<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 3, 2017 at 4:00 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" target="_blank" class="gmail-cremed gmail-cremed gmail-cremed cremed">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word">I suggested an array if there are multiple values that want to be published for some reason.<div>Otherwise you limit yourself to one scope for all the aliases.</div><div><br></div><div>Perhaps it is more of a SET issue than RISC but this all started with the proposition that sub might not be scoped to the issuer in cases where a RP is sending to a IdP. </div><div><br></div><div>So when Facebook sends to Google it would not need to scope its own identifiers.   But if it is talking about a account that google has identified as having the email address <a href="mailto:self-issued@hotmail.com" target="_blank" class="gmail-cremed gmail-cremed gmail-cremed cremed">self-issued@hotmail.com</a> then it would scope it.</div></div></blockquote><div><br></div><div>RISC events sent by Facebook to Google should always use an identifier scoped to Google. Assuming Facebook is an OAuth 2 client and Google the IdP. Facebook could know the Google issued sub or the email address associated with the account (which could be a non-Google managed email). Identifiers issued by Facebook are meaningless to Google. If Facebook is the IdP and Google the RP, then Facebook issued identifiers would work.</div><div><br></div><div>If you are aware of a use case when the identifier needs to be explicitly scoped then let's add it to:</div><div><a href="https://tools.ietf.org/html/draft-scurtescu-secevent-risc-use-cases">https://tools.ietf.org/html/draft-scurtescu-secevent-risc-use-cases</a><br></div><div><br></div><div>Currently we are not tracking any use case like that.</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>Email may not be the best example because we mistakenly believe that addresses uniquely point to one individual. </div><div>They might but if it is not a email and just an account identifier then knowing who’s it is important.</div><div><br></div><div>Confusing of account identifiers and email addresses is a horse that has left the barn.</div><div><br></div><div>If the subject were just account numbers that could easily collide then scoping has a clearer value.</div></div></blockquote><div><br></div><div>An IdP could use account identifiers, or numbers, but these would be expressed as the sub claim and sub is always scoped to the IdP issuer. No other scoping is needed IMO.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>Phone numbers have similar issues.  They have a higher turn over and reuse than email.</div><div><br></div><div>If the sub email phone etc is scoped to the issuer use the top level elements.</div><div><br></div><div>In cases where it is different ave a alias object that makes the scoping explicit.</div></div></blockquote><div><br></div><div>I think email and phone is always global and does not need scoping. If not, then we need to clarify this.</div><div><br></div><div>sub is scoped by iss.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>You might have both in a SET if the sender wants to expose its sub and also explicitly include a alias that the receiver understands like a phone number.</div></div></blockquote><div><br></div><div>Yes, both can be present.</div><div><br></div><div><br></div><div>I think we are saying the same thing.</div><div><br></div><div>Here is proposal 3 again:</div><div><br></div><div>Top level claims when there is no iss conflict:</div><div><br></div><div><div style="font-size:12.8px"><font face="monospace, monospace">{</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "jti": "<wbr>3d0c3cf797584bd193bd0fb1bd4e7d<wbr>30",</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "iat": 1458496025,</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "iss": "<a href="https://tr.example.com/" target="_blank" class="gmail-cremed gmail-cremed cremed">https://tr.example.com</a>",</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" target="_blank" class="gmail-cremed gmail-cremed cremed">https://rv.example.com/</a>",</span><br></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace;font-size:12.8px">  "sub": "47635747",</span><br></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">  "email": "<a href="mailto:user@example.com">user@example.com</a>",</span></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">  "phone_number": "123-555-9876,</span></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace;font-size:12.8px">  "events": {</span><br></div><div style="font-size:12.8px"><font face="monospace, monospace">    "urn:ietf:params:risc:event:<wbr>sessions-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">},</span><br></div><div style="font-size:12.8px"><font face="monospace, monospace">    "urn:ietf:params:risc:event:<wbr>tokens-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">}</span></div><div style="font-size:12.8px"><font face="monospace, monospace">  }</font></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">}</span></div></div><div><br></div><div>And nested object when there is an iss conflict:</div><div><br></div><div><div style="font-size:12.8px"><font face="monospace, monospace">{</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "jti": "<wbr>3d0c3cf797584bd193bd0fb1bd4e7d<wbr>30",</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "iat": 1458496025,</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "iss": "<a href="https://tr.example.com/" target="_blank" class="gmail-cremed gmail-cremed cremed">https://tr.example.com</a>",</font></div><div style="font-size:12.8px"><font face="monospace, monospace">  "aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" target="_blank" class="gmail-cremed gmail-cremed cremed">https://rv.example.com/</a>",</span><br></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">  "risc_subject": {</span></div><div style="font-size:12.8px"><font face="monospace, monospace">    "iss": "<a href="https://example.com/" target="_blank" class="gmail-cremed gmail-cremed cremed">https://example.com</a>",</font></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">    "sub": "47635747",</span><br></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">    "email": "<a href="mailto:user@example.com">user@example.com</a>",</span></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">    "phone_number": "123-555-9876,</span></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">  },</span></div><div style="font-size:12.8px"><font face="monospace, monospace">  "events": {</font></div><div style="font-size:12.8px"><font face="monospace, monospace">    "urn:ietf:params:risc:event:<wbr>sessions-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">},</span><br></div><div style="font-size:12.8px"><font face="monospace, monospace">    "urn:ietf:params:risc:event:<wbr>tokens-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">}</span></div><div style="font-size:12.8px"><font face="monospace, monospace">  }</font></div><div style="font-size:12.8px"><span style="font-family:monospace,monospace">}</span></div></div><div><br></div><div>sub, email and phone_number form a set of claims that point to a person, at least one of these claims must be preset.</div><div><br></div><div>Sounds good?</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>John B.</div><div><div class="gmail-h5"><div><div><br></div><div><br><div><blockquote type="cite"><div>On Aug 3, 2017, at 6:23 PM, Marius Scurtescu <<a href="mailto:mscurtescu@google.com" target="_blank" class="gmail-cremed gmail-cremed gmail-cremed cremed">mscurtescu@google.com</a>> wrote:</div><br class="gmail-m_211135882081915750Apple-interchange-newline"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 3, 2017 at 2:41 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word">Each alias might have a different issuer/scope.</div></blockquote><div><br></div><div>Maybe, but let's get concrete since I believe we have to define each alias. What else than iss+sub, email and phone_number?</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>Email is also tricky, as foreign emails are often used as the username.</div></div></blockquote><div><br></div><div>Right, and I think that's irrelevant in this case. If not, then why not?</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>That email address used as a name may or may not be validated.  </div></div></blockquote><div><br></div><div>Good point, and again not sure how is this relevant to SET. The add/remove APIs most likely will have to also provide the "email_verified" claim along with "email", but that's a different draft.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>I still have a test Facebook account with a email as the login name that has never been validated after nearly two years. </div></div></blockquote><div><br></div><div>Right, it is a common case. Also, if the email was validated 8 years ago, what value does that validation still have?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>So is talking about “self-issued@hotmail,.com” scope Facebook the same as <a href="http://sef-issued.com/" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">sef-issued.com</a> scope google vs scope Microsoft the same or different?</div></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>Are some usernames with issuers and only the MS scoped one a real email?</div><div><br></div><div>In general you have a identifier string of some sort scoped to a responsible authority.</div><div>I don’t really care if you want to have </div><div>{“val”: “self-issued@hotmail,.com”,  “scope”: “Facebook” , “type”: “email”}</div><div><br></div><div>Or create specific claims that combine type and val.</div></div></blockquote><div><br></div><div>Not sure I completely follow. What does "scope Facebook" mean with regards to  self-issued@hotmail,.com? Microsoft is authoritative over that email address, and how does one discover that is a different question.