<div dir="ltr"><div>Adding <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a> on this discussion about the sid/sub values with regards to logout tokens.</div><div><br class="gmail-gmail-gmail-Apple-interchange-newline">On Fri, Apr 8, 2016 at 12:07 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word">In a diffrent conversation we were discussing ephemeral subjects.<div><br></div><div>Thinking about it sid is effectively the ephemeral subject value.  </div></div></blockquote><div> </div><div>If the original id token asserts the sid as the sub, then that makes sense.<div><br></div><div>Perhaps the two claims could be equal for those cases.</div></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word"><div></div><div>A note to AS that SID values should not collide with pairwise or public subjects may be useful/</div></div></blockquote><div><br></div></div><div>If we keep sub as a MUST, then this would have to be the case, but probably worth pointing out again.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 8, 2016 at 12:11 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word">Yes we can move the discussion to the list.<div><br></div><div>My concern is that we have sub as required.</div><div><br></div><div>Optional is fine as long as clients understand they cannot scope sid by subject to look it up.</div><span class="gmail-gmail-gmail-gmail-HOEnZb"><font color="#888888"><div><br></div></font></span><div><span class="gmail-gmail-gmail-gmail-HOEnZb"><font color="#888888">John </font></span><div><div class="gmail-gmail-gmail-gmail-h5"><br><div><blockquote type="cite"><div>On Apr 8, 2016, at 12:06 PM, William Denniss <<a href="mailto:wdenniss@google.com">wdenniss@google.com</a>> wrote:</div><br><div><div dir="ltr">While per the JWT spec, 'sub' is designed to be used in this manner and it conceptually makes sense for the sub to be the session-id, I think it will create implementation complexity for two reasons:<div><br></div><div>1) Connect defines sub as "<span style="font-family:verdana,charcoal,helvetica,arial,sans-serif">Subject - Identifier for the End-User at the Issuer." </span>which is really a more specific definition than JWT.<div><br></div><div>I think it will be confusing in the Connect family of specs to use 'sub' to mean something other than  "user id" (be it global, pairwise, or anonymous).</div><div><br></div><div>2) Having some tokens with sub = userid, and sid = session id, and others with just sub is confusing.</div><div><br></div><div>My preference would be to always send 'sid' in the same way, and make 'sub' OPTIONAL (as per JWT).</div><div><br></div><div>btw. can we move discussion to the list?</div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 8, 2016 at 11:45 AM, Brian Campbell <span dir="ltr"><<a href="mailto:bcampbell@pingidentity.com">bcampbell@pingidentity.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Indeed. <br><br></div>Without thinking too much about it, I'd want to lean on SID and have only one identifier. One (of many) issues that SAML SLO had was a multitude of ways to try and identify the subject and session or sessions, which complicated the heck out of things and/or just didn't work.<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 7:32 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Currently sub is always required.<br>
<br>
I can however see not providing sub or using SID as the sub if the message is only about the session and not the user.<br>
<br>
I can see some privacy use cases for not wanting to reveal the sub.<br>
<br>
I however understand that Clients might organize there tables by sub.<br>
<br>
This is something we should probably talk about.<br>
<br>
John B.</blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></blockquote></div><br></div></div></div></div></blockquote></div><br></div></div>