<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Based on how we define events, SETs must not be viewed as commands. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Therefore no errors are possible. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">One party is simply saying it has an interest or not in a subject. The receiver of the event may choose to action it deems appropriate. <br><br>Phil</div><div><br>On Mar 1, 2017, at 4:50 PM, Hardt, Dick <<a href="mailto:dick@amazon.com">dick@amazon.com</a>> wrote:<br><br></div><blockquote type="cite"><div>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Title" content="">
<meta name="Keywords" content="">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.m-6489915719715503854apple-style-span
        {mso-style-name:m_-6489915719715503854apple-style-span;}
span.m-6489915719715503854apple-converted-space
        {mso-style-name:m_-6489915719715503854apple-converted-space;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:Calibri;
        color:windowtext;}
span.msoIns
        {mso-style-type:export-only;
        mso-style-name:"";
        text-decoration:underline;
        color:teal;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style>


<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">This makes sense to me Marius.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Btw: returning an error when you receive an event you don’t want to accept creates some tight coupling that is much more difficult to develop a distributed system as you need to look up
 each event on receipt and forces a synchronous architecture.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">/Dick<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in">On 3/1/17, 3:19 PM, someone claiming to be "Marius Scurtescu" <<a href="mailto:mscurtescu@google.com">mscurtescu@google.com</a>> wrote:<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Let me try a couple of concrete examples. I am slowly coming back online from a longer absence, sorry if I am missing any context.
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">1. Explicit Fed.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">IdP: Google, RP: ACME. User logs into ACME using Google as an IdP and user accepts Google presented authz consent page. ACME has Google issued client id and refresh token for this user. Google has explicit grant
 for ACME (backing refresh token). ACME has configured RISC either manually (at some Google provided management console) or through an API. RISC events are flowing both ways, from Google to ACME to the ACME configured endpoint and from ACME to Google to Google's
 documented (maybe also discoverable) endpoint.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">By default RISC is enabled both ways but at some point the user decides to opt out. The user could opt out at some Google settings page or at some ACME settings page.Ideally the opt-out action should disable the
 flow of RISC events in both directions and should be reflected in both settings pages. If user opts-out at the Google settings page then Google has to be able to communicate this decision to ACME, otherwise ACME will continue to send RISC events to Google.
 I think an API is needed. One cheap and imperfect solution is to rely on error messages when sending RISC events, once user opted-out Google could send a special error message to ACME when ACME sends RISC events and ACME could use this error message to opt-out
 the user on their side. This is imperfect because at least one more event is exchanged after the user decided to opt-out. Also, we should consider the case where the user decides to opt back in, and it again can be done on other settings page and it should
 be reflected on both. API is needed again. The API has to work both ways between Google and ACME.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">2. Implicit Fed.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">User creates new Amazon account using gmail address. Amazon makes explicit enrollment call to Google and both Amazon and Google start exchanging RISC events for this user. Again, user can opt out at a settings page
 either at Google or Amazon and both should stop sending events and also reflect the new state in their settings page. Later user can opt back in. Same as with Explicit Fed above, I think API is needed.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Makes sense?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Marius<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><br clear="all">
<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Marius<o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
<div>
<p class="MsoNormal" style="margin-left:.5in">On Thu, Feb 23, 2017 at 9:18 AM, Phil Hunt <<a href="mailto:phil.hunt@oracle.com" target="_blank">phil.hunt@oracle.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Folks…I’m just trying to digest the thread Dick and I have been having. The following is a summary, and a bit of an exploration on how this might work. I’ve also put in some comments on the enterprise vs. consumer
 case….<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Summary:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">(This is explicit fed, could someone from Google/MS think through the email implicit fed case?)<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
</div>
<p class="MsoNormal" style="margin-left:.5in">So, it looks like (at least for OAuth style federation), that only the transmitter can ENABLE notification.  This happens at either end (IDP or RP in their transmitter role).  
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-left:.5in">* The IDP must have permission to share (presumably from the oauth dialog), and <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">* The Resource service must also have permission to share (presumably at least from its registration OR ToS pages).
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in">For de-registration, the txer may turn off and the receiver may also turn off.   <o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in">( I remain uneasy about the idea of bi-directional de-registration see below for enterprise)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">How to implement it (without an API):<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">De-reg could be accomplished for RISC by sec event tokens (that signal removal from the feed/stream):<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">* Account terminated / closed (either at the Resource/relying party or the iDP)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">* Security Consent Declined (at either end) - if one party issues a security consent declined should the receiver do the same on its transmitter channel?   Note that while security consent is declined, the federated
 delegation consent may remain<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">* others?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">If we structure the de-registration as an event, and follow the semantic meaning of an event (not a command but a statement of fact), then the RP would be saying “I am no longer interested in events for subject:
 xx”.  The IDP, upon receiving the event has to evaluate its own policy and meaning to determine if the user gets de-registered from the stream.  In consumer cases, the answer is almost always yes (would some events still be delivered?). In the enterprise case,
 a de-reg event may trigger other IDM workflows (like de-provisioning) which may or may not result in the subjects removal from the stream.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Enterprise Use Case Concern:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">The reason I remain uneasy about Rcvrs declining consent is that in enterprise cases, there is a larger hub spoke relationship between IDPs and RPs.  Many of those RPs will tend to work as part of the same SSO domain. 
