<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
p.xxmsonormal, li.xxmsonormal, div.xxmsonormal
        {mso-style-name:x_x_msonormal;
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.xxmsoplaintext, li.xxmsoplaintext, div.xxmsoplaintext
        {mso-style-name:x_x_msoplaintext;
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-GB" link="#0563C1" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Hi Michael,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">No worries, if you could provide the delta or a comparison for discussion it would be greatly appreciated and massively speed up the effort. I’d be particularly interested in any recommendations
 based on poor vendor support or other justifications that would prevent adoption of a strict reading of FAPI RW.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">In the UK, the Banks were given 12 months grace to utilise the “Open Banking security profile” which was a balance somewhere between FAPI R and FAPI RW in terms of security, implementation complexity
 and features necessary to be adopted to make the initial ecosystem function. There wasn’t sufficient vendor support to enforce FAPI RW directly out of the gate onto providers, the Banks were requested to lean heavily on their suppliers to uplift capabilities
 to FAPI RW which they did. <o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">FAPI RW is now the only standard that the UK’s OBIE supports. For the sake of global interoperability, we’ve been pushing alignment to these profiles pretty hard with all of the major market initiatives
 so I’d be really to know your thoughts if elements of the profile still suffer from implementation difficulties with your user groups.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Kind Regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Ralph<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">"Peck, Michael A" <mpeck@mitre.org><br>
<b>Date: </b>Sunday, 15 March 2020 at 17:02<br>
<b>To: </b>Ralph Bragg <ralph.bragg@raidiam.com>, Financial API Working Group List <openid-specs-fapi@lists.openid.net>, "openid-specs-ab@lists.openid.net" <openid-specs-ab@lists.openid.net><br>
<b>Cc: </b>OAuthOIDCProfiles <OAuthOIDCProfiles@groups.mitre.org><br>
<b>Subject: </b>Re: [Openid-specs-fapi] Tailored OAuth and OIDC Profiles<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">Hi Ralph,<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">No specific ask on our part from sharing our enterprise profiles, we are sharing them as informational for anyone who may be interested.<o:p></o:p></p>
<p class="MsoNormal">We do welcome and appreciate the feedback.<o:p></o:p></p>
<p class="MsoNormal">We’re comparing our enterprise profiles with the FAPI and draft FAPI v2 profiles now and will send comments/questions to the FAPI mailing list.<o:p></o:p></p>
<p class="MsoNormal">We are interested in aligning our profiles (using one of the FAPI profiles as a baseline for ours) as that could greatly simplify what we need to specify, and as you say allow us to leverage FAPI’s adoption. From my reading so far, the
 current draft FAPI 2.0 Baseline Profile has strong requirements that I’m glad to see and hope will push implementations in the right direction if they’re not there yet.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Our intention is to state mandatory requirements that we believe can be deployed today or in the near future, and state recommended/optional requirements to try to influence the future direction of implementations. PAR and RAR don’t seem
 to be widely implemented yet, but please correct me if I’m wrong. We could at least specify them as optional to show our interest.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
<p class="MsoNormal">Mike<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">Openid-specs-fapi <openid-specs-fapi-bounces@lists.openid.net> on behalf of Ralph Bragg via Openid-specs-fapi <openid-specs-fapi@lists.openid.net><br>
<b>Reply-To: </b>Financial API Working Group List <openid-specs-fapi@lists.openid.net><br>
<b>Date: </b>Tuesday, March 3, 2020 at 1:18 PM<br>
<b>To: </b>Financial API Working Group List <openid-specs-fapi@lists.openid.net>, "openid-specs-ab@lists.openid.net" <openid-specs-ab@lists.openid.net><br>
<b>Cc: </b>Ralph Bragg <ralph.bragg@raidiam.com>, NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject: </b>[EXT] Re: [Openid-specs-fapi] Tailored OAuth and OIDC Profiles</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<div>
<div>
<p class="MsoNormal">As a quick follow up - PAR and RAR address a lot of the requirements specific in this profile. It would be a shame to not advantage of the latest work from the group if you’re looking to promote this for wide spread adoption amongst government
