
<div dir="ltr"><div>I am running into a large number of ID scenarios where action is not completed in session but later.</div><div>Others are looking at issuing java script promises.</div><div>But in many cases this is closer to ID maintenance.</div><div>for example TSA PreCheck requires updates which are checked against back-end data offline and issued later.</div><div>One way to deal with this is application level sessions that extend over multiple TLS sessions.</div><div>Another problem is feed back when multiple endpoints are requested.</div><div>I got a 2nd factor request that claimed it was sent to me, but didn't say which endpoint to re-establish a session.</div><div>and then the notification was in junk mail when I was looking at text messages.</div><div>This does not seem like an extension to OIDC.</div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><font face="-apple-system, system-ui, system-ui, Segoe UI, Roboto, Helvetica Neue, Fira Sans, Ubuntu, Oxygen, Oxygen Sans, Cantarell, Droid Sans, Apple Color Emoji, Segoe UI Emoji, Segoe UI Symbol, Lucida Grande, Helvetica, Arial, sans-serif" color="#38761d"><span style="font-size:14px;background-color:rgb(242,242,242)">Peace  ..tom jones</span></font></div></div></div><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Fri, May 16, 2025 at 3:45 AM Lukasz Jaromin via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div>

<div>Hi Everyone. Please find the notes from the A/B WG call below.</div>

<div><br>

</div>

<div><b>Participants: </b>Michael Jones (chair), Brian Campbell, Filip Skokan, Lukasz Jaromin, Frederik Krogsdal Jacobsen</div>

<div><br>

</div>

<div><b>Introductions</b></div>

<div>Frederik joined the call for the first time. He introduced himself and the company he works for, called Criipto. He decided to join the working group to discuss a certain proposal for an extension of the OpenID Connect specification. The extension is related

 to deferred issuance of ID tokens to address real-life cases where the token is not ready at the end of the flow but can be obtained later.</div>

<div><br>

</div>

<div>We followed with a round of introductions.</div>

<div><br>

</div>

<div><b>Summary of the OpenID Federation Interop Event hosted by SUNET in Stockholm</b></div>

<div>Mike provided a general update. Lukasz Jaromin added to it.</div>

<div>It was a fruitful event. We built a couple of federations. Building these federations went smoothly. There were some improvement proposals discussed (some of which are reflected as Jira issues).</div>

<div><br>

</div>

<div>The test federations remain up, so people are encouraged to interop test their implementations. If anyone wants to do that, instructions can be found here:</div>

<div><a href="https://docs.google.com/document/d/1Ho7wNGLz6I_6YrI7zCSWtLXSoctH3aRP/edit" target="_blank">https://docs.google.com/document/d/1Ho7wNGLz6I_6YrI7zCSWtLXSoctH3aRP/edit</a></div>

<div><br>

</div>

<div>The document accessible via the link above also contains the results of testing.</div>

<div><br>

</div>

<div><b>Announcements</b></div>

<div>Reminder that IETF 123 registration is open: <a href="https://www.ietf.org/meeting/123/" target="_blank">https://www.ietf.org/meeting/123/</a></div>

<div><br>

</div>

<div>The IANA registrations for algorithms used in JOSE and COSE are done. The Fully-Specified Algorithms for JOSE and COSE</div>

<div><a href="https://datatracker.ietf.org/doc/draft-ietf-jose-fully-specified-algorithms/" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-jose-fully-specified-algorithms/</a> is now in the RFC Editor queue.</div>

<div><br>

</div>

<div>The JOSE algorithm registrations are at:</div>

<div><a href="https://www.iana.org/assignments/jose/jose.xhtml#web-signature-encryption-algorithms" target="_blank">https://www.iana.org/assignments/jose/jose.xhtml#web-signature-encryption-algorithms</a></div>

<div><br>

</div>

<div>The COSE algorithm registrations are at:</div>

<div><a href="https://www.iana.org/assignments/cose/cose.xhtml#algorithms" target="_blank">https://www.iana.org/assignments/cose/cose.xhtml#algorithms</a></div>

<div><br>

</div>

<div><b>Agenda item 4: Specs and repositories</b></div>

<div>RP metadata choices is in the 45-day review period. Call to review it:</div>

<div><a href="https://github.com/openid/rp-metadata-choices" target="_blank">https://github.com/openid/rp-metadata-choices</a></div>

<div><br>

</div>

<div><b>Agenda item 6: Claims aggregation draft</b></div>

<div>The draft is closed: <a href="https://openid.net/specs/openid-connect-claims-aggregation-1_0.html" target="_blank">https://openid.net/specs/openid-connect-claims-aggregation-1_0.html</a> (see agenda for details).</div>

<div>A technical edit needs to be done, then we’ll publish it.</div>

<div><br>

</div>

<div><b>OpenID provider commands</b></div>

<div>We will not talk about this today. We are lacking key people in the meeting.</div>

