<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I’ll plan to remove “STS” from the next version.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Brian Campbell [mailto:bcampbell@pingidentity.com]
<br>
<b>Sent:</b> Thursday, February 26, 2015 6:51 AM<br>
<b>To:</b> Thomas Broyer<br>
<b>Cc:</b> Mike Jones; openid-specs-ab@lists.openid.net<br>
<b>Subject:</b> Re: [Openid-specs-ab] OpenID Connect Logout using HTTP GET<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Yeah, I suppose a single logout_uri could do its own redirects to cope with different domains. And has some flexibly in how it does that via the logout_use_iframe registration concept. Our approach was img/get
 only and we were trying to avoid assuming or demanding that an RP/client be able to do the redirects like that and also trying to avoid doing a chain of redirects under one image get. But for this spec, a logout_uri might well be sufficient.
<o:p></o:p></p>
</div>
<p class="MsoNormal">STS is typically short hand for "Security Token Service." I find that many people think of an STS as something that does token exchange with 'active' clients using something like WS-Trust. While Microsoft tends to use the term more broadly
 to also include things that do web SSO like SAML, WS-Federation and OpenID Connect. I'm not suggesting either is right or wrong - just that there does seem to be different connotations and so it'd be good to expand on the meaning in this context.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Thu, Feb 26, 2015 at 2:35 AM, Thomas Broyer <<a href="mailto:t.broyer@gmail.com" target="_blank">t.broyer@gmail.com</a>> wrote:<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Wed Feb 25 2015 at 18:39:52 Brian Campbell <<a href="mailto:bcampbell@pingidentity.com" target="_blank">bcampbell@pingidentity.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Sorry, took me a while to get to looking at this (even at 2 pages).
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">In general this looks pretty good and isn't too far off from the implementation we did. Ours is img/get based and has no sid or equivalent. But it's pretty close otherwise.  A few comments and questions follow...<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
"Several OpenID Connect implementers have requested a front channel logout mechanism that doesn’t use JavaScript. " -> it's not the use of JavaScript, per se, but rather the nature of how JavaScript is used. The session management spec pretty much requires
 that an RP have Connect aware JavaScript<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> on every page, which is a non-starter for many scenarios that involve low-touch or no-touch integration with existing applications.
</span><o:p></o:p></p>
<div>
<p class="MsoNormal">RPs/Clients can have multiple redirect_uris and, if they have different domains, it can be problematic for a front-channel logout mechanism that's relying on cookies when only one logout_uri is allowed. We allowed for multiple logout uris
 in our implementation to account for this. I can't remember if we just hit them all or try and chose from among them based on the redirect_uris used in the corresponding SSOs. I think the former. I don't know if that's something that a logout spec should account
 for but it's a sitation that can fall out of multiple redirect_uris.<o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Couldn't the logout_uri do redirects to cope for that situation?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Something like "<a href="http://google.com" target="_blank">google.com</a> redirects to
<a href="http://youtube.com" target="_blank">youtube.com</a>, which serves an empty image" (or
<a href="http://yahoo.com" target="_blank">yahoo.com</a> redirects to <a href="http://flickr.com" target="_blank">
flickr.com</a>, or <a href="http://microsoft.com" target="_blank">microsoft.com</a> redirects to
<a href="http://live.com" target="_blank">live.com</a> if you prefer ;-) ).<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<div>
<div>
<p class="MsoNormal">If no "post_logout_redirect_uri" is provided to the "end_session_endpoint", is it expected that the OP keeps the user post logout (rather than sending them back to the RP)?  I kind of assume so but it's not practically clear (to me anyway)
 in this doc or in Session Management. FWIW, the implementation we did always keeps the user at the OP after logout.
<o:p></o:p></p>
</div>
</div>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">FWIW, I assumed the same (we do redirect to the post_logout_redirect_uri though after logout)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">"STS" is a bit of an overloaded term that means different things to different people/groups/companies. In a real spec its should be defined clearly or avoided.</span><o:p></o:p></p>
</div>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I, for one, have no idea what STS means.<o:p></o:p></p>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</body>
</html>