
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle19

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

span.EmailStyle20

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.EmailStyle21

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.EmailStyle22

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.EmailStyle23

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal"><span style="color:#1F497D">We’ll try to discuss this on today’s working group call.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">                                                                -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Raneses, Jason [mailto:Jason.Raneses@fnf.com]

<br>

<b>Sent:</b> Monday, January 28, 2013 12:42 PM<br>

<b>To:</b> Mike Jones<br>

<b>Subject:</b> RE: OpenID Connect + Resource Owner Password Credentials Flow<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="color:#1F497D">Thanks for getting back to me Mike.  I actually submitted the IPR electronically on January 7<sup>th</sup>, so I’m not sure what happened there.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">Section 2.2 of the standard specification states:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">“Authorization Requests follow two main paths to obtain Access Tokens and ID Tokens, the Implicit Flow and the Authorization Code Flow. The flows determine how the Access Token and ID Token are returned to the

 Client.”<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">It goes on to describe the two aforementioned flows and their usage, but makes no mention that the Resource Owner Password Credentials flow should be considered a valid option.  I guess in stating that authorization

 requests follow “two main paths”, you could infer that alternative flows are also allowed, but a minor language change that makes it more explicit would be beneficial.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">Jason<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> Mike Jones [<a href="mailto:Michael.Jones@microsoft.com">mailto:Michael.Jones@microsoft.com</a>]

<br>

<b>Sent:</b> Friday, January 25, 2013 11:20 AM<br>

<b>To:</b> Raneses, Jason<br>

<b>Subject:</b> RE: OpenID Connect + Resource Owner Password Credentials Flow<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="color:#1F497D">Hi Jason,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">Sorry for the delayed reply – I just saw this note.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">I don’t believe that we intend to require support for the Resource Owner Password Credentials Flow at present, but we also are trying not to preclude the use of other flows, if desired.  If you think there’s

 language we should change that currently precludes using this flow, by all means, please let us know.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">If you're going to post to the working group mailing list, you'll need to submit an IPR agreement for the working group.  See the Participation section of

<a href="http://openid.net/connect/">http://openid.net/connect/</a> on how to do that.  That’s why your note went into moderation.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">                                                            Best wishes,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Raneses, Jason [<a href="mailto:Jason.Raneses@fnf.com">mailto:Jason.Raneses@fnf.com</a>]

<br>

<b>Sent:</b> Tuesday, January 22, 2013 7:17 AM<br>

<b>To:</b> Mike Jones<br>

<b>Subject:</b> FW: OpenID Connect + Resource Owner Password Credentials Flow<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="color:#1F497D">Mike,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">Would you mind taking a look at the below question when you have a chance?  I’ve submitted it to the list on two occasions, but it’s gone to moderation without a response as of yet.  I’d appreciate any insight

 you can provide.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">Thanks,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D">Jason<o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> Raneses, Jason <br>

<b>Sent:</b> Friday, January 18, 2013 3:14 PM<br>

<b>To:</b> 'openid-specs-ab@lists.openid.net'<br>

<b>Subject:</b> OpenID Connect + Resource Owner Password Credentials Flow<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Section 2.2 of the current standard draft defines two OAuth 2.0 protocol flows for use with OpenID Connect, Authorization Code and Implicit.  Are there any plans to include the Resource Owner Password Credentials grant type (<a href="http://tools.ietf.org/html/rfc6749#section-1.3.3">http://tools.ietf.org/html/rfc6749#section-1.3.3</a>)

 in later drafts?  We would like to support that as part of an upcoming provider implementation.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Best Regards,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Jason Raneses<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Principal Software Architect<o:p></o:p></p>

<p class="MsoNormal">Fidelity National Financial<o:p></o:p></p>

</div>

</body>

</html>