 It may not make as much sense of have a single RP suddenly be able to shut down consent for a subject especially when consent is part of employment policy terms.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in">Phil<o:p></o:p></p>
</div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black">Oracle Corporation, Identity Cloud Services & Identity Standards<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black">@independentid<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><a href="http://www.independentid.com" target="_blank">www.independentid.com</a><o:p></o:p></span></p>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><a href="mailto:phil.hunt@oracle.com" target="_blank">phil.hunt@oracle.com</a><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>
</div>
</div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>
</div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>
</div>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">
<o:p> </o:p></p>
</div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
<div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal" style="margin-left:.5in">On Feb 21, 2017, at 9:24 AM, Hardt, Dick <<a href="mailto:dick@amazon.com" target="_blank">dick@amazon.com</a>> wrote:<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">I still think that in the explicit fed, we will want to give the user the ability to terminate event sharing from either party.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">/Dick</span><o:p></o:p></p>
</div>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">On 2/20/17, 10:42 PM, someone claiming to be "Phil Hunt (IDM)" <<a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a>> wrote:<o:p></o:p></p>
</div>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">I think I see the issue now. Implicit and explicit are different in how flows initiate and thus consent/subscription initiates backwards to one-another. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Try this...<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">In an oauth or oidc flow (explicit fed), the publisher has already obtained consent as part of the authorization dialog. In doing so the publisher adds the user to the feeds associate with the audience
 of the authorization. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">A user who does not give consent will not be shared at all with amazon. No need for amazon to change override (it should not know about the user). In this scenario, Amazon should not be allowed
 to override. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">The implicit federation case does seem different than explicit fed. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">With implicit fed, the publisher of the events is not where the initial action takes place (the site where the user gave a personal identifier or email). For example a yahoo user gives amazon their
 yahoo mail for recovery. Yahoo is the SET publisher for this email address. In this case yahoo needs to be notified. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">This could be handled by simple registration event (or personal identifier assigned event) SET sent by amazon to yahoo(assuming bi-directional transmission).  <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><br>
Phil<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:1.0in;background:white">
<br>
On Feb 20, 2017, at 9:18 PM, Hardt, Dick <<a href="mailto:dick@amazon.com" target="_blank"><span style="color:purple">dick@amazon.com</span></a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">Um, no. My example clearly states that Amazon is going to tell Google to stop sending events. Note that both parties are transmitters and receivers.
 A good UX for the user is to only have to tell one of them to stop sharing.</span><o:p></o:p></p>
</div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">What are you trying to convey here? As I stated further down, when there is no explicit consent by the user, we still need an API.</span><o:p></o:p></p>
</div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">/Dick</span><o:p></o:p></p>
</div>
<div style="margin-left:.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">On 2/20/17, 8:32 PM, someone claiming to be "Phil Hunt (IDM)" <<a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a>> wrote:<o:p></o:p></p>
</div>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Right, so in each scenario you describe the consent is with the entity transmitting the event. The publisher. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">If the user changes their mind they tell an entity to stop sharing events--that makes the entity the transmitter not the receiver. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Therefore there is no need for an api that lets the receiver override the consent the publisher/transmitter has already collected. <br>
<br>
Phil<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:1.5in;background:white">
<br>
On Feb 20, 2017, at 12:48 PM, Hardt, Dick <<a href="mailto:dick@amazon.com" target="_blank"><span style="color:purple">dick@amazon.com</span></a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">On 2/19/17, 5:28 PM, someone claiming to be "Phil Hunt (IDM)" <<a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a>> wrote:<o:p></o:p></p>
</div>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">We are not connecting. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">One more try...<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">So yes amazon could ask but i am asking why amazon would need to override the consent the user already granted with the transmitter (eg idp). <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Amazon could ask before sending to the IdP.<o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">You might ask as an rp if you can share events back to the idp. But again you are the issuer. So you issue events based on whether the user consented in your domain to share back to the idp. Again
 the idp doesn't need to control your rp issues event stream--at least from a privacy perspective. <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">After the fact, the user could decide she does not want Amazon and Google to share info. That decision could be at either Amazon or Google. If at Amazon, then the RP is calling the IdP to ask it
 to stop sending signals. This is the only way that the IdP will know the user wanted to stop sharing. Seems like a bad UX for the user to have to go to both the RP and the IdP to stop sharing.<o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Your orignal question was why do we need a control API. Even if we don’t support the use cases above, it is needed when we are sharing signals based on an email. The IdP does not know the user is
 at the RP until the RP tells it.<o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">/Dick<o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:2.0in;background:white">
