<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Oh, I should mentioned that we at one point in time discussed allowing aggregated/distributed claims in <div class="">the metadata. This could be used for vetted claims.</div><div class="">Eventually we decided that that would not be in the basic document but perhaps in an extension.<br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 1 Jul 2021, at 08:36, Roland Hedberg via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" class="">openid-specs-ab@lists.openid.net</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><br class=""><div class=""><br class=""><blockquote type="cite" class=""><div class="">On 30 Jun 2021, at 12:18, Pawel Kowalik <<a href="mailto:pawel.kowalik@ionos.com" class="">pawel.kowalik@ionos.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">> It also means that the specification allows the leaf entity to update its metadata without asking all its superiors if it can.<div class=""><div class="">True and this is fine in many respects when it comes to "technical" metadata, like encryption, capabilities etc.</div><div class="">I think it's not fitting well when it comes to trust related information, which can be expected to be vetted by the federation in some way.</div></div></div></div></blockquote><div class=""><br class=""></div>Trust as defined in the specification on to encompass trust in that the information you receive is what was sent by another entity to you and that the other entity belongs to a specific federation.</div><div class=""><br class=""></div><div class="">If the federation has other rules around trust issues like having everyone sign an legal agreement or rules about every </div><div class="">intermediate promising to vet their subordinates metadata that has been defined to outside the specification.</div><div class=""><br class=""></div><div class="">We where looking at the least common denominator.</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">> Whether that is how it will work in reality is anyones guess. In some contexts it’s absolutely OK in other maybe not.<br class=""></div><div class=""><div class="">> It’s your choice the specification doesn’t force you to do it in one specific way.</div><div class="">The issue I see is that by not allowing metadata object in the case of sub != iss it's difficult to express trusted relations other than binary: is part of federation or not.</div><div class="">It can also be that the trust is not in the scope of Federations spec, or metadata is not the right place to express it.</div><div class="">From my perspective trust is an important part of any Federation and we should think how the specification can support it the best way.</div></div></div></div></blockquote><div class=""><br class=""></div>For every federation I’ve been involved in trust has been important.</div><div class="">And it’s been expressed in signed documents processes for verification of compliance.</div><div class="">What’s also true is that everyone does things a bit differently.</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><div class="">> Now if an intermediate feels responsible for it’s subordinates I would expect it to regularly check that the subordinates metadata</div><div class="">> is within the prescribed boundaries.</div><div class="">Yes, this is possible, as well as it's possible to express things via metadata_policy.</div><div class="">None of these approaches is straightforward and IMHO an expression of an intermediate to tell sth about subordinate could be more direct and simple.</div></div></div></div></blockquote></div><div class=""><br class=""></div><div class="">I don’t think it would be simpler.</div><br class=""><div class="">
<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">- Roland</div><div style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br class=""></div><div style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">Otium cum dignitate - latin proverb</div></div>
</div>
<br class=""></div>_______________________________________________<br class="">Openid-specs-ab mailing list<br class=""><a href="mailto:Openid-specs-ab@lists.openid.net" class="">Openid-specs-ab@lists.openid.net</a><br class="">http://lists.openid.net/mailman/listinfo/openid-specs-ab<br class=""></div></blockquote></div><br class=""><div class="">
<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">— Roland</div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br class=""></div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">Were it left to me to decide whether we should have a government without newspapers, or newspapers without a government, I should not hesitate a moment to prefer the latter. -Thomas Jefferson, third US president, architect, and author (1743-1826) </div></div>
</div>
<br class=""></div></body></html>