
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 14 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:Wingdings;


        panose-1:5 0 0 0 0 0 0 0 0 0;}


@font-face


        {font-family:Wingdings;


        panose-1:5 0 0 0 0 0 0 0 0 0;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman","serif";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.MsoAcetate, li.MsoAcetate, div.MsoAcetate


        {mso-style-priority:99;


        mso-style-link:"Balloon Text Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:8.0pt;


        font-family:"Tahoma","sans-serif";}


span.BalloonTextChar


        {mso-style-name:"Balloon Text Char";


        mso-style-priority:99;


        mso-style-link:"Balloon Text";


        font-family:"Tahoma","sans-serif";}


span.EmailStyle19


        {mso-style-type:personal;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


span.EmailStyle20


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I wanted to report to the working group that several representatives from Google spoke with Nat, John, Don, and myself just now and we reached a mutually acceptable


 resolution to this issue.  We also talked about possible future work on giving RPs more information to enable them to do better risk assessments.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Google agreed to always return an auth_time claim value when max_age is used by the RP.  Those of us representing the working group agreed to relax the conformance


 test criteria so that if the auth_time value returned is outside the range expected by the test, that that condition will be treated as a warning rather than an error.  And we will likewise relax the requirement to provide a screen shot of the reauthentication


 to a request that a screen shot be provided if a reauthentication interaction occurred.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">As part of the conversation, we talked about how the industry is moving away from bright-line tests like “is this older than X?” to risk-based models.  Adam


 has ideas about risk signals that could be communicated to RPs to help them with their risk assessments and agreed to write those up as a basis for possible future work.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks to the Google team for this productive conversation.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Openid-specs-ab [mailto:openid-specs-ab-bounces@lists.openid.net]


<b>On Behalf Of </b>Mike Jones<br>


<b>Sent:</b> Friday, March 27, 2015 12:03 PM<br>


<b>To:</b> William Denniss<br>


<b>Cc:</b> Eric Sachs; openid-specs-ab@lists.openid.net; Naveen Agarwal; Don Thibeau<br>


<b>Subject:</b> Re: [Openid-specs-ab] Conformance and Max Auth Age<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I agree with you that returning auth_time “now” is clearly the wrong thing to do unless an authorization occurred now, since it’s inaccurate information.  Returning


 auth_time 0 would deprive the RP of accurate information to use in its risk assessment.  Both the OP and the RP need to do risk assessments in the general case and keeping the RP in the dark isn’t helpful to the identity ecosystem as a whole.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I frankly think that your concern with RP’s suggesting that the person log out and log in before using their service is not well founded.  RPs want users to


 use their services and requiring a terrible user experience (logout/login) isn’t something sane RPs are likely to do.  So my recommendation is “try it”.  For now, return the truth.  If I’m wrong and your worries come to pass and RPs start doing what you don’t


 want them to do, and we can’t talk them out of it, change your implementation later to return 0.  That’s easy to do.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">But start by assuming that RP’s will be reasonable rather than assuming that they are unreasonable.  Users already have a way of punishing apps with terrible


 user experiences – they don’t use them. </span><span style="font-size:11.0pt;font-family:Wingdings;color:#1F497D">J</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Talk to you soon!<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> William Denniss [mailto:wdenniss@google.com]


<br>


<b>Sent:</b> Friday, March 27, 2015 11:49 AM<br>


<b>To:</b> Mike Jones<br>


<b>Cc:</b> Adam Dawes; openid-specs-ab@lists.openid.net; Eric Sachs; Naveen Agarwal; Don Thibeau<br>


<b>Subject:</b> Re: [Openid-specs-ab] Conformance and Max Auth Age<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Hi Mike,<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<div>


<p class="MsoNormal">The concern with sending auth_time to every RP is that it would enable them to tell our users "to use x, please log out first" which is not a UX pattern we endorse, or want to enable (for the same reasons we don't enable blanket reauth).<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">We are not opposed to providing more risk signals to RPs in general, and are working with standards groups on more ways to do this.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">The nice thing about auth_time=0 (for requests passing max_age) is that it could be treated as an explicit signal meaning "the IdP received your request with max_age, but explicitly does not provide this information: act accordingly". 


