<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1256">
<style>
<!--
@font-face
        {font-family:Calibri}
@font-face
        {font-family:Tahoma}
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif"}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif"}
span.hoenzb
        {}
span.EmailStyle18
        {font-family:"Calibri","sans-serif";
        color:#1F497D}
span.BalloonTextChar
        {font-family:"Tahoma","sans-serif"}
.MsoChpDefault
        {font-family:"Calibri","sans-serif"}
@page WordSection1
        {margin:1.0in 1.0in 1.0in 1.0in}
div.WordSection1
        {}
-->
</style>
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div>
<div style="font-size:11pt; font-family:Calibri,sans-serif">There is the issue of what an token endpoint should and should not return. It was clear from yesterdays Oauth discussions that people have different views, some people believe the openid returning
 an I'd token is not in the sprit of the Oauth specification<br>
<br>
Sent from my Windows Phone</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt; font-family:Calibri,sans-serif; font-weight:bold">From:
</span><span style="font-size:11pt; font-family:Calibri,sans-serif"><a href="mailto:Michael.Jones@microsoft.com">Mike Jones</a></span><br>
<span style="font-size:11pt; font-family:Calibri,sans-serif; font-weight:bold">Sent:
</span><span style="font-size:11pt; font-family:Calibri,sans-serif">ý11/ý5/ý2013 11:35 AM</span><br>
<span style="font-size:11pt; font-family:Calibri,sans-serif; font-weight:bold">To:
</span><span style="font-size:11pt; font-family:Calibri,sans-serif"><a href="mailto:sakimura@gmail.com">Nat Sakimura</a></span><br>
<span style="font-size:11pt; font-family:Calibri,sans-serif; font-weight:bold">Cc:
</span><span style="font-size:11pt; font-family:Calibri,sans-serif"><a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a></span><br>
<span style="font-size:11pt; font-family:Calibri,sans-serif; font-weight:bold">Subject:
</span><span style="font-size:11pt; font-family:Calibri,sans-serif">Re: [Openid-specs-ab] Issue #898: New Core - 1.2 Terminology - Authentication Request, Authorization Request (openid/connect)</span><br>
<br>
</div>
<div>
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">The ID Token part is not part of the Authentication Request.  It’s contained in a response which is either an Authorization Response or Token Response, depending
 upon the flow used.  Therefore, I didn’t say anything about the ID Token in the Authentication Request definition.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">We’re now talking about the ID Token in lots of introductory text, so I don’t think not saying anything about it in this definition a problem.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">                                                            -- Mike</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif""> Nat Sakimura [mailto:sakimura@gmail.com]
<br>
<b>Sent:</b> Tuesday, November 05, 2013 1:36 AM<br>
<b>To:</b> Mike Jones<br>
<b>Cc:</b> openid-specs-ab@lists.openid.net<br>
<b>Subject:</b> Re: [Openid-specs-ab] Issue #898: New Core - 1.2 Terminology - Authentication Request, Authorization Request (openid/connect)</span></p>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal">What about:</p>
<div>
<p class="MsoNormal"> </p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt; font-family:"Arial","sans-serif"">**Authentication Request**<br>
Authorization Request used to obtain the result of authentication performed by the server as ID Token through the use of OpenID Connect extension parameters and profiled scopes</span></p>
</div>
<div>
<p class="MsoNormal"> </p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Arial","sans-serif"">What is important about it is that the authentication is performed at the server and the result is transferred from the server to the client through ID Token. </span></p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"> </p>
<div>
<p class="MsoNormal">2013/11/5 Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></p>
<p class="MsoNormal">I'm fine with adding the "Authorization Request" definition.  As for the Authentication Request definition, I have some quibbles with Nat's proposed language, because I find it to be less clear and somewhat circular.  Saying "to obtain
 the Authentication Result" doesn't add anything, and in fact, would just cause us to have to define "Authentication Result" as well.<br>
<br>
How about something closer to this?<br>
<br>
**Authentication Request**<br>
An OAuth 2.0 Authorization Request using extension parameters and scopes defined by OpenID Connect to request that the End-User be authenticated by the Authorization Server, which is an OpenID Connect Provider.<br>
<span style="color:#888888"><br>
<span class="hoenzb">                                -- Mike</span></span></p>
<div>
<div>
<p class="MsoNormal"><br>
-----Original Message-----<br>
From: <a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf Of Nat Sakimura<br>
Sent: Monday, November 04, 2013 11:13 PM<br>
To: <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>
Subject: [Openid-specs-ab] Issue #898: New Core - 1.2 Terminology - Authentication Request, Authorization Request (openid/connect)<br>
<br>
New issue 898: New Core - 1.2 Terminology - Authentication Request, Authorization Request
<a href="https://bitbucket.org/openid/connect/issue/898/new-core-12-terminology-authentication" target="_blank">
https://bitbucket.org/openid/connect/issue/898/new-core-12-terminology-authentication</a><br>
<br>
Nat Sakimura:<br>
<br>
Capturing Breno's request on Nov. 4 that says: "I think we should have an explicit entry to Authorization Request that says: "An OAuth2 Authorization Request as defined in RFC 6749"<br>
And then "Authentication Request" --> With a language more similar to the one proposed by Nat in this thread."<br>
<br>
**Currently**:<br>
<br>
**Authentication Request**<br>
An OAuth 2.0 Authorization Request that requests that the End-User be authenticated by the Authorization Server.<br>
<br>
**Proposed**:<br>
<br>
**Authentication Request**<br>
Authorization Request used to obtain the Authentication Result through the use of OpenID Connect extension parameters and profiled scopes<br>
<br>
**Authorization Request**<br>
OAuth 2 authorization request as defined in RFC 6749<br>
<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></p>
</div>
</div>
</div>
<p class="MsoNormal"><br>
<br clear="all">
</p>
<div>
<p class="MsoNormal"> </p>
</div>
<p class="MsoNormal">-- <br>
Nat Sakimura (=nat)</p>
<div>
<p class="MsoNormal">Chairman, OpenID Foundation<br>
<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>
@_nat_en</p>
</div>
</div>
</div>
</div>
</body>
</html>