<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal">SIOP Special Call Notes 18-May-21<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Kristina Yasuda<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Tom Jones<o:p></o:p></p>
<p class="MsoNormal">David Waite (DW)<o:p></o:p></p>
<p class="MsoNormal">Tony Nadalin<o:p></o:p></p>
<p class="MsoNormal">Edmund Jay<o:p></o:p></p>
<p class="MsoNormal">Tobias Looker<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Adam Lemmon<o:p></o:p></p>
<p class="MsoNormal">Tim Cappalli<o:p></o:p></p>
<p class="MsoNormal">Jeremie Miller<o:p></o:p></p>
<p class="MsoNormal">Dmitri Zagidulin<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Trust Frameworks and SIOP<o:p></o:p></p>
<p class="MsoNormal">              DW said that OpenID Connect Federation Entity Statements have interesting properties for SIOP<o:p></o:p></p>
<p class="MsoNormal">              He noted that SIOPs may not have a location for hosting metadata<o:p></o:p></p>
<p class="MsoNormal">              OpenID Connect Federation defines client metadata and automatic registration<o:p></o:p></p>
<p class="MsoNormal">              David is concerned if SIOP ID Tokens could be confused for 3rd Party ID Tokens<o:p></o:p></p>
<p class="MsoNormal">                           This might enable injection of false/confusing metadata<o:p></o:p></p>
<p class="MsoNormal">              Tobias asked about just-in-time registration<o:p></o:p></p>
<p class="MsoNormal">                           Kristina pointed out the OpenID Connect Federation defines Automatic Registration<o:p></o:p></p>
<p class="MsoNormal">                           <a href="https://openid.net/specs/openid-connect-federation-1_0-14.html#rfc.section.9.1">
https://openid.net/specs/openid-connect-federation-1_0-14.html#rfc.section.9.1</a><o:p></o:p></p>
<p class="MsoNormal">              Tom talked about user choice of trust authorities<o:p></o:p></p>
<p class="MsoNormal">              DW is concerned with the "registration" request parameter being used in unintended ways<o:p></o:p></p>
<p class="MsoNormal">              DW said that rather than the client_id being the redirect_uri, it could be a reference to metadata, like in OpenID Connect Federation<o:p></o:p></p>
<p class="MsoNormal">              Mike suggested that people to familiarize themselves with OpenID Connect Federation<o:p></o:p></p>
<p class="MsoNormal">                           Particularly, Entity Statements and Automatic Registration<o:p></o:p></p>
<p class="MsoNormal">                           He noted that there will be a call for working group review of the whole spec in a day or so<o:p></o:p></p>
<p class="MsoNormal">                           This will be in preparation for a new Implementer's Draft vote<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID Connect for W3C Verifiable Credential Objects<o:p></o:p></p>
<p class="MsoNormal">              This spec was adopted as a working group document yesterday<o:p></o:p></p>
<p class="MsoNormal">              The authors propose renaming it to "OpenID Connect for Verifiable Presentations"<o:p></o:p></p>
<p class="MsoNormal">                           This reflects that it does not directly represent Verifiable Credentials - only Verifiable Presentations<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">User Consent Issue<o:p></o:p></p>
<p class="MsoNormal"><a href="https://bitbucket.org/openid/connect/issues/1215/siop-requires-user-consent">https://bitbucket.org/openid/connect/issues/1215/siop-requires-user-consent</a><o:p></o:p></p>
<p class="MsoNormal">              Tom asked whether SIOP V2 is standalone or whether it depends upon OpenID Connect<o:p></o:p></p>
<p class="MsoNormal">                           It depends upon OpenID Connect<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Issuer Identifier Issue<o:p></o:p></p>
<p class="MsoNormal"><a href="https://bitbucket.org/openid/connect/issues/1208/siop-v2-dynamic-iss-claim-ref-required">https://bitbucket.org/openid/connect/issues/1208/siop-v2-dynamic-iss-claim-ref-required</a><o:p></o:p></p>
<p class="MsoNormal">              Adam spoke to using "iss" to identify the wallet<o:p></o:p></p>
