<div dir="ltr">Hi<div><br></div><div>I and Edmund have been discussing the additional SIOP requirements that were agreed to made into an independent document a while ago. </div><div><br>Here is what I am thinking right now. Edmund has a draft for new "Aggregation Endpoint" of the Claims Providers (CP) that I am hoping that he can follow up with. </div><div><br></div><div><br><br>General Flow happens like this. <br><br>1. On-Boarding of SIOP to CP<br>1.1. Dynamic Client Registration of SIOP to CP<br>1.2. User Authorizes general data access to SIOP. <br>1.3. SIOP obtains the AT/RT. </div><div><br>2. RP asking for a set of claims<br>2.1. RP requests the SIOP for a set of claims<br>2.2. SIOP creates the constrained claims request using AT and uid whose value <br>     is the `sub` value that the SIOP uses against the RP and should be set as <br>        the `sub` value of the aggregation endpoint response (NEW)<br>2.3. CP returns a JWS signed JWT that contains sub=value(uid) and other requested claims in the payload. <br>2.4. SIOP puts the JWT in the ID Token and responds to the RP. <br>2.5. RP verifies that the `sub` value of the ID Token is equal to the `sub` value in the CP minted JWT,  besides all the verification that is required for ID Token. <br><br>Here are some of the Requirements that follows the above. <br><br>1. CP MUST support OAuth Dynamic Client Registration. <br>2. CP MUST support "aggregation endpoint" that is capable of returning constrained JWT with sub=uid. <br><br>Discussion <br>1. What should be the aud of the CP returned JWT? </div><div><br></div><div>Please chime into this thread. </div><div>Perhaps I should create an issue in the tracker... <br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Nat Sakimura<div>NAT.Consulting LLC</div></div></div></div></div>