<div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Hi Mike</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Here is a sequence diagram from the base CIBA spec: <a href="http://openid.net/specs/openid-connect-modrna-client-initiated-backchannel-authentication-1_0.html" target="_blank">http://openid.net/specs/<wbr>openid-connect-modrna-client-<wbr>initiated-backchannel-<wbr>authentication-1_0.html</a></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><img src="cid:ii_jee3ocdk0_161f5c4d15b6d2ee" style="margin-right:0px" width="490" height="183"><br>​<br></div><div class="gmail_extra"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">​I'm not hugely familiar with UMA, but would UMA support a flow whereby the resource owner stays within the client application / website on the "consumption device" and they are then notified out of band on their "authentication device" of the access request, which they can they authorize?</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Thanks</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Dave</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">​</div><br></div><div class="gmail_extra"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 2 March 2018 at 16:55, Mike Schwartz via Openid-specs-fapi <span dir="ltr"><<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.<wbr>openid.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Dave,<span class="m_5690261003663700496gmail-"><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
In decoupled flows, this changes and the client has to pass some identifier to<br>
the authorisation server. This is a potential privacy issue and could allow clients<br>
to initiate an auth flow without the users consent, potentially tricking a user<br>
into granting access.<br>
</blockquote></blockquote></blockquote>
<br></span>
1. If you could provide a sequence diagram, it would be more clear that we mean the same thing by "decoupled flows".<br>
<br>
2. Is this out of scope of FAPI? For example, UMA allows "pushed claim tokens" to be sent to the token endpoint. If the AS does not have enough claims, it can provide the URL of a "Claims Gathering Endpoint" at the AS. This is a front-channel endpoint which enables the subject to provide additional information or consent. I don't see how your going to handle all this in a profile of OpenID Connect.<br>
<br>
- Mike<br>
<br>
<br>
--------------------<br>
Michael Schwartz<br>
Gluu<br>
Founder / CEO<br>
<a href="mailto:mike@gluu.org" target="_blank">mike@gluu.org</a><br>
<a href="https://www.linkedin.com/in/nynymike/" rel="noreferrer" target="_blank">https://www.linkedin.com/in/ny<wbr>nymike/</a><span class="m_5690261003663700496gmail-"><br>
<br>
On 2018-03-01 10:05, Dave Tonge via Openid-specs-fapi wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="m_5690261003663700496gmail-">
Hi all,<br>
<br>
I would be interested in feedback from those on the list around 2<br>
issues that we have with decoupled flows such as CIBA:<br>
<br>
1. "Session binding", i.e. ensuring it is the same user on the<br>
authentication device and the consumption device<br>
<br>
2. Obtaining an identifier for the user<br>
<br>
For more on issue no.1, please see the attached discussion paper that<br>
I've prepared for the OAuth Security Workshop in Italy in a couple of<br>
weeks time.<br>
<br>
Issue no.2 is summarised as follows: in redirect-based flows the<br>
client doesn't need to know or pass any user identifier to the<br>
authorisation server. In decoupled flows, this changes and the client<br>
has to pass some identifier to the authorisation server. This is a<br>
potential privacy issue and could allow clients to initiate an auth<br>
flow without the users consent, potentially tricking a user into<br>
granting access.<br>
<br>
I have received some suggestions around using QR codes to provide<br>
unique, single-use (possible time-based) identifiers but I would be<br>
interested in furt<a href="https://maps.google.com/?q=her+discussion+on+the+list+a&entry=gmail&source=g" target="_blank">her discussion on the list a</a>bout these ideas.<br>
<br>
Thanks<br>
<br>
--<br>
<br>
Dave Tonge<br>
CTO<br></span>
 [1]<br>
10 Temple Back, Bristol, BS1 6FLt: +44 (0)117 280 5120<span class="m_5690261003663700496gmail-"><br>
<br>
Moneyhub Enterprise is a trading style of Momentum Financial<br>
Technology Limited which is authorised and regulated by the Financial<br>
Conduct Authority ("FCA"). Momentum Financial Technology is entered on<br>
the Financial Services Register (FRN 561538) at <a href="http://fca.org.uk/register" rel="noreferrer" target="_blank">fca.org.uk/register</a><br></span>
[2]. Momentum Financial Technology is registered in England & Wales,<span class="m_5690261003663700496gmail-"><br>
company registration number 06909772 © . Momentum Financial<br>
Technology Limited 2016. DISCLAIMER: This email (including any<br>
attachments) is subject to copyright, and the information in it is<br>
confidential. Use of this email or of any information in it other than<br>
by the addressee is unauthorised and unlawful. Whilst reasonable<br>
efforts are made to ensure that any attachments are virus-free, it is<br>
the recipient's sole responsibility to scan all attachments for<br>
viruses. All calls and emails to and from this company may be<br>
monitored and recorded for legitimate purposes relating to this<br>
company's business. Any opinions expressed in this email (or in any<br>
attachments) are those of the author and do not necessarily represent<br>
the opinions of Momentum Financial Technology Limited or of any other<br>
group company.<br>
<br></span>
Links:<br>
------<br>
[1]<br>
<a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&amp;sa=D&amp;sntz=1&amp;usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" rel="noreferrer" target="_blank">http://www.google.com/url?q=ht<wbr>tp%3A%2F%2Fmoneyhubenterprise.<wbr>com%2F&amp;sa=D&amp;sntz=1&amp<wbr>;usg=AFQjCNGUnR5opJv5S1uZOVg8a<wbr>ISwPKAv3A</a><br>
[2] <a href="http://fca.org.uk/register" rel="noreferrer" target="_blank">http://fca.org.uk/register</a><br>
______________________________<wbr>_________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid<wbr>.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-fapi</a><br>
</blockquote>
______________________________<wbr>_________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid<wbr>.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-fapi</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="m_5690261003663700496gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:1em;font-weight:bold;line-height:1.4"><div style="color:rgb(97,97,97);font-family:"Open Sans";font-size:14px;font-weight:normal;line-height:21px"><div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold"><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4">CTO</div><div style="font-size:0.8125em;line-height:1.4;margin:0px"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" style="color:rgb(131,94,165);text-decoration:none" target="_blank"><img alt="Moneyhub Enterprise" height="50" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png" title="Moneyhub Enterprise" width="200" style="border:none;padding:0px;border-radius:2px;margin:7px"></a></div><div style="padding:8px 0px"><span style="color:rgb(0,164,183);font-size:11px;background-color:transparent">10 Temple Back, Bristol, BS1 6FL</span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold">t: </span><span style="font-size:11px;line-height:15.925px">+44 (0)117 280 5120</span><br></div><div style="color:rgb(97,97,97);font-size:14px;font-weight:normal;font-family:lato,"open sans",arial,sans-serif"><font color="#00a4b7"><span style="font-size:11px;line-height:15.925px"><br></span></font><div style="color:rgb(51,51,51);line-height:1.4"><span style="font-size:0.75em">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register </span><span style="font-size:0.75em;background-color:transparent">(FRN </span><span style="font-size:0.75em;background-color:transparent;color:rgb(0,164,183);font-weight:bold">561538</span><span style="font-size:0.75em;background-color:transparent">) at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><span style="font-size:0.75em;color:rgb(0,164,183);font-weight:bold;background-color:transparent">06909772</span><span style="font-size:0.75em;background-color:transparent"> </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;background-color:transparent"><font size="1">©</font></span><span style="font-size:0.75em;background-color:transparent"> . </span><span style="background-color:transparent;font-size:0.75em">Momentum Financial Technology Limited 2016. </span><span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span></div></div></div></div></div></div></div></div></div></div></div>
</div></div>