
<div dir="ltr"><br clear="all"><div><p class="MsoNormal"><span lang="EN-US">Session Management discussion at EIC. </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">The "Note Well" was sited before

starting the session at 12:15. </span></p>


<p class="MsoNormal"><span lang="EN-US">Mike explained the pros and cons of the

three approaches: </span></p>


<p class="MsoNormal" style="margin-left:42pt"><span lang="EN-US">#1.<span style="font-size:7pt;font-family:'Times New Roman'">  

</span></span><span lang="EN-US">postMessage 0</span></p>


<p class="MsoNormal" style="margin-left:42pt"><span lang="EN-US">#2.<span style="font-size:7pt;font-family:'Times New Roman'">  

</span></span><span lang="EN-US">image/iframe GETs 8</span></p>


<p class="MsoNormal" style="margin-left:42pt"><span lang="EN-US">#3.<span style="font-size:7pt;font-family:'Times New Roman'">  

</span></span><span lang="EN-US">backchannel 11</span></p>


<p class="MsoNormal"><span lang="EN-US">Then, wento on to ask the questions to the

room: </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Q1. If you have only one of the below,

which one would you choose? </span></p>


<p class="" style="margin-left:42pt"><span lang="EN-US">#1.<span style="font-size:7pt;font-family:'Times New Roman'">  

</span></span><span lang="EN-US">postMessage 0</span></p>


<p class="" style="margin-left:42pt"><span lang="EN-US">#2.<span style="font-size:7pt;font-family:'Times New Roman'">  

</span></span><span lang="EN-US">image/iframe GETs 8</span></p>


<p class="" style="margin-left:42pt"><span lang="EN-US">#3.<span style="font-size:7pt;font-family:'Times New Roman'">  

</span></span><span lang="EN-US">backchannel 11</span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Reasons for preferring #3 : Backchannel: </span></p>


<p class="" style="margin-left:21pt"><span lang="EN-US" style="font-family:Wingdings">l<span style="font-size:7pt;font-family:'Times New Roman'">  </span></span><span lang="EN-US">Only the mechanism to guarantee the logout. </span></p>


<p class="" style="margin-left:21pt"><span lang="EN-US" style="font-family:Wingdings">l<span style="font-size:7pt;font-family:'Times New Roman'">  </span></span><span lang="EN-US">Session sync between IdP and SP possible only in this. </span></p>


<p class="" style="margin-left:21pt"><span lang="EN-US" style="font-family:Wingdings">l<span style="font-size:7pt;font-family:'Times New Roman'">  </span></span><span lang="EN-US">Can administratively logout users from SP. </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Reasons for preferring #2: image/iframe

GETs. </span></p>


<p class="" style="margin-left:21pt"><span lang="EN-US" style="font-family:Wingdings">l<span style="font-size:7pt;font-family:'Times New Roman'">  </span></span><span lang="EN-US">Cheapest option. Backchannel requires change in the SPs, and

implement it correctly can be hard. </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">To find out why there were nobody who

preferred #1, John Bradley asked the room: </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Q. Is there anybody who supports AJAX

client? </span></p>


<p class="MsoNormal"><span lang="EN-US">Only 1. </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Then, it was pointed out from the floor

that approach #1 requires all the clients to have the code and excludes the

possibility of having another security layer such as a proxy. </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">One "Con" of the Backchannel

method was sited after the session was over: </span></p>


<p class="MsoNormal"><span lang="EN-US">If the SP is not directly reachable from

the IdP, it does not work. </span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div>