<div dir="ltr">agree, one "iss" would rule them all!<div><br></div><div>Hans.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 4, 2019 at 5:01 PM Torsten Lodderstedt <<a href="mailto:torsten@lodderstedt.net">torsten@lodderstedt.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Thanks <br>
<br>
As far as I understand, you discussed distributed claims only and suggested to do discovery on the endpoint and/or use the claim provider’s TLS cert to conduct the check. That does not work for aggregated claims.  <br>
<br>
I think requiring an iss claim in the JWT is the obvious solution as the RP can perform signature validation as normal in OIDC. BTW: I would suggest the same for distributed claims :-)<br>
<br>
What do you think?<br>
<br>
> Am 04.03.2019 um 16:56 schrieb Hans Zandbelt <<a href="mailto:hans.zandbelt@zmartzone.eu" target="_blank">hans.zandbelt@zmartzone.eu</a>>:<br>
> <br>
> FYI: developing the OIDC certification suite we encountered the same:<br>
> <a href="https://github.com/openid-certification/oidctest/issues/51#issuecomment-349301164" rel="noreferrer" target="_blank">https://github.com/openid-certification/oidctest/issues/51#issuecomment-349301164</a><br>
> <br>
> Hans.<br>
> <br>
> On Mon, Mar 4, 2019 at 4:38 PM Torsten Lodderstedt via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a>> wrote:<br>
> Hi all, <br>
> <br>
> I just worked my way through section 5.6.2 of the OpenID Connect Core spec and I'm wondering how a RP is supposed to check the signature of a nested JWT containing aggregated claims. There is no text that the JWT must contain an „iss" claim that could be used to obtains the other claims provider’s JWKS URI. <br>
> <br>
> What is the assumption of the spec how signature validation should work?<br>
> <br>
> kind regards,<br>
> Torsten. _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
> <br>
> <br>
> -- <br>
> <a href="mailto:hans.zandbelt@zmartzone.eu" target="_blank">hans.zandbelt@zmartzone.eu</a><br>
> ZmartZone IAM - <a href="http://www.zmartzone.eu" rel="noreferrer" target="_blank">www.zmartzone.eu</a><br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div style="font-size:small"><a href="mailto:hans.zandbelt@zmartzone.eu" target="_blank">hans.zandbelt@zmartzone.eu</a></div><div style="font-size:small">ZmartZone IAM - <a href="http://www.zmartzone.eu" target="_blank">www.zmartzone.eu</a><br></div></div></div></div></div></div>