<br>
On Feb 19, 2017, at 4:36 PM, Hardt, Dick <<a href="mailto:dick@amazon.com" target="_blank"><span style="color:purple">dick@amazon.com</span></a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">The receiver could signal to the transmitter what the user wants. The transmitter could confirm and/or query what the user wants.</span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">Yes, the transmitter decides if events are transmitted, but one would also expect the transmitter to respect the user’s preferences.</span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">/Dick</span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">On 2/19/17, 4:08 PM, someone claiming to be "Phil Hunt (IDM)" <<a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a>> wrote:<o:p></o:p></p>
</div>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Thanks. However, I think the subscribe proposal may be backwards. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Underlines for better clarity....<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">If<span class="m-6489915719715503854apple-converted-space"> </span><u>transmitter (aka publisher) </u>expects to let its users (whether rp or idp) control whether<span class="m-6489915719715503854apple-converted-space"> </span><u>transmitter</u><span class="m-6489915719715503854apple-converted-space"> </span>transmits
 their events, why would you let the receiver control your users info?<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">The per user subscription control requirement seems to be the prerogative of the transmitter (publisher) and not of the receiver.  <br>
<br>
Phil<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:2.0in;background:white">
<br>
On Feb 19, 2017, at 3:16 PM, Hardt, Dick <<a href="mailto:dick@amazon.com" target="_blank"><span style="color:purple">dick@amazon.com</span></a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">I expect to let users opt out of sharing. I can envision giving the user an option to decline security event sharing when federating.</span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">We will need a standard API to subscribe subjects when we are not federating. The<span class="m-6489915719715503854apple-converted-space"> </span><a href="http://amazon.com/" target="_blank"><span style="color:purple">amazon.com</span></a><span class="m-6489915719715503854apple-converted-space"> </span>use
 case where we are sharing security events based on email address.</span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri">/Dick</span><o:p></o:p></p>
</div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>
</div>
<div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">On 2/18/17, 3:34 PM, someone claiming to be "Phil Hunt" <<a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a>> wrote:<o:p></o:p></p>
</div>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">More importantly, I have not heard a case where users would be allowed to decline security event sharing and still consent to federation. <br>
<br>
The consent we've talked about is part of legal terms in the explicit dialog or of service provider TOS when users supply a foreign recovery email. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">If that is the case I am not sure we need to have a standard api for registration of subscriber subjects. <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><br>
Phil<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:2.0in;background:white">
<br>
On Feb 18, 2017, at 12:04 PM, Hardt, Dick <<a href="mailto:dick@amazon.com" target="_blank"><span style="color:purple">dick@amazon.com</span></a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Good question<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.5in">
<p class="MsoNormal" style="margin-left:.5in;background:white">When Adam was labeling the implicit and explicit RPs, I originally thought the implicit was the OAuth flow as there was an implicit subscription by the RP of RISC events.<br>
<br>
-- Dick<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:2.0in;background:white">
<br>
On Feb 18, 2017, at 8:55 AM, Phil Hunt <<a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">A few questions following Thursday’s F2F…<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Is there ever a time in RISC where a user who has chosen to federate would not be added to the stream between providers?  And if so, doesn’t the IDP already know this? Why wouldn’t an IDP who is
 a transmitter just do this automatically? <span class="m-6489915719715503854apple-converted-space"> </span><o:p></o:p></p>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Why wouldn’t an IDP just put a subject, who has consented to federation, in the event list for an audience automatically?  <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">What purpose does it serve to have the receiver call back to register the subject if the receiver has already agreed to an event stream?<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Phil<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">Oracle Corporation, Identity Cloud Services & Identity Standards<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">@independentid<o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><a href="http://www.independentid.com/" target="_blank"><span style="color:purple">www.independentid.com</span></a><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"><a href="mailto:phil.hunt@oracle.com" target="_blank"><span style="color:purple">phil.hunt@oracle.com</span></a><o:p></o:p></p>
</div>
</div>
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:1.5in;background:white">
 <o:p></o:p></p>
</div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white"> <o:p></o:p></p>
</div>
</div>
</div>
</blockquote>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div style="margin-left:1.0in">
<p class="MsoNormal" style="margin-left:.5in;background:white">_______________________________________________<br>
Openid-specs-risc mailing list<br>
<a href="mailto:Openid-specs-risc@lists.openid.net" target="_blank"><span style="color:purple">Openid-specs-risc@lists.openid.net</span></a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-risc" target="_blank"><span style="color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-risc</span></a><o:p></o:p></p>
</div>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">
<br>
_______________________________________________<br>
Openid-specs-risc mailing list<br>
<a href="mailto:Openid-specs-risc@lists.openid.net">Openid-specs-risc@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-risc" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-risc</a><o:p></o:p></p>
</blockquote>
</div>
<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>
</div>
</div>


</div></blockquote></body></html>