</div><div><br></div><div>If Google is sending a RISC event to Facebook and the subject is "email=self-issued@hotmail,.<wbr>com" then scope=Facebook I think is implied (the fact that Facebook knows the user as self-issued@hotmail,.com). How would an explicit scope help here? Do you have a use case in mind?</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>I suspect that having it be a object will allow for cleanly adding other meta-data later.</div></div></blockquote><div><br></div><div>I think everyone agrees it should be an object. You suggested that the value could be an array, I am not sure I understand the need for that.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>I do think that it is a new claim separate from the existing sub, and needs the context of who is the responsible authority for the identifier or it will get very messy.</div></div></blockquote><div><br></div><div>Right, but I think who is responsible for the identifier (scope?) is clear by the context (transmitter and receiver).</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>John B.</div><div><div class="gmail-m_211135882081915750gmail-h5"><div><br></div><div><br><div><blockquote type="cite"><div>On Aug 3, 2017, at 4:36 PM, Marius Scurtescu <<a href="mailto:mscurtescu@google.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">mscurtescu@google.com</a>> wrote:</div><br class="gmail-m_211135882081915750gmail-m_-5154919286245319102Apple-interchange-newline"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 3, 2017 at 12:02 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word">Alias or aka <div><br></div><div>I am issuer foo and the subject is bar in my context.   I also know them as “<a href="mailto:self-issued@hotmail.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">self-issued@hotmail.com</a><span>” in the context of Facebook and <span id="gmail-m_211135882081915750gmail-m_-5154919286245319102gc-number-117" class="gmail-m_211135882081915750gmail-m_-5154919286245319102gc-cs-link" title="Call with Google Voice"><span id="gmail-m_211135882081915750gmail-gc-number-128" class="gmail-m_211135882081915750gmail-gc-cs-link" title="Call with Google Voice"><span id="gmail-m_211135882081915750gmail-gc-number-129" class="gmail-m_211135882081915750gmail-gc-cs-link" title="Call with Google Voice"><span id="gmail-m_211135882081915750gmail-gc-number-130" class="gmail-m_211135882081915750gmail-gc-cs-link" title="Call with Google Voice"><span id="gmail-m_211135882081915750gc-number-131" class="gmail-m_211135882081915750gc-cs-link" title="Call with Google Voice"><span id="gmail-gc-number-137" class="gmail-gc-cs-link" title="Call with Google Voice"><span id="gmail-gc-number-138" class="gmail-gc-cs-link" title="Call with Google Voice"><span id="gmail-gc-number-141" class="gmail-gc-cs-link" title="Call with Google Voice"><span id="gc-number-142" class="gc-cs-link" title="Call with Google Voice">+15555551235</span></span></span></span></span></span></span></span></span> in the context of phone number.</span></div><div><br></div><div>That leaves the current definitions of sub and its unchanged.</div></div></blockquote><div><br></div><div>All the different ways the identity can be referred to must be defined by the profile. Right?</div><div><br></div><div>For the RISC profile I had in mind:</div><div>- iss+sub</div><div>- email</div><div>- phone_number</div><div><br></div><div>Obviously this is inspired by OpenID Connect, the same claims can be present in an Id Token.</div><div><br></div><div>If the above makes sense, then not sure if an array is needed.</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>John B.</div><div><div class="gmail-m_211135882081915750gmail-m_-5154919286245319102h5"><div><br><div><blockquote type="cite"><div>On Aug 3, 2017, at 2:57 PM, Phil Hunt (IDM) <<a href="mailto:phil.hunt@oracle.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">phil.hunt@oracle.com</a>> wrote:</div><br class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186Apple-interchange-newline"><div><div dir="auto"><div>Agreed. <br><br>Phil</div><div><br>On Aug 3, 2017, at 11:56 AM, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">ve7jtb@ve7jtb.com</a>> wrote:<br><br></div><blockquote type="cite"><div>Identity or whatever it is called may actually want to be an array, as there might be multiple synonyms.<div><br></div><div>That is why I was thinking of it more as an alias of sub + iss.</div><div><br></div><div><br></div><div><div><blockquote type="cite"><div>On Aug 3, 2017, at 1:49 PM, Marius Scurtescu <<a href="mailto:mscurtescu@google.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">mscurtescu@google.com</a>> wrote:</div><br class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186Apple-interchange-newline"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 3, 2017 at 10:39 AM, Phil Hunt <span dir="ltr"><<a href="mailto:phil.hunt@oracle.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">phil.hunt@oracle.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word">yes.  