 This could be more useful than not returning an auth_time at all, which leaves the RP wondering if the IdP doesn't support reauth, or the client was modified. I also feel it is more accurate than always returning an auth_time of "now".<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Am looking forward to discussing this further with you on the call too.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Best,<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">William<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Fri, Mar 27, 2015 at 7:14 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<o:p></o:p></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks William,</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">As a protocol design principle, it’s nearly always better to give parties accurate information and


 let them decide how to act upon it than to withhold the information they might need to make a decision.  The specific application here is that if you can return an accurate auth_time, that gives the RP information it can act upon in its risk engine that it


 otherwise would not have.  That’s far better than returning auth_time=0, which tells the RP that the authentication happened on January 1, 1970.</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">As a practical matter, I suspect more RPs will be happy to continue with the session if the auth_time


 is in the recent past than decades old.  Yes, they’re supposed to validate the auth_time, but it’s up to them what to do if it’s older than they like.  Telling them when it actually happened seems strictly better than withholding this actionable information.</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I’m looking forward to talking later today.</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                                           -- Mike</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> William Denniss [mailto:<a href="mailto:wdenniss@google.com" target="_blank">wdenniss@google.com</a>]


<br>


<b>Sent:</b> Friday, March 27, 2015 3:02 AM<br>


<b>To:</b> Mike Jones<br>


<b>Cc:</b> Adam Dawes; <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">


openid-specs-ab@lists.openid.net</a>; Eric Sachs; Naveen Agarwal; Don Thibeau<br>


<b>Subject:</b> Re: [Openid-specs-ab] Conformance and Max Auth Age</span><o:p></o:p></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hi Mike,<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thank you for raising this in the call, and for your detailed thoughts.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Our team looked into the possibility of always returning the actual <span style="font-family:"Courier New"">auth_time</span> in response to a request with <span style="font-family:"Courier New"">max_age</span> without


 reauthing users (thus not guaranteeing that the <span style="font-family:"Courier New"">auth_time</span> was within the requested range). It's an interesting idea, but we found a potential issue:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">A well implemented OIDC RP using


<span style="font-family:"Courier New"">max_age</span> is told that they SHOULD validate that the


<span style="font-family:"Courier New"">auth_time</span> claim is indeed within the <span style="font-family:"Courier New"">max_age</span> they requested (otherwise they are susceptible to client modification).  If we knowingly return


<span style="font-family:"Courier New"">auth_time</span>s that exceed <span style="font-family:"Courier New"">


max_age</span>, this would result in correctly implemented RPs failing some of the time, potentially with a confusing error message. An RP who expects this behavior may even choose to instruct users to log out explicitly in order to get a more recent


<span style="font-family:"Courier New"">auth_time</span>, which is not a behavior we would like to encourage, as it is even more burdensome to users than a reauth would be.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">The alternative suggestion of returning


<span style="font-family:"Courier New"">auth_time=0</span> in this situation is an interesting prospect, as it would avoid the above issue, while still giving RPs a recovery option if they chose (e.g., to accept IdPs who don't offer reauth).  I'll be covering


 that approach with Breno, Adam and the team on Friday.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Best,<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">William<o:p></o:p></p>


</div>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On Thu, Mar 26, 2015 at 8:48 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<o:p></o:p></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hi Adam and team,</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">We discussed this on the OpenID Connect call this morning.  We didn’t reach any firm conclusions


 yet, in part, because we think some further discussion is needed both with your team and among the working group to arrive at a solution that works well for everyone.</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">John Bradley reminded us of the history of this feature (which actually came from the OpenID 2.0


 PAPE extension).  Some RPs were uncomfortable accepting authentications that might be weeks old and based solely on cookies – which could be the case with Yahoo identities at that time.  The problem is that there’s no assurance that the same user is present. 


