<div dir="ltr"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Hi All,</div><div dir="ltr"><br>I linked the following draft we have been working on in one of the conversations around SIOP but instead wanted to start a separate conversation about this spec in general.</div><div dir="ltr"><br><a href="https://mattrglobal.github.io/oidc-client-bound-assertions-spec/">https://mattrglobal.github.io/oidc-client-bound-assertions-spec/</a><br><br></div><div dir="ltr">Essentially the high level overview of this spec is to extend OIDC to support what we refer to as client bound end-user assertions. In OIDC today, the primary output assertion format about the end-user is the "id_token", however a client in receipt of an "id_token" as the product of an OIDC flow, cannot really re-present this to another RP in a way in which authenticates them as the rightful presenter of the assertion, because it features no authenticatable binding. If instead the output assertion about the end-user featured an authenticatable binding then we believe several flows around SIOP become easier to accomplish and more robust. The way in which we propose to achieve this binding is through public private key cryptography, similar to how DPop for access tokens was defined (<a href="https://tools.ietf.org/html/draft-fett-oauth-dpop-00">https://tools.ietf.org/html/draft-fett-oauth-dpop-00</a>). <br><br></div><div>Because of some constraints around "id_token" in open id core and a desire to not create any breaking changes, we felt it was necessary to distinguish with a new response element called a "credential" (which is the term used to describe a client bound end-user assertion).</div><div dir="ltr"><br></div><div dir="ltr">Another feature of this spec which we are interested in feedback from the group on is around allowing the client to request the resulting assertion format type. Obviously in OIDC today all assertions are based around JWT which are a great simple assertion format, however in flows where there is a layer of indirection added between the issuer of an assertion (OP) and the relying party, such as in SIOP with aggregated claims, it is arguable that the lack of support for formal semantic vocabularies (i.e that technologies like JSON-LD provide) can constrain use cases.<br><br></div><div dir="ltr">Finally, some will be aware of the currently active effort around decentralized identifiers at the W3C. We see this technology as being quite useful in these flows as a DID can provide a layer of indirection in the binding mechanism allowing the client to perform operations such as key rotation without having to re-contact the issuer (OP) for a new assertion.</div><div dir="ltr"><br>Thanks,<table width="auto" cellpadding="0" cellspacing="0" border="0" style="color:rgb(0,0,0);font-family:Times;font-size:medium;border:0px"><tbody><tr style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:11px;line-height:16px"><td width="125" valign="top"><a href="https://mattr.global" style="border:none;color:rgb(15,173,225)" target="_blank"><img src="https://mattr.global/assets/images/MattrLogo.png" alt="Mattr website" width="125" height="125" style="height:auto"></a></td><td width="16"> </td><td width="159" valign="top" style="color:rgb(51,49,50);font-size:12px"><table cellpadding="0" cellspacing="0" border="0" style="border:0px"><tbody><tr style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:11px;line-height:16px"><td><strong style="font-size:12px">Tobias Looker</strong><br></td></tr><tr style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:11px;line-height:16px"><td style="line-height:16px">Mattr</td></tr><tr style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:11px;line-height:16px"><td style="line-height:16px;padding-top:12px">+64 (0) 27 378 0461<br><a href="mailto:tobias.looker@mattr.global" style="border:none;color:rgb(51,49,50)" target="_blank">tobias.looker@mattr.global</a></td></tr><tr style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:11px;line-height:16px"><td style="font-size:12px;padding-top:12px"><table cellpadding="0" cellspacing="0" border="0" style="border:0px"><tbody><tr style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:11px;line-height:16px"><td width="40"><a href="https://mattr.global" style="border:none;color:rgb(51,49,50);margin-right:12px" target="_blank"><img src="https://mattr.global/assets/images/website.png" alt="Mattr website" width="24" style="border:0px;height:40px;width:24px"></a></td><td width="40"><a href="https://www.linkedin.com/company/mattrglobal" style="border:none;color:rgb(51,49,50);margin-right:12px" target="_blank"><img src="https://mattr.global/assets/images/linkedin.png" alt="Mattr on LinkedIn" width="24" style="border:0px;height:40px;width:24px"></a></td><td width="40"><a href="https://twitter.com/mattrglobal" style="border:none;color:rgb(51,49,50);margin-right:12px" target="_blank"><img src="https://mattr.global/assets/images/twitter.png" alt="Mattr on Twitter" width="24" style="border:0px;height:40px;width:24px"></a></td><td width="40"><a href="https://github.com/mattrglobal" style="border:none;color:rgb(51,49,50);margin-right:12px" target="_blank"><img src="https://mattr.global/assets/images/github.png" alt="Mattr on Github" width="24" style="border:0px;height:40px;width:24px"></a></td></tr></tbody></table></td></tr></tbody></table></td></tr></tbody></table><br style="color:rgb(0,0,0);font-family:Times;font-size:medium"><small style="color:rgb(118,118,118);font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:8px;line-height:14px">This communication, including any attachments, is confidential. If you are not the intended recipient, you should not read it - please contact me immediately, destroy it, and do not copy or use any part of this communication or disclose anything about it. Thank you. Please note that this communication does not designate an information system for the purposes of the Electronic Transactions Act 2002.</small><br></div></div></div></div>

<br>
<pre style="font-family:"Courier New",Courier,monospace,arial,sans-serif;margin-top:0px;margin-bottom:0px;white-space:pre-wrap;background-color:rgb(255,255,255);font-size:14px">This communication, including any attachments, is confidential. If you are not the intended recipient, you should not read it - please contact me immediately, destroy it, and do not copy or use any part of this communication or disclose anything about it. Thank you. Please note that this communication does not designate an information system for the purposes of the Electronic Transactions Act 2002.</pre>