Instead of using “sub”  you might define an attribute “identity” and it could be used as follows:<div><br></div><div>“identity”:{</div><div>  “typ”:”oidc”,</div><div>  “sub”:”8100552e17554422b6207b7<wbr>bd7a9bc76”,</div><div>  “iss”:”<a href="http://myidp.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">myidp.example.com</a>"</div><div>}</div><div><br></div><div>Or:</div><div><br></div><div>“identity”:{</div><div>  “typ”:”scim”,</div><div>  “$ref”:”<a href="https://scim.example.com/Users/8100552e17554422b6207b7bd7a9bc76" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://scim.example.c<wbr>om/Users/8100552e17554422b6207<wbr>b7bd7a9bc76</a>”</div><div>}</div><div><br></div><div>Or</div><div><br></div><div>(not sure these are the right claims, but you might include some claims from MODRNA like carrier identifiers if they are available)</div><div>“identity”:{</div><div>  “typ”:”phone”,</div><div>  “telephoneNumber”:”+1604123456<wbr>7”</div><div>  “carrier”: <somevalue>  </div><div>}</div><div><br></div><div>“identity”:{</div><div>  “typ”:”emails”,</div><div>  “mail”:”<a href="mailto:john.doe@example.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">john.doe@example.com</a>”</div><div>}</div><div><br></div><div>Note “identity” could be used at the top level or embedded in events payload.  Top level if there is need to have multiple event types are expressed at once.  Or, if part of the core spec to provide a consistent pattern for identifiers and to establish a registry of identifier types.  Regardless at the top level, then “identity” would have to be registered as a JWT claim.</div></div></blockquote><div><br></div><div>This is a separate discussion we should have, I was proposing something different here, but I was trying to focus on the issuer conflict first.</div><div><br></div><div>That being said, I don't see why a typ claim is needed here. We can use the exact same claims as in an Id Token. SCIM needs a different profile than RISC.</div><div><br></div><div>Your examples from above using Id Token claims (minus the SCIM example):</div><div><br></div><div><font face="monospace, monospace">“identity”:{</font></div><div><font face="monospace, monospace">  “sub”:”8100552e17554422b6207b7<wbr>bd7a9bc76”,<br></font></div><div><font face="monospace, monospace">  “iss”:”<a href="http://myidp.example.com/" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">myidp.example.com</a>"</font></div><div><font face="monospace, monospace">}</font></div><div><font face="monospace, monospace"><br></font></div><div><div><font face="monospace, monospace">“identity”:{</font></div><div><span style="font-family:monospace,monospace">  “phone_number”:”+</span><span style="font-family:monospace,monospace">16041234567”</span><br></div><div><span style="font-family:monospace,monospace">}</span><br></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">“identity”:{</font></div><div><span style="font-family:monospace,monospace">  “email”:”</span><span style="font-family:monospace,monospace"><a href="mailto:john.doe@example.com" class="gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">john.doe@example.com</a></span><span style="font-family:monospace,monospace">”</span><br></div><div><font face="monospace, monospace">}</font></div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-"><br><div>
<div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div><span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-style-span" style="border-collapse:separate;line-height:normal"><div style="word-wrap:break-word"><div><div><div>Phil</div><div><br></div><div>Oracle Corporation, Identity Cloud Services Architect & Standards</div><div>@independentid</div><div><a href="http://www.independentid.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">www.independentid.com</a></div></div></div></div></span><a href="mailto:phil.hunt@oracle.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">phil.hunt@oracle.com</a></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
<br></span><div><div class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-h5"><div><blockquote type="cite"><div>On Aug 3, 2017, at 10:28 AM, Marius Scurtescu <<a href="mailto:mscurtescu@google.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">mscurtescu@google.com</a>> wrote:</div><br class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-interchange-newline"><div><div dir="ltr" style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 3, 2017 at 9:42 AM, John Bradley<span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span><span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">ve7jtb@ve7jtb.com</a>></span><span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>wr<wbr>ote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word">I guess in principal sub could be a dictionary with a val and other meta data like a optional issuer.