<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Spec call notes 3-Apr-17<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal">Rich Levinson<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Edmund Jay<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda<o:p></o:p></p>
<p class="MsoNormal">                Open Issues<o:p></o:p></p>
<p class="MsoNormal">                Implementer's Drafts<o:p></o:p></p>
<p class="MsoNormal">                IETF Recap<o:p></o:p></p>
<p class="MsoNormal">                AOB<o:p></o:p></p>
<p class="MsoNormal">                Next Call<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Open Issues (at https://bitbucket.org/openid/connect/issues?status=new&status=open)<o:p></o:p></p>
<p class="MsoNormal">                #1010: Create a Threat Document about the Misuse of OAuth<o:p></o:p></p>
<p class="MsoNormal">                                Mike gave the invited talk "JOSE/JWT Security Update" to the SecEvent and OAuth working groups<o:p></o:p></p>
<p class="MsoNormal">                                                https://www.ietf.org/proceedings/98/slides/slides-98-secevent-josejwt-security-update-00.pdf<o:p></o:p></p>
<p class="MsoNormal">                                Kathleen Moriarty and Yaron Sheffer asked us to write at JWT BCP<o:p></o:p></p>
<p class="MsoNormal">                                Torsten's OAuth Security Topics draft is an OAuth WG document<o:p></o:p></p>
<p class="MsoNormal">                                                https://tools.ietf.org/html/draft-ietf-oauth-security-topics-02<o:p></o:p></p>
<p class="MsoNormal">                                We talked about possibly writing a blog post for oauth.net<o:p></o:p></p>
<p class="MsoNormal">                #1011: session management draft 28<o:p></o:p></p>
<p class="MsoNormal">                                These are editorial.  Mike will propose text as part of the errata process.<o:p></o:p></p>
<p class="MsoNormal">                #1012: Back-Channel Logout 1.0 - draft 04<o:p></o:p></p>
<p class="MsoNormal">                                Talks about the endpoint needing to be reachable.  This seems like a requirement for communication.<o:p></o:p></p>
<p class="MsoNormal">                                The "keeping track" language should be applied to Front-Channel Logout as well, as others also noted.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Implementer's Drafts<o:p></o:p></p>
<p class="MsoNormal">                We now have Implementer's Drafts of all three logout specs.  This was announced at:<o:p></o:p></p>
<p class="MsoNormal">                                http://openid.net/2017/03/28/openid-connect-logout-implementers-drafts-approved/<o:p></o:p></p>
<p class="MsoNormal">                As a result of the Implementer's Draft review, comments on the drafts were received from<o:p></o:p></p>
<p class="MsoNormal">                                Filip Skokan, Axel Nennker, Nat Sakimura, Torsten Lodderstedt, James Manger, Tom Jones, Phil Hunt, and Mike Jones<o:p></o:p></p>
<p class="MsoNormal">                                We will go through them and use this feedback to improve subsequent drafts<o:p></o:p></p>
<p class="MsoNormal">                At least one working group member was surprised by aspects of the Implementer's Draft approval process<o:p></o:p></p>
<p class="MsoNormal">                                Don Thibeau suggested that we write a FAQ about how working groups work<o:p></o:p></p>
<p class="MsoNormal">                                                This will both be useful for new working group members and new working group chairs<o:p></o:p></p>
<p class="MsoNormal">                                It's in everyone's interest to prevent any surprise or confusion in the future<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">IETF Recap<o:p></o:p></p>
<p class="MsoNormal">                Kathleen Moriarty and Yaron Sheffer asked us to write at JWT BCP<o:p></o:p></p>
<p class="MsoNormal">                                Mike Jones and Dick Hardt volunteered to work on this<o:p></o:p></p>
<p class="MsoNormal">                Current SET discussions were reviewed with the working group<o:p></o:p></p>
<p class="MsoNormal">                                See https://www.ietf.org/proceedings/98/slides/slides-98-secevent-token-draft-issues-00.pdf<o:p></o:p></p>
<p class="MsoNormal">                                People may want to participate in this WG https://datatracker.ietf.org/wg/secevent/about/<o:p></o:p></p>
<p class="MsoNormal">                                                Both because of Back-Channel Logout and implications for JWTS<o:p></o:p></p>
<p class="MsoNormal">                                                (Plus RISC has a dependency on SecEvent as well)<o:p></o:p></p>
<p class="MsoNormal">                Brian Campbell's Mutual TLS Client draft was discussed in OAuth<o:p></o:p></p>
<p class="MsoNormal">                                https://tools.ietf.org/html/draft-campbell-oauth-tls-client-auth<o:p></o:p></p>
<p class="MsoNormal">                                This didn't seem to reach any particular conclusion<o:p></o:p></p>
<p class="MsoNormal">                                Nat will follow up with Brian, since FAPI has time-critical interest in this<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">AOB<o:p></o:p></p>
<p class="MsoNormal">                Nat requested that Mike go through the list of moderated messages on openid-specs-ab<o:p></o:p></p>
<p class="MsoNormal">                Nat requested material for the ISO/IEC liaison report<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Next Call<o:p></o:p></p>
<p class="MsoNormal">                The next call is scheduled for 7am Pacific Time on Thursday, April 13th - per the calendar at http://openid.net/wg/connect/<o:p></o:p></p>
</div>
</body>
</html>