<div dir="ltr"><div><br></div>breaking into separate thread <br><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Mar 12, 2025 at 10:53 PM Andrii Deinega <<a href="mailto:andrii.deinega@gmail.com">andrii.deinega@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">On Wed, Mar 12, 2025 at 2:25 PM Dick Hardt <<a href="mailto:dick.hardt@gmail.com" target="_blank">dick.hardt@gmail.com</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 12, 2025 at 8:47 PM Andrii Deinega <<a href="mailto:andrii.deinega@gmail.com" target="_blank">andrii.deinega@gmail.com</a>> wrote:<br></div></div></div></blockquote></div></div></blockquote><div><snip></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br>4. I don't think I clearly understand what's the goal of claim "domains" in section "6.1 Metadata Command". If they are vendor specific, I'd suggest removing them from the spec altogether. It shouldn't be an issue to add them, as well as other claims, if a particular implementation / vendor needs them.<br></div></div></blockquote><div><br></div><div>These are DNS domains controlled by the tenant, and are a common way for an RP to determine if accounts belong to the same organization. </div></div></div></blockquote><div><br></div><div>What you described seems to be vendor specific details. I never said they aren't needed, these details simply don't necessarily need to be part of the spec.</div></div></div></blockquote><div><br></div><div>Why would domains be vendor specific? <br><br>It is optional, so only implementations that provide verified domains would include it. Both Microsoft and Google provide verified domains, so it is pretty commonly used out in the wild.<br><br>We specify it to enable interop rather than different vendors picking a different claim name with potentially different semantics. <br><br>It is an array, as a list of domains is not uncommon. <br><br>For example, after Salesforce acquired Slack, the OP for <a href="http://salesforce.com">salesforce.com</a> might provide metadata that included:<br><br>"domains":["<a href="http://salesforce.com">salesforce.com</a>","<a href="http://slack.com">slack.com</a>"]<br><br>to tell the RP that it wants to be authoritative for users from either of those domains<br><br>Does that make more sense to you?</div><div><br></div><div>/Dick<br><br> </div></div></div>