<div dir="ltr">Comments inline...<div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature">On Tue, Dec 12, 2017 at 9:18 AM, Phil Hunt via Openid-specs-risc <span dir="ltr"><<a href="mailto:openid-specs-risc@lists.openid.net" target="_blank" class="cremed">openid-specs-risc@lists.openid.net</a>></span> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><blockquote type="cite"><div>It has been raised by marius on the secevents list that multi subjects in risc sets is a requirement which has not been discussed here. <br></div></blockquote><blockquote type="cite"><div><span></span><br><span>As we have not discussed this, I propose we do so. </span><br><span></span><br><span>I have grave concerns about possible privacy implications particular if third party security providers are involved. </span></div></blockquote></div></blockquote><div><br></div><div>Agreed. The privacy implications are not major, but definitely a concern. Keep in mind that a transmitter will send only subjects that have already been disclosed to a receiver in a correlatable mode (Id Token or UserInfo API). The concern is that now this information is sent on a new channel and chances that correlated identifiers will be exposed increases.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><blockquote type="cite"><div><span>I believe for any stream, transmitters and receivers must negotiate a single subject identifier to use. This can become a requirement for config eg as an extension to stream config  </span></div></blockquote></div></blockquote><div><br></div><div>Yes, I also think that stream configuration should allow receivers to specify the identifier they want to use and this would eliminate the need to send multiple ones.</div><div><br></div><div>But, in some cases receivers might not be able to specify only one identifier and the possibility to send multiple could still be needed.</div><div><br></div><div>For example, an RP might accept email or phone number as main account identifiers and when receiving an Id Token or SET the logic could be to try email first and if that fails then try phone number.</div><div><br></div><div>Thoughts?</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><blockquote type="cite"><div><span>Ps i also support single profile option in stream config per discussion with annabelle. </span></div></blockquote></div></blockquote><div>You mean that Annabelle also supports a stream config to specify one subject identifier (confused by "profile", typo?).</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><blockquote type="cite"><div><span>I also support a standard subject claim but because of issues like multi subject, i do not support it being part of the main set draft. </span></div></blockquote></div></blockquote><div>To me it is critical to be in the main set draft. That would allow us to also add the subject type to the stream config and have one standard way to refer to subject types.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><blockquote type="cite"><div><span>I think standard subject is also useful for access tokens/id tokens and may pave the way for single subject sets in risc. </span></div></blockquote></div></blockquote><div>I am not sure about access tokens and id tokens. Id tokens already have well defined way to refer to subjects. Trying to come up with a generic solution for JWT would take a very long time and for secevent implementation it is critical to have a common subject ASAP.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><blockquote type="cite"><div><br><span></span><br><span>Best,</span><br><span></span><br><span>Phil</span></div></blockquote></div><br>______________________________<wbr>_________________<br>
Openid-specs-risc mailing list<br>
<a href="mailto:Openid-specs-risc@lists.openid.net" class="cremed">Openid-specs-risc@lists.<wbr>openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-risc" rel="noreferrer" target="_blank" class="cremed">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>risc</a><br>
<br></blockquote></div><br></div></div>