<div dir="ltr">Hi. <div><br></div><div>I have pushed a new version of OpenID 2.0 to Connect Migration spec draft. </div><div><br></div><div>Fixed some errors and added the difference between this spec and Google's guide. </div>
<div><br></div><div>You can find the HTML version here: </div><div><a href="http://openid.bitbucket.org/openid-connect-migration-1_0.html">http://openid.bitbucket.org/openid-connect-migration-1_0.html</a></div><div><br></div>
<div>While we have discussed it a bit in the WG call and the people who were calling in agreed to align some of the variable names with Google's, I have not applied them yet to allow more people to chime in. One of the thing that I noticed after the call is that during the call, while we said that these OpenID 2.0 related claims will go away soon, it actually may not. OpenID 2.0 OP could go away soon, but IdPs may need to keep those claims for a longer time to allow RPs' users to fully migrate. So, using claim names like "openid_id" for OpenID 2.0 identifier may be misleading. </div>
<div><br></div><div>I am not particularly attached to eitherway, but I have kept the difference for the time being to call out the discussion around it. </div><div><br></div><div>The Appendix C lists these differences/discussion points, and I am copying it here as well: </div>
<div><br></div><div><h3 style="font-family:helvetica,monaco,'MS Sans Serif',arial,sans-serif;color:rgb(51,51,51);background-color:transparent">Appendix C.  Difference to Google’s migration guide as of June 3, 2014</h3>
<p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">In this appendix, the differences between this spec and the Google’s migration guide as of June 3, 2014 is expalined. The differences are categorized in accordance with the section number of this specification. Google's migration guide is available at <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace"><a href="https://developers.google.com/accounts/docs/OpenID#openid-connect">https://developers.google.com/accounts/docs/OpenID#openid-connect</a></tt> . These differences should be discussed and determined whether it should be aligned with the Google's guide before finalizing this specification.</p>
<p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"><em><b>3. Requesting the OpenID 2.0 Identifier and Connect iss/sub pair together</b></em></p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">
Google uses <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid.realm</tt> instead. Since OpenID Connect uses param_name style instead of <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace"><a href="http://param.name">param.name</a></tt>, as well as the name <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid.realm</tt> may mislead the user that it is a Connect parameter proper, it has been changed to <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid2_realm</tt>.</p>
<p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">Google uses the existence of openid.realm parameter to switch the behavior at the Connect OP. New scope value <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid2</tt> has been introduced in this spec to make it more explicit and semantically in-line that it is asking for a resource.</p>
<p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"><em><b>4. Verification of the Relying Party by the OP</b></em></p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">
Google does not perform RP verification.</p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"><em><b>5. Returning OpenID 2.0 Identifier</b></em></p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">
Google uses <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid_id</tt> instead of <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid2_id</tt> . It was changed to <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid2_id</tt> because <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid_id</tt> may cause confusion among people that it is the Connect identifier. Since this spec allows providing <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">openid2_id</tt> even after the OpenID 2.0 OP has been taken down, this claim may persists much longer than the OpenID 2.0 OP. Thus, the chance of confusion should be minimized.</p>
<p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">Google does not take care of XRI while this standard does.</p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">
<em><b>6. Verification of the authority</b></em></p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">Google does not perform authority verification.</p><div>
<br></div><a name="Notices" style="font-weight:bold;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"></a></div><div>Otherwise, I feel that we are in a pretty good shape, so that as soon as we settle on these issues, we can go to the implementer's draft vote. </div>
<div><br></div><div><br></div><div>Best, <br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div></div>