<div><br></div><div>We do that with sub in <a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__openid.net_specs_openid-2Dconnect-2Dcore-2D1-5F0.html-23IndividualClaimsRequests&d=DwMFaQ&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=0XvWuopUa1rUzdTHlWsUVZI7PePtDaGu3VrMUlwE2yU&s=VzfByRviJEJHNZfefEzIWK8KsuPhKsf_RXi6eOTxbeI&e=" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">Connect claims requests</a>.</div><div><br></div><div>However in responses sub is defined in </div><div><a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__tools.ietf.org_html_rfc7519-23section-2D4.1.2&d=DwMFaQ&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=0XvWuopUa1rUzdTHlWsUVZI7PePtDaGu3VrMUlwE2yU&s=5GZBJpUnQsgSTinzQRg5GLOPDs6YuqtEr_PEMy9JsMQ&e=" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://tools.ietf.org/html/rf<wbr>c7519#section-4.1.2</a> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>as a string.</div><div><br></div><div>One option might be to have a new claim.  sub-d that is a dictionary that you could use when you need a more complicated sub with a SubjectNameIdFormat and scope.   How could that go wrong:)</div></div></blockquote><div><br></div><div>That is option 3, right?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>John B.</div><div><div class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597h5"><div><br></div><div> <br><div><blockquote type="cite"><div>On Aug 3, 2017, at 12:19 PM, Phil Hunt (IDM) <<a href="mailto:phil.hunt@oracle.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">phil.hunt@oracle.com</a>> wrote:</div><br class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597m_1134046780769059888Apple-interchange-newline"><div><div dir="auto"><div>Lets not forget that we also have cases where subject is identified by email or telephone or other identifier (implicit fed cases). </div><div><br></div><div>Risc needs to have a subject type attribute to inform parsers how to identify the subject. The next question whether sub gets re-used as a general purpose attribute or whether specific attributes are used for each type (email, telephone). <br><br>In solving this broader requirement the sub/iss problem may also be resolved. </div><div><br>Phil</div><div><br>On Aug 3, 2017, at 1:52 AM, Nat Sakimura <<a href="mailto:sakimura@gmail.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">sakimura@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><p dir="ltr">My preference: If all SET only supports a single iss/sub pair, then 1. If a SET can have events for multiple iss/sub pair, then 2.<span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span></p><br><div class="gmail_quote"><div dir="ltr">2017年8月3日(木) 7:49 Marius Scurtescu <<a href="mailto:mscurtescu@google.com" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">mscurtescu@google.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Each SET profile must define or clarify several aspects of the specs. For RISC most of these must only be only specified (like key resolution), but there is at least one issue for which we don't have an agreed on solution.<div><br></div><div>In some use cases the issuer of the SET is different from the issuer of the subject identifier, and at least in those cases there cannot be only one top level "iss" claim.</div><div><br></div><div>Here are the proposals I am aware of to solve this issue:</div><div><br></div><div>1. Move iss+sub to the event level. The drawback of this approach is redundancy when multiple events are present in the SET.</div><div><br></div><div><div><font face="monospace, monospace">{</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"jti": "3d0c3cf797584bd193bd0fb1bd4e7<wbr>d30",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iat": 1458496025,</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://tr.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://tr.example.com</a>",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://rv.example.com/</a>",</span><br></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"events": {</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>sessions-revoked":</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>{</font></div><div><font face="monospace, monospace">     <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace">     <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"sub": "47635747",</span><br></div><div><span style="font-family:monospace,monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>},</span><br></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>tokens-revoked":</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>{</font></div><div><font face="monospace, monospace">     <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace">     <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"sub": "47635747",</span><br></div><div><span style="font-family:monospace,monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</span><br></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</font></div><div><span style="font-family:monospace,monospace">}</span><br></div></div><div><br></div><div><br></div><div>1.1 Move only the subject "iss" to the event level and leave "sub" at the top level (next to the SET "iss"). I find this solution very confusing.