<div dir="ltr">I came across this on a similar note when implementing client authentication to the  (RFC 7009) token revocation endpoint and I'm interested in your views.<div><br></div><div>Hans.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, May 20, 2019 at 2:43 PM <<a href="mailto:josephheenan@bitbucket.org">josephheenan@bitbucket.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">New issue 155: aud to use in client_assertion passed to Backchannel Authentication Endpoint is murky?<br>
<a href="https://bitbucket.org/openid/mobile/issues/155/aud-to-use-in-client_assertion-passed-to" rel="noreferrer" target="_blank">https://bitbucket.org/openid/mobile/issues/155/aud-to-use-in-client_assertion-passed-to</a><br>
<br>
Joseph Heenan:<br>
<br>
We came across what looks like an oddity whilst implementing tests; I’m not sure if I’ve missed a specification or if there is something that could benefit from clarification:<br>
<br>
 I can’t entirely figure out what the ‘aud’ value in a client assertion to the backchannel authentication endpoint should be.<br>
<br>
The client assertion spec, [<a href="https://tools.ietf.org/html/rfc7521#section-5.1](https://tools.ietf.org/html/rfc7521%23section-5.1)" rel="noreferrer" target="_blank">https://tools.ietf.org/html/rfc7521#section-5.1](https://tools.ietf.org/html/rfc7521#section-5.1)</a>, says:<br>
<br>
```<br>
 Audience<br>
      A value that identifies the party or parties intended to process<br>
      the assertion.  The URL of the token endpoint, as defined in<br>
      Section 3.2 of OAuth 2.0 [RFC6749], can be used to indicate that<br>
      the authorization server is a valid intended audience of the<br>
      assertion<br>
```<br>
<br>
‌<br>
<br>
[<a href="https://openid.net/specs/openid-connect-core-1%5C_0.html#ClientAuthentication](https://openid.net/specs/openid-connect-core-1_0.html%23ClientAuthentication)" rel="noreferrer" target="_blank">https://openid.net/specs/openid-connect-core-1\_0.html#ClientAuthentication](https://openid.net/specs/openid-connect-core-1_0.html#ClientAuthentication)</a> doesn’t seem to add any clarity.<br>
<br>
By contrast, the CIBA request object is quite clear: “The Audience claim MUST contain the value of the Issuer Identifier for the OP, which identifies the Authorization Server as an intended audience.”<br>
<br>
The three possibilities for the audience for client assertion seem to be:<br>
<br>
1. the token endpoint \(as RFC7521 says\)<br>
2. the backchannel authentication endpoint \(because that’s where the assertion is being sent\)<br>
3. the issuer \(to match the CIBA request object\)<br>
<br>
The server I’m trying against \(Authlete\) seems to have interpreted it as ‘2’.<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-mobile-profile mailing list<br>
<a href="mailto:Openid-specs-mobile-profile@lists.openid.net" target="_blank">Openid-specs-mobile-profile@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div style="font-size:small"><a href="mailto:hans.zandbelt@zmartzone.eu" target="_blank">hans.zandbelt@zmartzone.eu</a></div><div style="font-size:small">ZmartZone IAM - <a href="http://www.zmartzone.eu" target="_blank">www.zmartzone.eu</a><br></div></div></div></div></div></div>