<p class="MsoNormal">              Tobias said that the provider deployment technology would be changed<o:p></o:p></p>
<p class="MsoNormal">              Tobias said that understanding the provider identity is relevant to the trust model<o:p></o:p></p>
<p class="MsoNormal">              Kristina asked about discovery<o:p></o:p></p>
<p class="MsoNormal">                           Tobias said that it's not a discovery problem, it's about associating to a provider with a distributed deployment<o:p></o:p></p>
<p class="MsoNormal">              Mike asked for engineering clarity on the objects we're defining and using<o:p></o:p></p>
<p class="MsoNormal">                           He asserted that if a provider is hosted by a third party, it's not self-issued - at least in a protocol sense<o:p></o:p></p>
<p class="MsoNormal">                           We may want to define additional characteristics of new kinds of third-party issuers meeting our needs<o:p></o:p></p>
<p class="MsoNormal">              DW talked about possibly having chains of issuers and not using
<a href="https://self-issued.me">https://self-issued.me</a> and openid://<o:p></o:p></p>
<p class="MsoNormal">                           We will need to codify how to achieve the properties that we want<o:p></o:p></p>
<p class="MsoNormal">              DW said that we shouldn't use the "iss" value to distinguish between different pieces of software<o:p></o:p></p>
<p class="MsoNormal">                           There are both information content issues and correlation issues<o:p></o:p></p>
<p class="MsoNormal">              Dmitri said that issuers shouldn't represent software instance IDs<o:p></o:p></p>
<p class="MsoNormal">                           In Solid, every user has their own server<o:p></o:p></p>
<p class="MsoNormal">                           He considers those self-issued, even though they're Web accessible<o:p></o:p></p>
<p class="MsoNormal">              Mike said that we need a clear architectural approach<o:p></o:p></p>
<p class="MsoNormal">                           It needs to encompass both third party versus on your device OPs and OPs fully controlled by you in both cases<o:p></o:p></p>
<p class="MsoNormal">                           They may have different protocol implications even when conceptually grouped<o:p></o:p></p>
<p class="MsoNormal">              DW said that we need to define policy elements<o:p></o:p></p>
<p class="MsoNormal">                           In part, to prevent things from being invoked without the capability to behave usefully<o:p></o:p></p>
<p class="MsoNormal">              Tobias reflected upon PWAs executed by browsers<o:p></o:p></p>
<p class="MsoNormal">                           He agreed with Dmitri's and DW's architectural statements<o:p></o:p></p>
<p class="MsoNormal">              Kristina asked whether there were objections to not using self-issued.me<o:p></o:p></p>
<p class="MsoNormal">                           Mike said that the "iss" currently either identifies the hosted issuer or that it is not hosted<o:p></o:p></p>
<p class="MsoNormal">                           Until we have a clearly understood architecture, we should leave this invariant in place<o:p></o:p></p>
<p class="MsoNormal">                           John agreed with Mike<o:p></o:p></p>
<p class="MsoNormal">                           Dmitri observed that we're using "iss" for protocol routing purposes<o:p></o:p></p>
<p class="MsoNormal">                           John said that it has to do with the relationship of the signing key to the subject<o:p></o:p></p>
<p class="MsoNormal">                           Mike said that unless the "iss" is self-issued.me, we know that we can get metadata at "iss"/.well-known/openid-configuration<o:p></o:p></p>
<p class="MsoNormal">                           Tobias said that wallets could use Web domains to enable hosted metadata<o:p></o:p></p>
<p class="MsoNormal">                           John said that key management could potentially be independent of deployment model<o:p></o:p></p>
<p class="MsoNormal">                                         We should tease these apart<o:p></o:p></p>
</div>
</body>
</html>