<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:DengXian;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@DengXian";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
p.xxmsonormal, li.xxmsonormal, div.xxmsonormal
        {mso-style-name:x_x_msonormal;
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.xxmsoplaintext, li.xxmsoplaintext, div.xxmsoplaintext
        {mso-style-name:x_x_msoplaintext;
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi Ralph,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">No specific ask on our part from sharing our enterprise profiles, we are sharing them as informational for anyone who may be interested.<o:p></o:p></p>
<p class="MsoNormal">We do welcome and appreciate the feedback.<o:p></o:p></p>
<p class="MsoNormal"><o:p></o:p></p>
<p class="MsoNormal">We’re comparing our enterprise profiles with the FAPI and draft FAPI v2 profiles now and will send comments/questions to the FAPI mailing list.<o:p></o:p></p>
<p class="MsoNormal">We are interested in aligning our profiles (using one of the FAPI profiles as a baseline for ours) as that could greatly simplify what we need to specify, and as you say allow us to leverage FAPI’s adoption. From my reading so far, the
 current draft FAPI 2.0 Baseline Profile has strong requirements that I’m glad to see and hope will push implementations in the right direction if they’re not there yet.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Our intention is to state mandatory requirements that we believe can be deployed today or in the near future, and state recommended/optional requirements to try to influence the future direction of implementations. PAR and RAR don’t seem
 to be widely implemented yet, but please correct me if I’m wrong. We could at least specify them as optional to show our interest.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
<p class="MsoNormal">Mike<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">Openid-specs-fapi <openid-specs-fapi-bounces@lists.openid.net> on behalf of Ralph Bragg via Openid-specs-fapi <openid-specs-fapi@lists.openid.net><br>
<b>Reply-To: </b>Financial API Working Group List <openid-specs-fapi@lists.openid.net><br>
<b>Date: </b>Tuesday, March 3, 2020 at 1:18 PM<br>
<b>To: </b>Financial API Working Group List <openid-specs-fapi@lists.openid.net>, "openid-specs-ab@lists.openid.net" <openid-specs-ab@lists.openid.net><br>
<b>Cc: </b>Ralph Bragg <ralph.bragg@raidiam.com>, NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject: </b>[EXT] Re: [Openid-specs-fapi] Tailored OAuth and OIDC Profiles<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<div>
<div>
<p class="MsoNormal">As a quick follow up - PAR and RAR address a lot of the requirements specific in this profile. It would be a shame to not advantage of the latest work from the group if you’re looking to promote this for wide spread adoption amongst government
 in the US. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Any comparisons against FAPI and particularly the latest drafts for FAPI v2 which are on github would be very useful as a cursory read I’m struggling to identify where and why I’d use this profile over the gold standard especially as fapi
 certifications and support are now very common amongst most vendor sets and come with a certification program, a testing harness and documented and academically reviewed threat model and analysis.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Any help would be appreciated.<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="1" width="98%" align="center">
</div>
<div id="divRplyFwdMsg">
<p class="MsoNormal"><b><span style="color:black">From:</span></b><span style="color:black"> Ralph Bragg <ralph.bragg@raidiam.com><br>
<b>Sent:</b> Tuesday, March 3, 2020 6:13:32 PM<br>
<b>To:</b> Financial API Working Group List <openid-specs-fapi@lists.openid.net>; openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net><br>
<b>Cc:</b> Russell, Mark L <mrussell@mitre.org>; NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject:</b> Re: Tailored OAuth and OIDC Profiles</span> <o:p></o:p></p>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<div>
<div>
<div>
<div>
<p class="MsoNormal">Hi,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Can I ask what the ask is here, across Europe, Australia, New Zealand and other jurisdictions FAPI RW is rapidly being the standard regardless of sector and already we are looking at a new version of FAPI Advanced profile that has several
 improvements on what is outlined in this profile.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Has any comparison been performed between the current high security fapi profile VS this profile that’s proposed here?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Could you confirm wha the ask is from the working group or what improvements this profile proposes on top of FAPI or issues it addresses.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Kind Regards,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Ralph<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="1" width="98%" align="center">
</div>
<div id="x_divRplyFwdMsg">
<p class="MsoNormal"><b><span style="color:black">From:</span></b><span style="color:black"> Openid-specs-fapi <openid-specs-fapi-bounces@lists.openid.net> on behalf of Russell, Mark L via Openid-specs-fapi <openid-specs-fapi@lists.openid.net><br>
<b>Sent:</b> Tuesday, March 3, 2020 5:20:42 PM<br>
<b>To:</b> openid-specs-fapi@lists.openid.net <openid-specs-fapi@lists.openid.net>; openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net><br>
<b>Cc:</b> Russell, Mark L <mrussell@mitre.org>; NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject:</b> [Openid-specs-fapi] Tailored OAuth and OIDC Profiles</span> <o:p>
</o:p></p>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<div>
<div>
<p class="xxmsoplaintext">Hello all,</p>
<p class="xxmsoplaintext"> </p>
<p class="xxmsoplaintext">For anyone who may be interested: MITRE, in support of the U.S. Government, has developed tailored OAuth and OpenID Connect profiles for use in enterprise environments. We have leveraged previous standards efforts (e.g. work in the
 IETF and in the OpenID Foundation) and have detailed requirements to use the standards in a secure and interoperable manner to address enterprise environment use cases.</p>
<p class="xxmsoplaintext"> </p>
<p class="xxmsoplaintext">These profiles should be considered informational as we seek feedback from subject matter experts. We’re interested in working with standards bodies and others to move these concepts forward. We welcome any comments and suggestions
 at <a href="mailto:OAuthOIDCProfiles@groups.mitre.org">OAuthOIDCProfiles@groups.mitre.org</a> .</p>
<p class="xxmsoplaintext"> </p>
<p class="xxmsoplaintext">The profiles can be found at: <a href="https://www.mitre.org/publications/technical-papers/enterprise-mission-tailored-oauth-20-and-openid-connect-profiles">
https://www.mitre.org/publications/technical-papers/enterprise-mission-tailored-oauth-20-and-openid-connect-profiles</a></p>
<p class="xxmsonormal"> </p>
<p class="xxmsonormal">[This message was previously sent to the OAuth IETF mailing list – apologies to anyone who receives it multiple times]</p>
<p class="xxmsonormal"> </p>
<p class="xxmsonormal">Mark Russell</p>
<p class="xxmsonormal">Cyber Physical and Mobile Tech – T8A5</p>
<p class="xxmsonormal">The MITRE Corporation </p>
<p class="xxmsonormal">(o) 703-983-7941  (m) 202-492-5567</p>
<p class="xxmsonormal"><a href="mailto:mrussell@mitre.org">mrussell@mitre.org</a></p>
<p class="xxmsonormal"> </p>
</div>
</div>
</div>
</div>
</body>
</html>