 in the US. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Any comparisons against FAPI and particularly the latest drafts for FAPI v2 which are on github would be very useful as a cursory read I’m struggling to identify where and why I’d use this profile over the gold standard especially as fapi
 certifications and support are now very common amongst most vendor sets and come with a certification program, a testing harness and documented and academically reviewed threat model and analysis.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Any help would be appreciated.<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="1" width="98%" align="center">
</div>
<div id="divRplyFwdMsg">
<p class="MsoNormal"><b><span style="color:black">From:</span></b><span style="color:black"> Ralph Bragg <ralph.bragg@raidiam.com><br>
<b>Sent:</b> Tuesday, March 3, 2020 6:13:32 PM<br>
<b>To:</b> Financial API Working Group List <openid-specs-fapi@lists.openid.net>; openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net><br>
<b>Cc:</b> Russell, Mark L <mrussell@mitre.org>; NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject:</b> Re: Tailored OAuth and OIDC Profiles</span> <o:p></o:p></p>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<div>
<div>
<div>
<div>
<p class="MsoNormal">Hi,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Can I ask what the ask is here, across Europe, Australia, New Zealand and other jurisdictions FAPI RW is rapidly being the standard regardless of sector and already we are looking at a new version of FAPI Advanced profile that has several
 improvements on what is outlined in this profile.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Has any comparison been performed between the current high security fapi profile VS this profile that’s proposed here?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Could you confirm wha the ask is from the working group or what improvements this profile proposes on top of FAPI or issues it addresses.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Kind Regards,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Ralph<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="1" width="98%" align="center">
</div>
<div id="x_divRplyFwdMsg">
<p class="MsoNormal"><b><span style="color:black">From:</span></b><span style="color:black"> Openid-specs-fapi <openid-specs-fapi-bounces@lists.openid.net> on behalf of Russell, Mark L via Openid-specs-fapi <openid-specs-fapi@lists.openid.net><br>
<b>Sent:</b> Tuesday, March 3, 2020 5:20:42 PM<br>
<b>To:</b> openid-specs-fapi@lists.openid.net <openid-specs-fapi@lists.openid.net>; openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net><br>
<b>Cc:</b> Russell, Mark L <mrussell@mitre.org>; NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject:</b> [Openid-specs-fapi] Tailored OAuth and OIDC Profiles</span> <o:p>
</o:p></p>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<div>
<div>
<p class="xxmsoplaintext">Hello all,<o:p></o:p></p>
<p class="xxmsoplaintext"> <o:p></o:p></p>
<p class="xxmsoplaintext">For anyone who may be interested: MITRE, in support of the U.S. Government, has developed tailored OAuth and OpenID Connect profiles for use in enterprise environments. We have leveraged previous standards efforts (e.g. work in the
 IETF and in the OpenID Foundation) and have detailed requirements to use the standards in a secure and interoperable manner to address enterprise environment use cases.<o:p></o:p></p>
<p class="xxmsoplaintext"> <o:p></o:p></p>
<p class="xxmsoplaintext">These profiles should be considered informational as we seek feedback from subject matter experts. We’re interested in working with standards bodies and others to move these concepts forward. We welcome any comments and suggestions
 at <a href="mailto:OAuthOIDCProfiles@groups.mitre.org">OAuthOIDCProfiles@groups.mitre.org</a> .<o:p></o:p></p>
<p class="xxmsoplaintext"> <o:p></o:p></p>
<p class="xxmsoplaintext">The profiles can be found at: <a href="https://www.mitre.org/publications/technical-papers/enterprise-mission-tailored-oauth-20-and-openid-connect-profiles">
https://www.mitre.org/publications/technical-papers/enterprise-mission-tailored-oauth-20-and-openid-connect-profiles</a><o:p></o:p></p>
<p class="xxmsonormal"> <o:p></o:p></p>
<p class="xxmsonormal">[This message was previously sent to the OAuth IETF mailing list – apologies to anyone who receives it multiple times]<o:p></o:p></p>
<p class="xxmsonormal"> <o:p></o:p></p>
<p class="xxmsonormal">Mark Russell<o:p></o:p></p>
<p class="xxmsonormal">Cyber Physical and Mobile Tech – T8A5<o:p></o:p></p>
<p class="xxmsonormal">The MITRE Corporation <o:p></o:p></p>
<p class="xxmsonormal">(o) 703-983-7941  (m) 202-492-5567<o:p></o:p></p>
<p class="xxmsonormal"><a href="mailto:mrussell@mitre.org">mrussell@mitre.org</a><o:p></o:p></p>
<p class="xxmsonormal"> <o:p></o:p></p>
</div>
</div>
</div>
</div>
</body>
</html>