<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
there are telco use cases where a family member, by dint only of&nbsp;
'subscriber authentication' to the IDP/OP, is able to access shared
resources (e.g. family calendar) at an SP/RP. <br>
<br>
Unlike in Chris's academia case the OP/IDP is itself unable to
distinguish a particular user from amongst other group members based on
this sort of authentication.<br>
<br>
To allow the SP to indicate&nbsp; back to the IDP that it needed a user
authenticated as an individual (to allow for instance the RP to show
calendar events associated with the user and not shared amongst the
group) in SAML we defined an extension to Authn Context to distinguish
between such shared credentials and those that are unique to a single
user. <br>
<br>
<a class="moz-txt-link-freetext" href="http://docs.oasis-open.org/security/saml/SpecDrafts-Post2.0/sstc-saml-context-ext-sc-cd-03.pdf">http://docs.oasis-open.org/security/saml/SpecDrafts-Post2.0/sstc-saml-context-ext-sc-cd-03.pdf</a><br>
<br>
paul<br>
<br>
Chris Messina wrote:
<blockquote
 cite="mid:1bc4603e0905120250v4f500170s36fe88b3bb88c237@mail.gmail.com"
 type="cite">
  <div class="gmail_quote">On Tue, May 12, 2009 at 10:55 AM, Dick Hardt
  <span dir="ltr">&lt;<a moz-do-not-send="true"
 href="mailto:dick.hardt@gmail.com">dick.hardt@gmail.com</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
    <div class="im"><br>
On 12-May-09, at 1:36 AM, Nat Sakimura wrote:<br>
    <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
      <br>
Reason for using RP's Subject in XRD instead of simply using realm is<br>
to allow for something like group identifier.<br>
    </blockquote>
    <br>
    </div>
would you elaborate on the group identifier concept?</blockquote>
  <div><br>
  </div>
  <div>I'm not sure what Nat is specifically referring to, but there
was a US academic institution that provided OpenIDs for "classes" of
people... i.e. students, teachers, etc.</div>
  <div><br>
  </div>
  <div>When you signed in for certain application, the OP would respond
with the appropriate identifier for a class of users.</div>
  <div><br>
  </div>
  <div>So, imagine I use directed identity in a school application...
when I sign in to the OP, it will return something like <a
 moz-do-not-send="true" href="http://schoolname.edu/student">schoolname.edu/student</a>
as the identifier.</div>
  <div><br>
  </div>
  <div>You could imagine something similar where you could use
authentication as a way to verify that someone comes from some
geographic region or has previously registered for certain entitlements.</div>
  </div>
  <div><br>
  </div>
Chris<br clear="all">
  <br>
-- <br>
Chris Messina<br>
Open Web Advocate<br>
  <br>
  <a moz-do-not-send="true" href="http://factoryjoe.com">factoryjoe.com</a>
// <a moz-do-not-send="true" href="http://diso-project.org">diso-project.org</a>
// <a moz-do-not-send="true" href="http://openid.net">openid.net</a>
// <a moz-do-not-send="true" href="http://vidoop.com">vidoop.com</a><br>
This email is: &nbsp; [ ] bloggable &nbsp; &nbsp;[X] ask first &nbsp; [ ] private<br>
  <pre wrap="">
<hr size="4" width="90%">
_______________________________________________
specs mailing list
<a class="moz-txt-link-abbreviated" href="mailto:specs@openid.net">specs@openid.net</a>
<a class="moz-txt-link-freetext" href="http://openid.net/mailman/listinfo/specs">http://openid.net/mailman/listinfo/specs</a>
  </pre>
</blockquote>
</body>
</html>