<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Special spec call notes 15-Jun-12<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Special call about syntax for requesting claims in the ID Token<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal">Nov Matake<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal">Justin Richer<o:p></o:p></p>
<p class="MsoNormal">Amanda Anganes<o:p></o:p></p>
<p class="MsoNormal">Sascha Preibisch<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Ryo Ito<o:p></o:p></p>
<p class="MsoNormal">Roland Hedberg<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda:<o:p></o:p></p>
<p class="MsoNormal">               Requesting claims in the ID Token<o:p></o:p></p>
<p class="MsoNormal">               Enabling the use of URIs as OAuth client_id values<o:p></o:p></p>
<p class="MsoNormal">               Call scheduling<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Nat prepared a document with the possible set of choices before the call:<o:p></o:p></p>
<p class="MsoNormal">https://docs.google.com/document/d/1Z2FfbvPm-N3pdrpoWsBrVATz43QbMvLs2y6tdmhUT2Q/edit?pli=1<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">There was significant discussion of the choices, some of which is captured below<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">There is consensus that we need the ability to return claims in the ID Token<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">We already have a means of requesting claims in the ID Token via the OpenID Request Object<o:p></o:p></p>
<p class="MsoNormal">               This wasn't clear to Brian, Justin, and Roland<o:p></o:p></p>
<p class="MsoNormal">               We probably need to add an example<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Brian:    He is displaying scope values to the user for approval<o:p></o:p></p>
<p class="MsoNormal">Nat:       Concurred that IdPs may authorize release of claims based upon scope values<o:p></o:p></p>
<p class="MsoNormal">Brian:    Argued that the openid scope is an authorization for SSO, and so can be approved too<o:p></o:p></p>
<p class="MsoNormal">Justin:    Also said that he's displaying scope-based requests to the user<o:p></o:p></p>
<p class="MsoNormal">Mike:     The openid scope modifies the behavior of the OAuth request as a switch<o:p></o:p></p>
<p class="MsoNormal">Nat:       The claims_in_id_token scope is a pure switch<o:p></o:p></p>
<p class="MsoNormal">Mike:     There is the need to authorize the release of claims not requested by scopes<o:p></o:p></p>
<p class="MsoNormal">Brian:    In some enterprise contexts, consent to release claims is implicit<o:p></o:p></p>
<p class="MsoNormal">Roland: Release of claims should require consent in SAML as well<o:p></o:p></p>
<p class="MsoNormal">               This was discussed in the higher ed community<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Justin:    Putting claims in the ID Token is an advanced use case<o:p></o:p></p>
<p class="MsoNormal">Mike:     Claims in the ID Token is simpler than claims in UserInfo endpoint - UserInfo is the advanced case<o:p></o:p></p>
<p class="MsoNormal">George:               ID Tokens were designed to be small - not all claims are needed for session management<o:p></o:p></p>
<p class="MsoNormal">Mike:     Claims in ID Token may be the primary way requests are made<o:p></o:p></p>
<p class="MsoNormal">Justin:    Mitre plans to use the UserInfo endpoint primarily<o:p></o:p></p>
<p class="MsoNormal">Nov:      Claims in ID Token is not a major use case<o:p></o:p></p>
<p class="MsoNormal">Sascha: Claims in ID Token are designed just for session state<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Nat:       Does returning claims in ID token warrant additional scope values?<o:p></o:p></p>
<p class="MsoNormal">               Most people said "no" based on an IETF-style "hum"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Therefore, we will remove the claims_in_id_token scope value<o:p></o:p></p>
<p class="MsoNormal">               Claims in the ID Token can still be requested using the OpenID Request Object<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">====<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Enabling the use of URIs as OAuth client_id values:<o:p></o:p></p>
<p class="MsoNormal">               Mike:     Raised the issue of including colons in OAuth client_ids<o:p></o:p></p>
<p class="MsoNormal">               Brian:    Agreed that colon should not be disallowed<o:p></o:p></p>
<p class="MsoNormal">               Justin:    Suggested that the client_id always be encoded when using HTTP Basic<o:p></o:p></p>
<p class="MsoNormal">                              He said so on the OAuth list<o:p></o:p></p>
<p class="MsoNormal">               Others also agreed that this is important<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Call scheduling<o:p></o:p></p>
<p class="MsoNormal">               We will move the Thursday call to this time (7am Pacific)<o:p></o:p></p>
<p class="MsoNormal">               This time works better for Europeans and some US East Coast participants<o:p></o:p></p>
</div>
</body>
</html>