<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>Hi Cezary,</p>
    <p>Please, find hereafter our comments :<br>
    </p>
    <p>- CIBA has been designed to allow authentication use cases (GSMA
      MC Authentication product) and has not been designed to address
      GSMA MC Authorise product. To address GSMA Authorise product, OIDF
      has designed the User Questioning Api which is currently under the
      implementer's draft process. These aspects have been discussed
      several times inside the working group (Paris meeting, Modrna
      list, periodic calls...).<br>
    </p>
    <p>- Concerning the binding message, when used, this parameter is
      used as an interlock mechanism in order to visually pair the
      consumtion device with the authentication device. This message
      should be short, non predictable and easily checkable by the user.<br>
    </p>
    <p>- MC Profile contains several things (context, client_name,
      prompt=mobile, backchannel calls, additional id_token claims...)
      which have not been discussed nor approved by OIDF.</p>
    <p>Br,<br>
    </p>
    <p>Charles.<br>
    </p>
    <br>
    <div class="moz-cite-prefix">Le 29/03/2017 à 10:19, Orliński Cezary
      a écrit :<br>
    </div>
    <blockquote
      cite="mid:dccd1b94c33b4accac7358fb4fff452d@ex24.resources.local"
      type="cite">
      <pre wrap="">Hi
I would like to comment on the MODRNA Client initiated Backchannel Authentication Flow 1.0 (CIBA), draft 03 specification.
We are working in Poland with other MNOs to bring Mobile Connect server initiated (server-to-server) use cases into life. The CIBA spec looks great for our use cases but we lack some functionalities:
- There are no fields such as "context" and "client_name" in the Authentication Request that would allow us to display Client defined text on Authentication Device. Instead now the OP can display only a "binding_message" sent by the Client which has a bit different purpose. In our use cases the Client wishes to send its own text e.g. "Client requests you to authorize the operation X...". The fields "context" and "client_name" are present in Mobile Connect's PDATA.01 specification (MC Profile 1.2) and they fit perfectly our needs.
Please consider adding these fields to the CIBA spec since MC Profile 1.2 seems quite compatible with CIBA.

Best Regards
Cezary Orliński
T-MOBILE POLSKA S.A.



T-MOBILE POLSKA S.A. z siedzibą w Warszawie
Adres: ul. Marynarska 12, 02-674 Warszawa
Zarząd Spółki:
Adam Sawicki - Prezes Zarządu;
Szabolcs Gáborjáni-Szabó - Członek Zarządu, Dyrektor ds. Finansowych;
Thomas Lips - Członek Zarządu, Dyrektor ds. Technologii i Innowacji;
Artur Ostrowski - Członek Zarządu, Dyrektor ds. Rynku Biznesowego;
Spółka zarejestrowana w Sądzie Rejonowym dla m.st. Warszawy w Warszawie,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego.
KRS 0000391193 | NIP 526-10-40-567 | Regon 011417295
Kapitał zakładowy 471 mln złotych, kapitał wpłacony w całości.

DUŻE ZMIANY ZACZYNAJĄ SIĘ OD MAŁYCH - CHROŃ PLANETĘ, NIE DRUKUJ TEGO E-MAILA, JEŻELI NIE MUSISZ.

Ta wiadomość i jej treść są zastrzeżone w szczegółowym zakresie dostępnym na <a class="moz-txt-link-freetext" href="http://www.t-mobile.pl/stopka">http://www.t-mobile.pl/stopka</a>
This e-mail and its contents are subject to a DISCLAIMER with important RESERVATIONS: see <a class="moz-txt-link-freetext" href="http://www.t-mobile.pl/stopka">http://www.t-mobile.pl/stopka</a>

_______________________________________________
Openid-specs-mobile-profile mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-mobile-profile@lists.openid.net">Openid-specs-mobile-profile@lists.openid.net</a>
<a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</a>

</pre>
    </blockquote>
    <br>
    <div class="moz-signature">-- <br>
      <font face="TIMES"><font size="2">
          <img src="cid:part1.8DD51BED.219EE2D5@orange.com" <br="">
          <font color="BLACK">
            <br>
            <b> MARAIS Charles </b><br>
            <b> Orange Labs Lannion</b></font><br>
          Tel : +33 (0)2 96 07 24 18 <br>
          <a href="mailto:charles.marais@orange.com">charles.marais@orange.com</a><br>
          Orange Labs Lannion <br>
          2, avenue Pierre Marzin <br>
          22307 LANNION Cedex - France
          <br>
          <br>
          <br>
        </font></font></div>
  <PRE>_________________________________________________________________________________________________________________________

Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc
pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler
a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,
Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.

This message and its attachments may contain confidential or privileged information that may be protected by law;
they should not be distributed, used or copied without authorisation.
If you have received this email in error, please notify the sender and delete this message and its attachments.
As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.
Thank you.
</PRE></body>
</html>