<div dir="ltr"><div dir="ltr">A further clarification on OP Commands vs SCIM.<br><br>OP Commands are for federations using OpenID Connect. From what I see in the market, SCIM deployments are typically paired with a SAML deployment, not OpenID Connect deployments. OP Commands provides a simple path for OIDC RPs to upgrade to providing full account lifecycle support. <div><br></div><div>Or am I missing a bunch of OIDC deployments that use SCIM?<br><div><br></div><div><div>/Dick</div></div></div></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Jan 15, 2025 at 12:29 PM Dick Hardt <<a href="mailto:dick.hardt@gmail.com">dick.hardt@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Hello WG (and chairs)<br><br>Karl (cc'ed) and I have been working on a new protocol that complements OpenID Connect for an OP to centrally manage account lifecycles at RPs. We have also defined an Unauthorize Command which undoes whatever actions an RP did in a previous OpenID Connect login -- useful if an OP suspects an account or device had been compromised -- instructs an RP to "kill all the sessions and tokens"<div><br></div><div>We contribute the IP in the attached HTML and Markdown files to the OpenID Foundation per the Foundations IPR. </div><div><br></div><div>We have a FAQ as a note at the top, that I am including below for your convenience.</div><div><br></div><div>We hope this work is of interest to others in the WG, and that together we can improve the security posture of implementers.</div><div><br></div><div>/Dick & Karl<br><br><p id="m_-6800859992948440431gmail-section-1-1.2" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px"><strong>1. How does SCIM compare to OpenID Provider (OP) Commands?</strong><a href="#m_-6800859992948440431_section-1-1.2" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.3" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px">The SCIM protocol is a general purpose protocol for a client to manage resources at a server. When the SCIM protocol is used between an IdP and an RP, the schema is defined by the RP. The resources managed are in the context of the RP Tenant in a multi-tenant RP. Any extensions to the schema are defined by the RP. This provided an interoperable protocol to manage RP resources. OpenID Provider Commands are an extension of a user Account created by OpenID Connect. It uses the same identity Claims that the OP issues for the user. It uses the same token Claims, and is verified the same way. OpenID Provider Commands are issued in the context of the OP Tenant in a multi-tenant OP.<a href="#m_-6800859992948440431_section-1-1.3" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.4" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px"><strong>2. How do Shared Signals / RISC compare to OpenID Provider Commands?</strong><a href="#m_-6800859992948440431_section-1-1.4" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.5" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px">Shared Signals and RISC are events that one party is sharing with another party. The actions a receiving party takes upon receiving a signal are intentionally not defined. The actions taken by the RP when receiving an OpenID Provider Command is specified. This gives an OP control over the Account at the RP.<a href="#m_-6800859992948440431_section-1-1.5" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.6" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px"><strong>3. Are OpenID Provider Commands a replacement for SCIM, Shared Signals, or RISC?</strong><a href="#m_-6800859992948440431_section-1-1.6" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.7" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px">No. These standards are deployed by organizations that have complex requirements, and these standards meet there needs. Most OP / RPs do not deploy any of these standards, as the implementation complexity is not warranted. OpenID Provider Commands are designed to build on OpenID Connect, allowing RPs using OpenID Connect an easy path to offer OPs a standard API for security and lifecycle operations.<a href="#m_-6800859992948440431_section-1-1.7" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.8" style="padding:0px;margin:0px 0px 1em;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px"><strong>4. Why are there only groups? Why not roles and entitlements?</strong><a href="#m_-6800859992948440431_section-1-1.8" style="text-decoration-line:none;color:rgb(102,102,102)"></a></p><p id="m_-6800859992948440431gmail-section-1-1.9" style="padding:0px;margin:0px;color:rgb(17,17,17);font-family:"Noto Sans",Arial,Helvetica,sans-serif;font-size:14px">OpenID Provider Commands are used to project the Tenant data managed centrally by the OP. Groups are a common term used by OPs to manage a collection of Accounts. The terms roles and entitlements tend to be RP specific. Generally, groups from the OP will be mapped to roles and/or entitlements that are RP specific, at the RP.<br><br></p></div></div></div>
</blockquote></div>