<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

tt

        {mso-style-priority:99;

        font-family:"Courier New";}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I think the “MUST” in the login_hint language below is confusing.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If we don’t require that the issuer be specified, we have to say how to figure out what it is.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I guess  part of the confusion is what this is for.  I’d thought that it was “please log this user in at this IdP”.  If we make everything optional it becomes

 something closer to “please have the user log at your RP”.  Before revising the text, we probably want to be clear among ourselves what it’s trying to accomplish.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openid-specs-ab-bounces@lists.openid.net [mailto:openid-specs-ab-bounces@lists.openid.net]

<b>On Behalf Of </b>John Bradley<br>

<b>Sent:</b> Thursday, June 20, 2013 8:20 AM<br>

<b>To:</b> Nat Sakimura<br>

<b>Cc:</b> <openid-specs-ab@lists.openid.net><br>

<b>Subject:</b> Re: [Openid-specs-ab] login_hint for Initiating Login at Client from Third Party<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I think Mike argued that iss be REQUIRED to avoid the client doing discovery.<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Perhaps for login_hint <span style="font-family:"Verdana","sans-serif"">OPTIONAL. A string that the client MUST send as login_hint parameter value of the authorization request if present.</span><o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<p class="MsoNormal">On 2013-06-20, at 11:11 AM, Nat Sakimura <<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>> wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<div>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">What about this? <o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">login_hint<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Verdana","sans-serif"">OPTIONAL. A string that the client MUST send as login_hint parameter value of the authorization request.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">iss<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Verdana","sans-serif"">OPTIONAL. Issuer Identifier for the Issuer that the Client is to send the authentication request to. Its value MUST be a URL using the </span><tt><span style="font-size:10.0pt;color:#003366">https </span></tt><span style="font-family:"Verdana","sans-serif"">scheme.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">target_link_uri<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Verdana","sans-serif"">OPTIONAL. URI of the target resource. After receiving a positive authorization response, the Client SHOULD redirect the user-agent to this URI. Clients MUST verify

 the value of the </span><tt><span style="font-size:10.0pt;color:#003366">target_link_uri</span></tt><span style="font-family:"Verdana","sans-serif""> to prevent it being used as an open redirector to external sites.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">2013/6/20 Brian Campbell <<a href="mailto:bcampbell@pingidentity.com" target="_blank">bcampbell@pingidentity.com</a>><o:p></o:p></p>

<div>

<div>

<p class="MsoNormal">The text says login_hint is required but then ends the description with "(if necessary)" which reads kind of awkwardly (to me anyway).<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Also it says it's a "hint to the Authorization Server" but this section is defining a client endpoint. Shouldn't it say what the client is supposed to do with it? I presume it should just pass it along verbatim to the AS using the parameter

 of the same name. But the text here should probably say as much, no? <o:p></o:p></p>

<p>And why is login_hint required? It seems quite possible that the AS or other party (a static HTML page of links, for example) wouldn't know enough to populate that field at the point of sending a  Login Initiation Request.

<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">from <a href="http://openid.net/specs/openid-connect-standard-1_0-21.html#client_Initiate_login" target="_blank">

http://openid.net/specs/openid-connect-standard-1_0-21.html#client_Initiate_login</a><o:p></o:p></p>

<p class="MsoNormal">"login_hint<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in">REQUIRED. Hint to the Authorization Server about the login identifier the End-User might use to log in (if necessary)."<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<o:p></o:p></p>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>