
As an additional datapoint, I know of a large web portal that uses unsolicited positive assertions when linking to partner websites. Unsolicited postive assertions are used to keep the user seamlessly logged in when clicking on links from one domain to another domain.<div>

<br></div><div>This web portal has links to external sites hosted by partners on other domains. A user who is logged into the portal can click on a link from the portal to the partner's site, and automatically be logged in to the partner's domain.<div>

<br></div><div>Interestingly, in some cases, SSO worked in both directions, in what can be described as a dual-IdP setup. The user could also log into the partner's website, and then click on a sponsored link to the portal's site, and automatically be logged into the portal.</div>

<div><br></div><div>In order to prevent session fixation attacks, it would be be a good idea for the RP to bounce the browser back to the IdP to make sure that it's the same browser that clicked on the link.</div><div>

<br></div><div>Allen</div><div><br><div><br></div><div><br><br><div class="gmail_quote">On Tue, Sep 6, 2011 at 10:24 AM, Breno de Medeiros <span dir="ltr"><<a href="mailto:breno@google.com">breno@google.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On Sun, Sep 4, 2011 at 13:45, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>> wrote:<br>


> Yes Microsoft did make use of unsolicited positive assertions for their prototype openID selector.<br>

><br>

> A possible simple way around it would be for the RP to have an endpoint where a intelligent agent could make a request to start a session,  that would allow the RP to provide it's client id for the IdP,  state and nonce.<br>


> Without those a intelligent agent, won't be able to make a OAuth request.<br>

<br>

</div>I think an endpoint for the RP to start the request is a better<br>

approach than unsolicited assertions. It is more likely to be<br>

maintainable. Consider for instance, that RPs may want to request<br>

different attribute sets and that may evolve over time.<br>

<div><div></div><div class="h5"><br>

><br>

> With per IdP client ID and secrets it is a challenge.   You really want global RP identifiers and asymmetric signatures to make a intelligent agent work reliably.<br>

><br>

> John<br>

><br>

> On 2011-09-02, at 2:57 PM, <<a href="mailto:Axel.Nennker@telekom.de">Axel.Nennker@telekom.de</a>> <<a href="mailto:Axel.Nennker@telekom.de">Axel.Nennker@telekom.de</a>> wrote:<br>

><br>

>> This might be usefull for an active client.<br>

>> The ISA initiates the flow and sends the unsolicited positive assertion to the OC.<br>

>><br>

>> What does OpenID Connect have to support intelligent agents?<br>

>><br>

>> -Axel<br>

>><br>

>>> -----Original Message-----<br>

>>> From: <a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a><br>

>>> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf<br>

>>> Of John Bradley<br>

>>> Sent: Thursday, September 01, 2011 11:59 PM<br>

>>> To: <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>

>>> Subject: [Openid-specs-ab] IdP initiated login/ unsolicited<br>

>>> positive assertion.<br>

>>><br>

>>> One issue to think about is that with all of our XSRF<br>

>>> protections we no longer have a way to do IdP initiated login.<br>

>>><br>

>>> It was a feature of openID 2.0 that was almost never used.  I<br>

>>> know that it is used more in SAML SSO.<br>

>>><br>

>>> We could add back the ability to do it by adding a claim to<br>

>>> the id_token if the authorization server is initiating the<br>

>>> login, that way the RP would know that the nonce is IdP generated.<br>

>>><br>

>>> I don't know that the additional complexity and security<br>

>>> issues are worth it.<br>

>>><br>

>>> I thought I would mention it, in case someone cares deeply about it.<br>

>>><br>

>>> John B.<br>

>>><br>

><br>

><br>

</div></div><div class="im">> _______________________________________________<br>

> Openid-specs-ab mailing list<br>

</div><div class="im">> <a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

</div><div class="im">> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

><br>

><br>

<br>

<br>

<br>

</div>--<br>

<font color="#888888">--Breno<br>

</font><div class="im">_______________________________________________<br>

Openid-specs-ab mailing list<br>

</div><div class="im"><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

</div><div><div></div><div class="h5"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

</div></div></blockquote></div><br></div></div></div>