<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>

<div>

<div>Hi Axel,</div>

<div><br>

</div>

<div>I have just read it and I think that it was what we agreed, only pointing out that in the sentence “If the value of the signatures’s “alg” parameter is “none” then another method of Client authentication MUST be used as described in Section 9…. I think

 we should add the case where the Request object is not used as well, in order to clarify that not only requests using the “Request Objetc” must be authenticated but also those using query parameters.</div>

<div><br>

</div>

<div>More or less, something like this…</div>

<div><span style="font-family: verdana, helvetica, arial, sans-serif; font-size: 13.3333px; font-variant-ligatures: normal; orphans: 2; widows: 2;"> If the value of the signature’s “alg” parameter is “none” or

the Request object is not used. then another method of Client authentication MUST be used as described in Section 9 on <a href="https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/tip/draft-mobile-client-initiated-backchannel-authentication.xml?at=default#OpenID.Core" style="text-decoration: none; font-family: verdana, helvetica, arial, sans-serif; font-size: 13.3333px; font-variant-ligatures: normal; orphans: 2; widows: 2;">[OpenID.Core]</a><span style="font-family: verdana, helvetica, arial, sans-serif; font-size: 13.3333px; font-variant-ligatures: normal; orphans: 2; widows: 2;">.

 CIBA is allowing the same Client authentication methods for the Authorization Endpoint that OpenID.Core uses for the Token Endpoint. </span></div>

<div><br>

</div>

<div>What do you reckon?</div>

<div><br>

</div>

<div>Best,</div>

<div>Gonza.</div>

<div>

<div id="MAC_OUTLOOK_SIGNATURE"></div>

</div>

</div>

</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">From: </span>Openid-specs-mobile-profile <<a href="mailto:openid-specs-mobile-profile-bounces@lists.openid.net">openid-specs-mobile-profile-bounces@lists.openid.net</a>> on behalf of "<a href="mailto:Axel.Nennker@telekom.de">Axel.Nennker@telekom.de</a>"

 <<a href="mailto:Axel.Nennker@telekom.de">Axel.Nennker@telekom.de</a>><br>

<span style="font-weight:bold">Date: </span>viernes, 12 de mayo de 2017, 13:24<br>

<span style="font-weight:bold">To: </span>"<a href="mailto:Openid-specs-mobile-profile@lists.openid.net">Openid-specs-mobile-profile@lists.openid.net</a>" <<a href="mailto:Openid-specs-mobile-profile@lists.openid.net">Openid-specs-mobile-profile@lists.openid.net</a>><br>

<span style="font-weight:bold">Subject: </span>[Openid-specs-mobile-profile] CIBA Client Authenticaiton Amsterdam<br>

</div>

<div><br>

</div>

<span style="mso-bookmark:_MailOriginalBody">

<div xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 2.0cm 70.85pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

<div lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">Hi all,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I added clarification to CIBA regarding Client Authentication<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">1)            The Client MUST be authenticated<o:p></o:p></p>

<p class="MsoNormal">2)            The Client SHOULD use a signed OpenID Connect Request object (alg != none)<o:p></o:p></p>

<p class="MsoNormal">3)            The OP MUST support signed OpenID Connect Requests objects and if the validation of the signature fails the request MUST fail.<o:p></o:p></p>

<p class="MsoNormal" style="text-indent:36.0pt">If alg == none another method of Client authentication MUST be used as per 1)<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The commit is here: <a href="https://bitbucket.org/openid/mobile/commits/84bbedb432fe511fa6cc38bbeae2eb56c9d40727">

https://bitbucket.org/openid/mobile/commits/84bbedb432fe511fa6cc38bbeae2eb56c9d40727</a><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The latest version as always is here:<o:p></o:p></p>

<p class="MsoNormal"><a href="https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/tip/draft-mobile-client-initiated-backchannel-authentication.xml?at=default">https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/tip/draft-mobile-client-initiated-backchannel-authentication.xml?at=default</a><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">WDYT?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Cheers<o:p></o:p></p>

<p class="MsoNormal">Axel<o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size: 10pt; font-family: Arial, sans-serif; color: rgb(153, 153, 153);"><o:p> </o:p></span></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size: 10pt; font-family: Arial, sans-serif; color: rgb(153, 153, 153);"><o:p> </o:p></span></p>

<p class="MsoNormal" style="text-autospace:none"><b><span lang="DE" style="font-size: 8pt; font-family: Arial, sans-serif; text-transform: uppercase;">Deutsche Telekom AG<o:p></o:p></span></b></p>

<p class="MsoNormal" style="text-autospace:none"><span lang="DE" style="font-size: 8pt; font-family: Arial, sans-serif;">T-Labs (Research & Innovation)<br>

Dipl.-Inform. Axel Nennker<br>

Winterfeldtstr. 21, 10781 Berlin<br>

</span><span lang="FR" style="font-size: 8pt; font-family: Arial, sans-serif;">+491702275312 (Mobile)<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="FR" style="font-size: 8pt; font-family: Arial, sans-serif;">E-Mail:

<a href="mailto:axel.nennker@telekom.de">axel.nennker@telekom.de</a></span><span lang="DE"><o:p></o:p></span></p>

<p class="MsoNormal"><span lang="DE"><o:p> </o:p></span></p>

</div>

</div>

</div>

</span></span><br>

<hr>

<font face="Arial" color="Gray" size="1"><br>

Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener información privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la

 lectura, utilización, divulgación y/o copia sin autorización puede estar prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción.<br>

<br>

The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,

 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br>

<br>

Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinatário, pode conter informação privilegiada ou confidencial e é para uso exclusivo da pessoa ou entidade de destino. Se não é vossa senhoria o destinatário indicado, fica notificado de que a

 leitura, utilização, divulgação e/ou cópia sem autorização pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destruição<br>

</font>

</body>

</html>