
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<!--[if !mso]>

<style>

v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style>

<![endif]-->

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";

        color:black;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;

        color:black;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body bgcolor=white lang=EN-US link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>OpenId already has extensible methods for user-&gt;RP signaling:

it&#8217;s called the XRDS at the vanity URL (or the XRDs returned by XRI

resolution). Its highly extensible.<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>As I indicated to David privately, I don&#8217;t like the idea

much of using the openid itself for signaling. is &nbsp;In general, &nbsp;in

the case of a vanity URI presented to the RP nothing in the spec pre or post

authentication assertion(s) assures the RP that the policy is an accurate

representation of the user&#8217;s desire. I don&#8217;t like using openid&#8217;s

authN protocols aimed at identity claim validation for <b>controlling</b> what

are presented as AuthZ requirements.<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'>


<div>


<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>


<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";

color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:

"Tahoma","sans-serif";color:windowtext'> general-bounces@openid.net

[mailto:general-bounces@openid.net] <b>On Behalf Of </b>Paul Madsen<br>

<b>Sent:</b> Sunday, January 18, 2009 2:42 PM<br>

<b>To:</b> sappenin@gmail.com<br>

<b>Cc:</b> specs@openid.net; general@openid.net List<br>

<b>Subject:</b> Re: [OpenID] New OP-MultiAuth Draft Published<o:p></o:p></span></p>


</div>


</div>


<p class=MsoNormal><o:p>&nbsp;</o:p></p>


<p class=MsoNormal>Hi David, your extension is an authentication policy

declaration from the user to the RP.<br>

<br>

PAPE allows the RP to declare its authentication policy to the OP (and vice

versa).<br>

<br>

I wonder if there is an opportunity for convergence? <br>

<br>

Or at minimum a naming scheme that hilites the commonality ...... UAPE :-)<br>

<br>

paul<br>

<br>

David Fuelling wrote: <o:p></o:p></p>


<p class=MsoNormal>For anyone interested, I've put out a 2nd draft of my

OP-MultiAuth idea.&nbsp; I think the first draft was pretty confusing, so

hopefully this clarifies things a bit more.<br>

<br>

Wiki Page: <a href="http://wiki.openid.net/OP-MultiAuth">http://wiki.openid.net/OP-MultiAuth</a><br>

Actual Draft: <a

href="http://wiki.openid.net/f/openid-provider-multiauth-extension-1_0-2.html">http://wiki.openid.net/f/openid-provider-multiauth-extension-1_0-2.html</a><br>

<br>

In a nutshell, the idea here is to protect end-users against a &quot;rogue

OP&quot; by providing a mechanism for a Claimed Identifier to mandate that an

RP get valid auth assertions from two or more different OP's before giving

access to RP-protected resources.<br>

<br>

Thanks!<br>

<br>

David<br>

<br>

<o:p></o:p></p>


<pre><o:p>&nbsp;</o:p></pre><pre style='text-align:center'>


<hr size=4 width="90%" align=center>


</pre><pre><o:p>&nbsp;</o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>specs mailing list<o:p></o:p></pre><pre><a

href="mailto:specs@openid.net">specs@openid.net</a><o:p></o:p></pre><pre><a

href="http://openid.net/mailman/listinfo/specs">http://openid.net/mailman/listinfo/specs</a><o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre

style='text-align:center'>


<hr size=4 width="90%" align=center>


</pre><pre><o:p>&nbsp;</o:p></pre><pre>No virus found in this incoming message.<o:p></o:p></pre><pre>Checked by AVG. <o:p></o:p></pre><pre>Version: 7.5.552 / Virus Database: 270.10.8/1899 - Release Date: 17/01/2009 5:50 PM<o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre>


<p class=MsoNormal><o:p>&nbsp;</o:p></p>


<div>


<p class=MsoNormal>-- <br>

<span style='font-size:10.0pt'>Paul Madsen<br>

e:paulmadsen @ ntt-at.com<br>

p:613-482-0432<br>

m:613-282-8647<br>

web:connectid.blogspot.com<br>

</span><a href="http://feeds.feedburner.com/%7Er/blogspot/gMwy/%7E6/1"><span

style='text-decoration:none'><img border=0 width=400 height=82 id="_x0000_i1027"

src="cid:image001.gif@01C9798B.C2CF9990" alt=ConnectID></span></a><o:p></o:p></p>


</div>


</div>


</div>


</body>


</html>