 The max_age request and auth_time response are intended to enable RPs to have some assurance that the correct user is likely to be actually present, when there are business reasons to do so.</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">We agreed that that one valid implementation of auth_time is to return the time that the OP last


 was able to somehow validate that the user was present.  This needn’t be a password.  For instance, if you’re on a mobile device, a device unlock event certainly qualifies as proof that the user is present.  If you could return an auth_time value that’s an


 accurate reflection of this when max_age is requested, I know that the working group would be satisfied with that.  Even if the auth_time was older than what was requested by max_age, at least the RP would have accurate information that it could use in its


 own risk assessment.  Without auth_time, the RP really doesn’t have any usable data about when the user was last present.  Could we go that route?</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I’ll note that people also made the point that device reauthentication is different than user reauthentication. 


 For instance, just because the connection remains on the same IP address with the same cookies, that’s a clear indication that the device is the same, but it’s not a good indication that the same user is present.  Therefore, those in the discussion weren’t


 comfortable with a device reauthentication time being returned as auth_time.  Whereas, if a user unlocked their phone, that’s user authentication – not device authentication.</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">In closing, there’s a tension between defending the OP from RPs trying to always force re-logins,


 which I think none of us want, and giving the RP actionable information about when the user was last known to be actually present, which we suspect all of us want.  What are your thoughts?</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Adam Dawes [mailto:<a href="mailto:adawes@google.com" target="_blank">adawes@google.com</a>]


<br>


<b>Sent:</b> Thursday, March 26, 2015 12:53 AM<br>


<b>To:</b> Mike Jones<br>


<b>Cc:</b> Don Thibeau; Naveen Agarwal; William Denniss; Breno de Medeiros; John Bradley; Eric Sachs<br>


<b>Subject:</b> Conformance and Max Auth Age</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hi Mike,<o:p></o:p></p>


<div>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">We're burning down the list of remaining OIDC conformance issues, this is one of the remaining sticking points for us.</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">As an IdP, we have strong opinions on forcing users to re-authenticate, in that it should be avoided unless needed. We have a sophisticated risk engine


 to detect situations where reauthentication is needed, which takes into account a number of different factors related to each user's unique situation (for example, a 2SV user using their browser from a new location will likely need to reauth).</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">We don't want to hand the session quality decision process over to RPs in the form of a one-size-fits-all method like "max_age", for fear that every


 RP will start adding "max_age=1" in a misguided attempt to improve security. We're also concerned about training users that they should enter their password every time they visit a site, for fear this will make it easier to phish them.</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">On mobile in particular, Max Auth Age is problematic. For "passwordless mobile accounts" like Yahoo just launched, reauthenticating the user with a


 password isn't really possible (except to the extent that you're creating a circular loop of receiving the OTP on the same device where you're reauthing). </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">Currently, we don't honor max_age and don't return an auth_time claim. This is how we would like to move forward, we won't error the OIDC request if


 max_age is present, but we won't reauth, and won't return the auth_time claim. The RP can look for the absence of auth_time and act accordingly (including, not using Google as an IdP).</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">The test in question is "OP-IDToken-max_age=1", specifically the "ID Token has auth_time claim when max_age in request" feature. Our wish is to certify


 as conformant without supporting that feature.</span><o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">We've brainstormed a number of approaches. Ultimately, we think the cleanest would be to just drop the test from the conformance suite. Alternatively,


 we're prepared to return an auth_time based on the last check of our risk system, but not necessarily prompting a reauth action for the user. This might allow us to pass the current test but may not meet with the expectations of RPs. </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">Happy to get on a call to discuss ways that we can find a resolution to this. Obviously, we very much want to support the standard and conformance


 launch but we're not prepared to give RPs the ability to call for password checks at their own whim.</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt"> </span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">thanks,</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:9.5pt">AD</span><o:p></o:p></p>


</div>


</div>


</div>


</div>


</div>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><br>


_______________________________________________<br>


Openid-specs-ab mailing list<br>


<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>


<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>


</div>


</div>


</div>


</div>


</div>


</div>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</body>


</html>