
<div dir="ltr">From one of our engineers:<div><br></div><div><div dir="ltr" style="font-size:12.8px">AFAIU, the only case where "azp" is different from "aud" is Android cross-client ID token.<div>In that case, the azp is the ID token requestor, which is the Android app, and the audience is the app's home server, for which the ID token is intended.</div><div>Unfortunately, this underlying protocol is not standard OAuth2 or OIDC. I'm not sure we want to publicly document the protocol traces.</div></div><div class="yj6qo ajU" style="font-size:12.8px"></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 19, 2015 at 12:16 PM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal">Hi Googlers,<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">It would be hugely useful if you could capture protocol traces that demonstrate how Google actually uses the “azp” claim in cases where the “azp” and “aud” values differ.  Ideally, I'd like to see actual protocol traces, including the Authentication

 Request, the Authentication Response, and both directions of any the communication between the Client that made the request to the OP and any other Clients that it also sends the resulting token(s) to. Among other things, that would also answer OAuth-y questions

 like which Client ID is being used for client authentication to the OP when more than one client is involved.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">The Connect text about “azp” is currently both ambiguous and contradictory.  This data would be of a huge help to us for sorting this out during the current errata round.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">                                                                Thanks a bunch,<u></u><u></u></p>

<p class="MsoNormal">                                                                -- Mike<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>


<br>_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

<br></blockquote></div><br></div>