</div><div><br></div><div><div><font face="monospace, monospace">{</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"jti": "3d0c3cf797584bd193bd0fb1bd4e7<wbr>d30",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iat": 1458496025,</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://tr.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://tr.example.com</a>",</font></div><div><span style="font-family:monospace,monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"sub": "47635747",</span><br></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://rv.example.com/</a>",</span></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"events": {</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>sessions-revoked":</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>{</font></div><div><font face="monospace, monospace">     <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>},</span><br></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>tokens-revoked":</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>{</font></div><div><font face="monospace, monospace">     <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</span><br></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</font></div><div><span style="font-family:monospace,monospace">}</span></div></div><div><br></div><div><br></div><div>2. Move iss+sub immediately under the "events" claim. No redundancy in this case.</div><div><br></div><div><div><font face="monospace, monospace">{</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"jti": "3d0c3cf797584bd193bd0fb1bd4e7<wbr>d30",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iat": 1458496025,</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://tr.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://tr.example.com</a>",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://rv.example.com/</a>",</span><br></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"events": {</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"sub": "47635747",</span><br></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>sessions-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">},</span></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>tokens-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">}</span></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</font></div><div><span style="font-family:monospace,monospace">}</span></div></div><div><br></div><div><br></div><div>3. Move iss+sub to a new nested claim.</div><div><br></div><div><div><font face="monospace, monospace">{</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"jti": "3d0c3cf797584bd193bd0fb1bd4e7<wbr>d30",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iat": 1458496025,</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://tr.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://tr.example.com</a>",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://rv.example.com/</a>",</span><br></div><div><span style="font-family:monospace,monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"target": {</span></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"sub": "47635747",</span><br></div><div><span style="font-family:monospace,monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>},</span></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"events": {</font></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>sessions-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">},</span><br></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>tokens-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">}</span></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</font></div><div><span style="font-family:monospace,monospace">}</span></div></div><div><br></div><div><br></div><div>4. Define a new top level issuer claim either for the SET or for the subject.</div><div><br></div><div><div><font face="monospace, monospace">{</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"jti": "3d0c3cf797584bd193bd0fb1bd4e7<wbr>d30",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iat": 1458496025,</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss": "<a href="https://tr.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://tr.example.com</a>",</font></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"iss-sub": "<a href="https://example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://example.com</a>",</font></div><div><span style="font-family:monospace,monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"sub": "47635747",</span><br></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"aud": "</font><span style="font-family:monospace,monospace"><a href="https://rv.example.com/" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://rv.example.com/</a>",</span><br></div><div><span