<div dir="ltr"><div style>I suppose you mean amr, not acm. </div><div><br></div>I actually was not aware of amr till now. It seems it was a fairly quick decision made between March 4 and 6. <div style>See <a href="https://bitbucket.org/openid/connect/issue/789/make-acr-claim-values-be-arrays-of-acr">https://bitbucket.org/openid/connect/issue/789/make-acr-claim-values-be-arrays-of-acr</a></div>
<div style>At the time, I was so busy managing JICS 2013, so it went unnoticed for me. </div><div style>I also searched through the list archive, but I cannot find the topic in it. There is no record of the decision on the call notes either. </div>
<div style><br></div><div style>Mike, could you point us to the record how the WG decision was reached? </div><div style><br></div><div style>Apparently, amr is the list of authentication methods, while acr is the indicator of the identity proofing and authentication quality. </div>
<div style>i.e., amr is just the list of such things like "password", "otp", etc. while acr is "InCommons Silver", "ISO29115 LoA 3", etc. </div><div style><br></div><div style>Personally, I do not see much value in amr since it does not indicate any quality information. It may even be harmful when used without context in the sense that it may create sense of false security to the relying parties. For example, "otp" by itself does not mean it is secure. An OTP system with badly managed seed will generate a predictable sequence of "one time passwords", which is not secure at all. It would only be meaningful when there is an assurance that the system is properly managed. In this respect, amr may be meaningful as an auxiliary information only when it is used with acr, where acr gives more context to the values of acr. </div>
<div style><br></div><div style>I might want to require acr if amr is used, or drop amr, but that is only my personal opinion. </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/6/1 Torsten Lodderstedt <span dir="ltr"><<a href="mailto:torsten@lodderstedt.net" target="_blank">torsten@lodderstedt.net</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
could someone please describe me the difference between the id token members acr and acm? From my understanding, they are just the same. I'm also interested to learn why the authorization request allows to specify multiple acrs but does not support to specify any authentication method (via acm). Additionally, why is there no way to indicate more than one acr in the id token?<br>

<br>
Thanks in advance,<br>
Torsten.<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div>