
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#002060;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">I also agree that we should use a format with a single identifier, rather than multiple identifiers.  And that identifier should be a URI.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                                -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openid-specs-ab-bounces@lists.openid.net [mailto:openid-specs-ab-bounces@lists.openid.net]

<b>On Behalf Of </b>John Bradley<br>

<b>Sent:</b> Friday, January 07, 2011 7:56 AM<br>

<b>To:</b> Nat Sakimura<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] userid/domain/server_id<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">An example would be Equifax issuing a JWT with a subject that is an ID issued by Google.<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">In one of the recent connect proposals the subject was a combination of the local userID and the serverID.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">That works until you want a third party to say something about the subject and the servierID changes.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">We could have two different identifier formats, but that would be confusing.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">I think it is better to have a fully qualified identifier and a separate serverID.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">In the simple verification case the RP needs to check that the server part of the subject matches the serverID.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">One of the other reasons for separating protocol endpoints from names is scaling.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">We are likely to see deployments covering perhaps hundreds of Millions of users.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">In those cases having multiple endpoints for the same logical name is a nice feature.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">The problem is that the trust model of checking the host name for the SSL connection potentially breaks.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">I understand the desire for RP simplicity.   We should think through the issue.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">John B.<o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">On 2011-01-07, at 5:07 AM, Nat Sakimura wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<p class="MsoNormal">I had a talk with JohnB. this morning. <o:p></o:p></p>

<div>

<p class="MsoNormal">Considering third party claims provider use case, it is handy to have a globally unique user identifier. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">There are two ways of doing it. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">1. Use the complex type identifier. e.g., treat the combination of the user_id and server_id/domain as the user identifier. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">2. Pre-combine the two such as user_id@server_id OR urn:server_id/user_id etc. <br clear="all">

<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">John's preference was option 2. above. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Also, we have talked a little bit over the domain transition use cases. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">From time to time, the domain get switched. e.g., <a href="http://facebook.com/">

facebook.com</a> to <a href="http://fb.com/">fb.com</a> etc. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">To be insulated from it, it may be wise to use an abstract server_id instead of the domain. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">(It certainly is the case for relying parties when PPID is being used.) <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Should we consider this? OR should we stick with the domain? <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Note: If we are to use an abstract server_id, verification will probably require signature verification. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<br>

<a href="http://www.sakimura.org/en/">http://www.sakimura.org/en/</a><br>

<a href="http://twitter.com/_nat_en">http://twitter.com/_nat_en</a><o:p></o:p></p>

</div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>