<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

samp

        {mso-style-priority:99;

        font-family:"Courier New";}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I think it would be useful for you to give us several elements of context:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">1.  There was some kind of attack envisioned that led us to have the RP always effectively initiate the login.  What was that attack and how does that attack

 relate to this new functionality?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">2.  What equivalent parameter(s) does SAML use that enable it to have fewer round trips?  Is SAML susceptible to the above attack?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">3.  What’s the rationale for the short expiration time?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openid-specs-ab-bounces@lists.openid.net [mailto:openid-specs-ab-bounces@lists.openid.net]

<b>On Behalf Of </b>John Bradley<br>

<b>Sent:</b> Monday, November 25, 2013 7:58 AM<br>

<b>To:</b> Openid-specs Ab<br>

<b>Subject:</b> [Openid-specs-ab] Login Initiation endpoint.<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">For Core Section 3 I would like to add the following optional parameter to the login initiation endpoint.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal" style="margin-top:6.0pt"><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">id_token<o:p></o:p></span></p>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:24.0pt;margin-bottom:0in;margin-left:.5in;margin-bottom:.0001pt">

<span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">OPTIONAL. If the initiator is the iss then it may include an initial id_token.  The value of exp SHOULD be set to a small value in the range of 5 minutes. <o:p></o:p></span></p>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:24.0pt;margin-bottom:0in;margin-left:.5in;margin-bottom:.0001pt">

<span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">The id_token must contain a valid aud restricting it to the client receiving it.<o:p></o:p></span></p>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:24.0pt;margin-bottom:0in;margin-left:.5in;margin-bottom:.0001pt">

<span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">If the client receives a value for this string-valued parameter, it MUST include it in the subsequent authorization request as the id_token</span><samp><span style="font-size:10.0pt">_hint</span></samp><span style="font-size:10.0pt;font-family:"Verdana","sans-serif""> parameter

 value.<o:p></o:p></span></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:24.0pt;margin-bottom:0in;margin-left:.5in;margin-bottom:.0001pt">

<span style="font-size:10.0pt;font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:24.0pt;margin-bottom:0in;margin-left:.5in;margin-bottom:.0001pt">

<span style="font-size:10.0pt;font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

<div>

<p class="MsoNormal">I have been getting push back from people looking to convert from SAML that Connect forces many more round trips than SAML for doing IdP initiated login.  <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Sending an initial short lived id_token lets the client do the quick customization of the UI that the id_token was intended to enable while allowing the client to get access tokens and a new id_token in the background using prompt=none.

  <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">This also reduces the eventual pressure to add more parameters to the endpoint as the AS can tack on additional claims it needs to maintain state.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I think we did have the id_token as a parameter at wine point then changed it to the login_hint when that was added to make it more general.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I know this is a late addition request.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">John B.<o:p></o:p></p>

</div>

</div>

</body>

</html>