style="font-family:monospace,monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"events": {</span><br></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>sessions-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">},</span><br></div><div><font face="monospace, monospace">   <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>"urn:ietf:params:risc:event:<wbr>tokens-revoked": </font><font face="monospace, monospace">{</font><span style="font-family:monospace,monospace">}</span></div><div><font face="monospace, monospace"> <span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span>}</font></div><div><span style="font-family:monospace,monospace">}</span></div></div><div><br></div><div><br></div><div>An open question is if this new iss+sub solution should be always required or if a top level iss+sub should also be allowed (when there is no conflict). I vote for having only one way for simplicity.</div><div><br></div><div>Once we decide on a solution we can start working on the RISC profile draft.</div><div><br></div><div>Thoughts?</div><div><br></div><div><div>Marius</div></div></div>______________________________<wbr>_________________<br>Openid-specs-risc mailing list<br><a href="mailto:Openid-specs-risc@lists.openid.net" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">Openid-specs-risc@lists.openid<wbr>.net</a><br><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.openid.net_mailman_listinfo_openid-2Dspecs-2Drisc&d=DwMFaQ&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=oELWrk4I8hITS0xtNBEzkxMNmGjdHfFGkwNTJluxMQM&s=WH0oHORcbz6GzolvV9301ap4nCL-qYRmD7wWIWPJnL8&e=" rel="noreferrer" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-risc</a><br></blockquote></div><div dir="ltr">--<span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span><br></div><div class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597m_1134046780769059888gmail_signature"><p dir="ltr">Nat Sakimura</p><p dir="ltr">Chairman of the Board, OpenID Foundation</p></div></div></blockquote><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>Openid-specs-risc mailing list</span><br><span><a href="mailto:Openid-specs-risc@lists.openid.net" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">Openid-specs-risc@lists.openid<wbr>.net</a></span><br><span><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.openid.net_mailman_listinfo_openid-2Dspecs-2Drisc&d=DwICAg&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=oELWrk4I8hITS0xtNBEzkxMNmGjdHfFGkwNTJluxMQM&s=WH0oHORcbz6GzolvV9301ap4nCL-qYRmD7wWIWPJnL8&e=" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">https://urldefense.proofpoint.<wbr>com/v2/url?u=http-3A__lists.op<wbr>enid.net_mailman_listinfo_open<wbr>id-2Dspecs-2Drisc&d=DwICAg&c=R<wbr>oP1YumCXCgaWHvlZYR8PQcxBKCX5YT<wbr>pkKY057SbK10&r=JBm5biRrKugCH0F<wbr>kITSeGJxPEivzjWwlNKe4C_lLIGk&m<wbr>=oELWrk4I8hITS0xtNBEzkxMNmGjdH<wbr>fFGkwNTJluxMQM&s=WH0oHORcbz6Gz<wbr>olvV9301ap4nCL-qYRmD7wWIWPJnL8<wbr>&e=</a><span class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597Apple-converted-space"> </span></span><br></div></blockquote></div>______________________________<wbr>_________________<br>Openid-specs-risc mailing list<br><a href="mailto:Openid-specs-risc@lists.openid.net" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">Openid-specs-risc@lists.openid<wbr>.net</a><br><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.openid.net_mailman_listinfo_openid-2Dspecs-2Drisc&d=DwMFaQ&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=0XvWuopUa1rUzdTHlWsUVZI7PePtDaGu3VrMUlwE2yU&s=EIvVFfL8djzqG2zMxSY4EPjMuBglQoE0xKzdgiOiOK8&e=" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-risc</a><br></div></blockquote></div><br></div></div></div></div><br>______________________________<wbr>_________________<br>Openid-specs-risc mailing list<br><a href="mailto:Openid-specs-risc@lists.openid.net" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">Openid-specs-risc@lists.openid<wbr>.net</a><br><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.openid.net_mailman_listinfo_openid-2Dspecs-2Drisc&d=DwMFaQ&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=0XvWuopUa1rUzdTHlWsUVZI7PePtDaGu3VrMUlwE2yU&s=EIvVFfL8djzqG2zMxSY4EPjMuBglQoE0xKzdgiOiOK8&e=" rel="noreferrer" class="gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186cremed gmail-m_211135882081915750gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-cremed gmail-m_211135882081915750gmail-m_-5154919286245319102cremed gmail-m_211135882081915750gmail-m_-5154919286245319102m_922368068620098186gmail-m_-2518339591068322597cremed gmail-m_211135882081915750cremed gmail-cremed gmail-cremed gmail-cremed cremed" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-risc</a></blockquote></div></div></div></div></blockquote></div><br></div></div></div></div></blockquote></div><br></div></div>
</div></blockquote></div><br></div></div></blockquote></div></div></blockquote></div><br></div></div></div></div></blockquote></div><br></div></div>
</div></blockquote></div><br></div></div></div></div></blockquote></div><br></div></div>
</div></blockquote></div><br></div></div></div></div></div></blockquote></div><br></div></div>