<p dir="ltr">I'll be honest; I'd be a little happier if some of these values were lists not singletons. But I think we can work with what's there.</p>
<p dir="ltr">Thanks for the input, everyone.<br>
-T</p>
<div class="gmail_quote">On Aug 13, 2013 7:02 AM, "Brian Campbell" <<a href="mailto:bcampbell@pingidentity.com">bcampbell@pingidentity.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Seems like the case Tim mentions could be handled using acr and auth_time.<br>
<br>
So rather than an arc with something like<br>
urn:google-auth-claims?max-age=10&two-factor=true, an acr with<br>
urn:google-auth-claims:two-factor might be used to indicate 2 factor<br>
authn and the auth_time can indicates the session freshness.<br>
<br>
Yes, it means looking in two different places. But that seems easier<br>
than looking in one place but having to parse two values out of it.<br>
<br>
<br>
<br>
On Tue, Aug 13, 2013 at 7:48 AM, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>> wrote:<br>
> Sure the nice thing about URI is that people won't confuse <a href="http://example.com/auth_level/0" target="_blank">http://example.com/auth_level/0</a> with <a href="http://bar.com/auth_level/0" target="_blank">http://bar.com/auth_level/0</a> as they may mean completely different things.<br>

><br>
> If people want to do interfederation the registry is there to point to the agreed policy.<br>
><br>
> In the local case putting a document at the URI to explain the local policy to help developers is a good idea but not required.<br>
><br>
><br>
> Sent from my iPhone<br>
><br>
> On 2013-08-12, at 11:11 PM, <a href="mailto:mike@gluu.org">mike@gluu.org</a> wrote:<br>
><br>
>> John,<br>
>><br>
>> Nat also made the case to me a while back that ACR could be used for domain or federation level policy. One of the reasons we implemented our own solution was because it was unclear how to use ACR. Perhaps more examples in the documentation would be helpful. Are you proposing that a domain could have an acr value such as "<a href="http://example.com/auth_level/0" target="_blank">http://example.com/auth_level/0</a>" ?<br>

>><br>
>> - Mike<br>
>><br>
>><br>
>><br>
><br>
> _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
><br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>