<div dir="ltr"><div><div>I'll take a crack at this, even though I'm probably not the most qualified to do so.  OAuth2 scopes are outside the specification scope of OpenID Connect.<br><br></div>However, section <a href="http://openid.net/specs/openid-connect-core-1_0.html#AdditionalClaims">5.1.2</a> states that you can add any custom claims that you'd like.  Pick a unique name like "mitre_scopes" and add it to your <a href="http://openid.net/specs/openid-connect-discovery-1_0.html#ProviderMetadata">discovery document's</a> <span style="font-family:monospace,monospace">claims_supported</span> property.  Then expose that claim as an array over ID Tokens/UserInfo as normal.<br><br></div>This is non-standard though, so it doesn't fully answer your question.  You might want to take a look at User-Managed Access (UMA) which is a standard way of conveying authorization / access control between many parties.  I'm in my beginning phases of researching UMA, so don't take my advice too heavily.  ;-)<br><div><div><div><div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">Good luck!<br><br></div><div class="gmail_signature">--Cal<br><br></div><div class="gmail_signature">---------------------------------------------------------------<br>Cal Heldenbrand<br>   Web Operations at FBS<br>   Creators of <a href="http://flexmls.com" target="_blank">flexmls</a>® and <a href="http://sparkplatform.com" target="_blank">Spark Platform</a><br>   <a href="mailto:cal@fbsdata.com" target="_blank">cal@fbsdata.com</a></div></div>
<br><div class="gmail_quote">On Mon, Dec 7, 2015 at 4:42 AM, Steve Garing <span dir="ltr"><<a href="mailto:steve.garing@guvera.com" target="_blank">steve.garing@guvera.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div dir="ltr"><div style="font-size:13px">Hi,</div><div style="font-size:13px"><br></div><div style="font-size:13px">Is there a standard way to return the authorities to a client?  I haven’t been able to get the authorities returned via standard functionality in the MITREid Connect project and we’d like the clients to have visibility of a users role to determine some client side functionality.</div><div style="font-size:13px"><br></div><div style="font-size:13px">Would it correct to think that the clients can request and extra scope like ‘authorities’ and then provide the authorities in the id_token and from the userinfo endpoint?</div><div style="font-size:13px"><br></div><div style="font-size:13px">Thanks,</div><div style="font-size:13px">Steve</div></div></div>
</div>
<br>_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@lists.openid.net">general@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-general" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-general</a><br>
<br></blockquote></div><br></div></div></div></div></div></div>