<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Spec call notes 4-Aug-16<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Phil Hunt<o:p></o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda<o:p></o:p></p>
<p class="MsoNormal">              Initial EAP Drafts<o:p></o:p></p>
<p class="MsoNormal">              Back-channel logout edits to use ID Events<o:p></o:p></p>
<p class="MsoNormal">              Signed federation metadata and the Federation spec<o:p></o:p></p>
<p class="MsoNormal">              Certification Status<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Initial EAP Drafts<o:p></o:p></p>
<p class="MsoNormal">              The initial EAP drafts were adopted<o:p></o:p></p>
<p class="MsoNormal">              People are encouraged to review them<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Back-channel logout edits to use ID Events<o:p></o:p></p>
<p class="MsoNormal">              Phil: An ID Event is logically a statement of fact<o:p></o:p></p>
<p class="MsoNormal">              In the logout event, the "sub" is the account identifier relative to the issuer<o:p></o:p></p>
<p class="MsoNormal">              The "sid" claim may further specify the entity being acted upon<o:p></o:p></p>
<p class="MsoNormal">              Ping has a case in which only the "iss" and "sid" information are needed<o:p></o:p></p>
<p class="MsoNormal">              John put forward a thought experiment about events where the RP is the issuer of the event<o:p></o:p></p>
<p class="MsoNormal">                           Mike: We have existing practice for this - using an ID Token as the ID Token hint<o:p></o:p></p>
<p class="MsoNormal">              George wants things to be explicit, including possibly double signing, when needed<o:p></o:p></p>
<p class="MsoNormal">                           Mike: Microsoft wouldn't ever do the double signing when not needed<o:p></o:p></p>
<p class="MsoNormal">              George: Implicit logic ends up hurting you in the end<o:p></o:p></p>
<p class="MsoNormal">                           George asked whether we want a flag in the event to say that the issuer of the event is the issuer of the subject<o:p></o:p></p>
<p class="MsoNormal">                           Mike: A flag isn't necessary since the contents of the message are information enough<o:p></o:p></p>
<p class="MsoNormal">                           John: Only if the scope of the subject is different, would you want to add some kind of context claim<o:p></o:p></p>
<p class="MsoNormal">              Phil: Mentioned the idea of the subject domain<o:p></o:p></p>
<p class="MsoNormal">              Phil: The issuer is always the one that signs it<o:p></o:p></p>
<p class="MsoNormal">              Phil wants top-level ID Event claims to be only about the event object and not about event parameters<o:p></o:p></p>
<p class="MsoNormal">                           He wants claims about the event to be event parameters<o:p></o:p></p>
<p class="MsoNormal">              Mike: In some cases, the "sub" claim is not required<o:p></o:p></p>
<p class="MsoNormal">              The "sub" claim is not required in a JWT (Phil thought it was)<o:p></o:p></p>
<p class="MsoNormal">              John: We could put the subject in an event parameter rather than at the top level<o:p></o:p></p>
<p class="MsoNormal">              Phil: Marius at Google convinced Phil that parsing is simpler if you don't batch unrelated events<o:p></o:p></p>
<p class="MsoNormal">                           In that case, claims about the event target could be at the top-level of the JWT<o:p></o:p></p>
<p class="MsoNormal">              George: If the subject of an event is an IP address, it should be able to be called "id_address" - not "sub"<o:p></o:p></p>
<p class="MsoNormal">              Mike: The logout event should use the same claims syntax as ID Tokens do<o:p></o:p></p>
<p class="MsoNormal">                           For instance, session IDs should always be in the "sid" claim - not a subject claim<o:p></o:p></p>
<p class="MsoNormal">              Mike: For context, Microsoft's identity code only has an ID Token parser - not a general JWT parser<o:p></o:p></p>
<p class="MsoNormal">                           Things will be much easier if we don't shuffle where the claims are and what they mean<o:p></o:p></p>
<p class="MsoNormal">              Phil concluded that we need to discuss some of these issues on the ID Events list<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Signed federation metadata and the Federation spec<o:p></o:p></p>
<p class="MsoNormal">              People are encouraged to look at the signed metadata specified for AS metadata as it relates to the Federation spec<o:p></o:p></p>
<p class="MsoNormal">              See https://tools.ietf.org/html/draft-ietf-oauth-discovery-04 - the "signed_metadata" member<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certification Status<o:p></o:p></p>
<p class="MsoNormal">              We continue getting new OP certifications - most recently, CZ.NIC<o:p></o:p></p>
<p class="MsoNormal">              Roland has agreed to complete the RP certification code under contact with the OIDF<o:p></o:p></p>
<p class="MsoNormal">              We plan to launch RP certification by IIW<o:p></o:p></p>
<p class="MsoNormal">              Roland will do an RP certification tutorial at the pre-IIW OpenID Workshop<o:p></o:p></p>
</div>
</body>
</html>