">There is already a auth_time claim.  Why would you want to try and overload it in acr.<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Verdana","sans-serif"">auth_time<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-family:"Verdana","sans-serif"">OPTIONAL or REQUIRED. Time when the End-User authentication occurred. The time is represented as the number of seconds from 1970-01-01T0:0:0Z as

 measured in UTC until the date/time. When a </span><tt><span style="font-size:10.0pt;color:#003366">max_age</span></tt><span style="font-family:"Verdana","sans-serif""> request is made or when </span><tt><span style="font-size:10.0pt;color:#003366">auth_time</span></tt><span style="font-family:"Verdana","sans-serif""> is

 requested as an Essential Claim, then this Claim is REQUIRED. (The </span><tt><span style="font-size:10.0pt;color:#003366">auth_time</span></tt><span style="font-family:"Verdana","sans-serif""> Claim semantically corresponds to the OpenID 2.0 <a href="http://openid.net/specs/openid-connect-messages-1_0.html#OpenID.PAPE"><b><span style="color:#663333;text-decoration:none">PAPE</span></b></a> [OpenID.PAPE] </span><tt><span style="font-size:10.0pt;color:#003366">auth_time</span></tt><span style="font-family:"Verdana","sans-serif""> response

 parameter.) The </span><tt><span style="font-size:10.0pt;color:#003366">auth_time</span></tt><span style="font-family:"Verdana","sans-serif""> value is a number.<o:p></o:p></span></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<div>

<p class="MsoNormal">If you want to enumerate the factors used for primary authentication you would use:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-family:"Verdana","sans-serif"">amr<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-family:"Verdana","sans-serif"">OPTIONAL. Authentication Methods References. JSON array of strings that are identifiers for authentication methods used in the authentication. For

 instance, values might indicate that both password and OTP authentication methods were used. The definition of particular values to be used in the </span><tt><span style="font-size:10.0pt;color:#003366">amr</span></tt><span style="font-family:"Verdana","sans-serif"">Claim

 is beyond the scope of this specification. Parties using this claim will need to agree upon the meanings of the values used, which may be context-specific. The </span><tt><span style="font-size:10.0pt;color:#003366">amr</span></tt><span style="font-family:"Verdana","sans-serif""> value

 is an array of case sensitive strings.<o:p></o:p></span></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<div>

<p class="MsoNormal">Now I personally think that it is rare for a RP to actually be able to process the primary authentication info and make any sense out of it.   That was the experience in SAML everyone wanted it but it doesn't scale in the real world.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">acr is a string, a collision resistent URI or string (There is a IANA registry).   It is intended to roll up a bunch of factors such as identity proofing account recovery security and authentication method into a single abstract value that

 a RP can make a decision on without requiring specific knowledge of the internal practices of the IdP.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I have seen people using the more detailed information break as soon as one of the IdP introduces a new method and every RP needs to update there code to deal with each change.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Token venders always want the RP to require a specific brand of token etc.  You can do it but it is not a good idea.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">John B.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On 2013-08-12, at 4:45 PM, Tim Bray <<a href="mailto:tbray@textuality.com">tbray@textuality.com</a>> wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">An RP. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Mon, Aug 12, 2013 at 1:30 PM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com" target="_blank">tonynad@microsoft.com</a>> wrote:<o:p></o:p></p>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Who do you want to say something about the “session strength” to?

</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a name="140743900e136421__MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span></a><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">

<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>]

<b>On Behalf Of </b>Tim Bray<br>

<b>Sent:</b> Monday, August 12, 2013 1:05 PM<br>

<b>To:</b> <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a>><br>

<b>Subject:</b> [Openid-specs-ab] acr values</span><o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt">In our IDP role, we’re coming under a lot of pressure to say something about “session strength” and maybe in some circumstances force re-auth and so on.  There are a lot of different

 vocabularies in play that you could use to talk about this stuff, including NIST and ISO publications; and the work of the Fido alliance is maybe interesting.  So I expect a lot of churn in this space, and OIDC needs to allow sufficient elbow room.<o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt">So, the purpose of this note is to confirm my understandings, based on looking at the OIDC Messages draft.  Do people agree with these?<o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt">- It’s perfectly OK to provide any old URI we dream up as a value for the “acr” claim.<o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">- There may be awkwardness around multiple values; suppose I wanted to assert, for example, that the session is less than ten minutes old AND two-factor authent was used.    All

 I can think of is composing a URI along the lines of urn:google-auth-claims?max-age=10&two-factor=true; which is a little kludgy but I guess OK.  Awkward, though, in the case where there’s a Fido vocabulary for 2-factor-flavor and someone else’s vocabulary

 for session-freshness.<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>