<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">+1<div><br></div><div>Exactly group&nbsp;membership&nbsp;is an attribute and you may need to assert&nbsp;multiple&nbsp;ones at the same time.</div><div><br></div><div>I&nbsp;believe&nbsp;the SAML solution to the this is to use a sort of&nbsp;ephemeral&nbsp;for the subject of the&nbsp;assertion. &nbsp;</div><div><br></div><div>For openID the&nbsp;equivalent&nbsp;is not using a identifier at all. &nbsp; The same&nbsp;effect&nbsp;can also be acived with managed &nbsp;info-cards.</div><div><br></div><div>I think overloading the identifier with group meaning is a bad direction.</div><div><br></div><div>You could do it now, &nbsp;by allowing multiple people to assert the same openID but that would cause all sorts of problems for RP's not understanding the&nbsp;difference.</div><div><br></div><div>Keeping it&nbsp;identity-less also allows the&nbsp;assertion&nbsp;to come from a 3rd party.</div><div><br></div><div>The group may be the only one that can say I belong to it. &nbsp;They may have the openID's of there members and make membership&nbsp;assertions&nbsp;on there behalf without being a full IDP. &nbsp;That could be done with AX or oAuth for&nbsp;transferring&nbsp;the attributes.</div><div><br></div><div>John Bradley<br><div><div>On 14-May-09, at 12:17 AM, Andrew Arnott wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">If an RP only needs group membership and no individual identity, then why assert an identifier at all?&nbsp; Use OAuth or identity-less OpenID.&nbsp; I think it would seriously cloud OpenID's Identifiers if an AX attribute that may or may not be noticed or included significantly changes what the identifier's significant meaning is.<br> <br clear="all">--<br>Andrew Arnott<br>"I [may] not agree with what you have to say, but I'll defend to the death your right to say it." - S. G. Tallentyre<br> <br><br><div class="gmail_quote">On Wed, May 13, 2009 at 8:36 PM, SitG Admin <span dir="ltr">&lt;<a href="mailto:sysadmin@shadowsinthegarden.com">sysadmin@shadowsinthegarden.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> <div class="im"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> Attributes like group membership belong in AX, not in the identifier.<br> <br> I suspect the idea is to have a pseudonymous identifier that discloses nothing about the person using it other than the fact that they can assert the same ID each time they return to prevent correlation.<br> </blockquote> <br></div> To further prevent correlation, the OP may wish to support users in authenticating as members of a group - *in such a way* that individual users cannot be distinguished from one another. If not for that, RP's could correlate information over time, establishing theoretical profiles of the users.<br> <br> I think one compromise could be to use a traditional identifier, and then use AX to signal to the RP that the OP might vouch for more than one individual having that URI.<br> <br> -Shade<div><div></div><div class="h5"><br> _______________________________________________<br> specs mailing list<br> <a href="mailto:specs@openid.net" target="_blank">specs@openid.net</a><br> <a href="http://openid.net/mailman/listinfo/specs" target="_blank">http://openid.net/mailman/listinfo/specs</a><br> </div></div></blockquote></div><br></blockquote></div><br></div></body></html>