
Interesting. <div><br></div><div>Perhaps we can define something that request anonymous or ephemeral user_id, which will be different for every authentication request. </div><div>I suppose using "acr" would be good. We have defined 1,2,3,4, and will be registered to IANA registry. Perhaps defining "anonymous" to the registry would also be good. </div>

<div><br></div><div>Having said that: unless the user has explicitly opted out from cookie, the RP can actually track the user pretty much on the device. </div><div>And, even if the RP does not use cookie, a browser typically has 11bits or so of entropy, so it still can track the user pretty much. </div>

<div>Relying just on technology may be a bit misleading in this sense as it may create a false impression of being not tracked. </div><div><br></div><div>Nat</div><div><br></div><div><br><div class="gmail_quote">On Sat, Dec 1, 2012 at 1:19 AM, Torsten Lodderstedt <span dir="ltr"><<a href="mailto:torsten@lodderstedt.net" target="_blank">torsten@lodderstedt.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">We don't want the RP to track the user. So we would need to issue different user_id for every request. But I don't think is fit into the Connect philosophy.<br>


<br>

regards,<br>

Torsten.<br>

<br>

Am 30.11.2012 17:11, schrieb Justin Richer:<div class="HOEnZb"><div class="h5"><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Would using pairwise identifiers make this work?<br>

<br>

 -- Justin<br>

<br>

On 11/30/2012 11:09 AM, Torsten Lodderstedt wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi,<br>

<br>

in some cases we want to provide RPs with attributes but no user_id, which is similar to AX. How can this be realized in Connect? The scope value "openid" activates the OpenID mode at the AS but it also requests access to the user_id Claim. If we do not want to disclose a user_id, does this mean we need to define a new, distinct scope for our use case, e.g. "attribute_x"?<br>


<br>

regards,<br>

Torsten.<br>

______________________________<u></u>_________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<u></u>net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<u></u>mailman/listinfo/openid-specs-<u></u>ab</a><br>

</blockquote></blockquote>

<br>

______________________________<u></u>_________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<u></u>net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<u></u>mailman/listinfo/openid-specs-<u></u>ab</a><br>

</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

<br>

</div>