
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<base href="x-msg://400/"><style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.apple-style-span

        {mso-style-name:apple-style-span;}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This is just a very fragile

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> John Bradley [mailto:ve7jtb@ve7jtb.com]

<br>

<b>Sent:</b> Thursday, August 18, 2011 10:14 AM<br>

<b>To:</b> Anthony Nadalin<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] Lite Draft 8<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">To this point in OAuth  groups of resources/attributes are defined by scopes,  and users approve or deny a scope.  <o:p></o:p></p>

<div>

<p class="MsoNormal">An example of this is the Facebook Graph API.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">With a single scope then IdP would have to ask users for permission to share email and address at every site even if they don't want it.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Without a way to only request the identifier the GSA probably will not approve a profile of Connect.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">So we can make a single scope for all the attributes, but then we need to invent some way to signal that the RP docent want the attributes it is asking for in the default scope.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">I think that is more complicated.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">We do have a way in the full spec to ask for specific claims, but that only adds to the ones requested by the scopes.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">John<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal">On 2011-08-18, at 12:50 PM, Anthony Nadalin wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Wouldn’t/couldn’t that be part of the user consent for a fixed scema?</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in;border-width:initial;border-color:initial">

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span class="apple-converted-space"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> </span></span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">John

 Bradley <a href="mailto:[mailto:ve7jtb@ve7jtb.com]">[mailto:ve7jtb@ve7jtb.com]</a><span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Wednesday, August 17, 2011 5:20 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>Anthony Nadalin<br>

<b>Cc:</b><span class="apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>Re: [Openid-specs-ab] Lite Draft 8</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Yes but the question is how you ask for authorization.<o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">If there is only one scope then you can't ask for a subset.  At least Facebook dosen't want to give email by default.  <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">I suspect that you are not arguing agains privacy, or consent.  So perhaps I am not understanding the question.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Are you asking for a single scope called openid that provides a id_token for the session info and an access token scoped for all of the users available attributes?<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">The current proposal is 4 scopes so that a RP just wanting to do SSO doesn't need to ask for permission to get the users name.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">openID = User ID<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">email  = email<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">address = address<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">profile = all remaining default attributes.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">I think for interoperability we have to say something about the scopes for the user-info endpoint.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">John<o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<div>

<p class="MsoNormal">On 2011-08-17, at 1:28 PM, Anthony Nadalin wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"><br>

<br>

<br>

<o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">So why would you have to give back all the information? You get back all or any portion that you are authorized to access</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div style="border:none;border-top:solid windowtext 3.0pt;padding:3.0pt 0in 0in 0in;border-width:initial;border-color:initial;border-width:initial;border-color:initial">

<div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span class="apple-converted-space"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> </span></span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">John

 Bradley<span class="apple-converted-space"> </span><a href="mailto:[mailto:ve7jtb@ve7jtb.com]">[mailto:ve7jtb@ve7jtb.com]</a><span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Tuesday, August 16, 2011 4:41 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>Anthony Nadalin<br>

<b>Cc:</b><span class="apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>Re: [Openid-specs-ab] Lite Draft 8</span><o:p></o:p></p>

</div>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">From a privacy point of view giving all of the information in the user-info endpoint all the time with only a single scope is not ideal.  <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">Mike wanted to do that but have additional negative scope so that you could say you don't want things, but have the default be the common case.  <o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">This still requires defining multiple scopes.<o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">We could just make openid the scope for the id_token.  However that makes interoperability for the user-info endpoint worse than AX if that is possible.<o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">I wouldn't want to get rid of nonce or state for security reasons.  We could make those required for the profile and ditch prompt and display.<o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">Other opinions?<o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<div>

<p class="MsoNormal">On 2011-08-16, at 7:03 PM, Anthony Nadalin wrote:<o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><br>

<br>

<br>

<br>

<o:p></o:p></p>

</div>

</div>

<div>

<div style="margin-left:.5in">

<div>

<div>

<p class="MsoNormal" style="text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">1.</span><span style="font-size:7.0pt">      <span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">3.1

 Why is there any scope beyond “openid”, is this spec going to be continually updated whenever a new scope is added/changed, seems like a bad idea to have additional scopes in the spec</span><o:p></o:p></p>

</div>

</div>

</div>

<div style="margin-left:.5in">

<div>

<div>

<p class="MsoNormal" style="text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">2.</span><span style="font-size:7.0pt">      <span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">3.2.1

 Why have optional parameters, this should be basic (code and go)</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:13.5pt;font-family:"Helvetica","sans-serif"">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></span><o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>