<div><br>

</div>

<div><b>Extended Subordinate Listing</b></div>

<div>Draft 2 was published not long ago.</div>

<div>Lukasz: We encourage implementers to pick it up. There were discussions at the interop event about potentially other endpoints using pagination too. It would be worth applying a universal approach everywhere and perhaps include them in this spec. I'm hoping

 to have a follow-up on that topic with the group that was considering it.</div>

<div><br>

</div>

<div><b>OpenID Federation Specification</b></div>

<div>There are 24 issues that we need to take care of to reach final status. Not all of them have actions on them. </div>

<div><br>

</div>

<div><b>Agenda Item 10: Native SSO</b></div>

<div>George is not here. We’ll skip.</div>

<div><br>

</div>

<div><b>Agenda Item 11: Possible new drafts</b></div>

<div><b>OpenID Connect Enterprise Extensions</b></div>

<div><a href="https://github.com/dickhardt/enterprise-extensions?tab=readme-ov-file" target="_blank">https://github.com/dickhardt/enterprise-extensions?tab=readme-ov-file</a></div>

<div>Potential overlap with IPSIE WG? IPSIE is not creating new normative specifications but creates profiles of existing specifications.</div>

<div>Request to the WG members to read it and provide feedback. After that, we’ll decide whether to move forward with a call for adoption.</div>

<div><br>

</div>

<div><b>Ephemeral Subject Identifier draft</b></div>

<div>The draft has been submitted and was missed earlier because it was submitted as a reply to the meeting minutes.</div>

<div>Link to the mail archive from April is here:</div>

<div><a href="https://lists.openid.net/pipermail/openid-specs-ab/2025-April/010728.html" target="_blank">https://lists.openid.net/pipermail/openid-specs-ab/2025-April/010728.html</a> and in the agenda.</div>

<div>Call to the WG to read this one and provide feedback.</div>

<div><br>

</div>

<div><b>Frederik presentation – Deferred ID token issuance</b></div>

<div>The deck is available here:</div>

<div><a href="https://fkj.github.io/slides/iiw-oic-dtr-apr-2025.pdf" target="_blank">https://fkj.github.io/slides/iiw-oic-dtr-apr-2025.pdf</a></div>

<div><br>

</div>

<div>Discussion on CIBA vs. this new approach. What are the arguments for the need for this new proposal?</div>

<div>There’s no backend. We don’t know who the user is. This is the difference between this and CIBA. In this case, we don’t know who the user is.</div>

<div><br>

</div>

<div>There is one extra slide added to the presentation compared to the one presented at IIW and linked above – with a summary and conclusion. The Extra slide content: </div>

<div>

<p style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Results from lIW session</i></p>

<ul style="list-style-type:circle">

<li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Small extension to OpenID Connect</i></li><li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Take heavy inspiration from OpenID4VCI: Deferred Credential Endpoint</i></li><li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Flow modifications:</i></li><ul style="list-style-type:circle">

<li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Token endpoint returns a long-lived access token instead of an identity token (MUST<br>

use DPoP)</i></li><li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Poll/ping design on a new endpoint where access token can be exchanged for an identity token once ready</i></li></ul>

</ul>

<ul style="list-style-type:circle">

<li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Questions:</i></li><ul style="list-style-type:circle">

<li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>Should client request deferral or should it be a server decision?</i></li><li style="margin:0px;font-variant-caps:normal;line-height:normal;font-size-adjust:none;font-kerning:auto;font-variant-alternates:normal;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-east-asian:normal;font-feature-settings:normal">

<i>New endpoint name? (/ deferred_token would match VC| spec)</i></li></ul>

</ul>

</div>

<div><br>

</div>

<div>Frederik discussed options and thoughts on backward compatibility and how that could potentially be addressed.</div>

<div><br>

</div>

<div>Discussion on purpose and alignment with the WG charter.</div>

<div>At IIW, there was discussion with the eKYC team. This is mostly for KYC purposes and would not be used for login flows.</div>

<div><br>

</div>

<div>Comment: OpenID Connect is about login.</div>

<div>"I am logging in and now I want to add some additional claims to the already logged-in user."</div>

<div>Q: What do you get when you wait (in the scenario with login)?</div>

<div>A: Potentially some additional claims at the user info endpoint.</div>

<div><br>

</div>

<div>Example use case: I take a picture of my passport, ML says "I’m not sure about this" and a human needs to check it. This takes time and extends the process. At the login endpoint, it would be an unverified claim. When verified by a human, the token with

 that claim is ready to be issued.</div>

<div><br>

</div>

<div>Comment/Thought: If you don’t do login, it is not Connect. It is more aligned with openid4vc specs.</div>

<div><br>

</div>

<div>Comment/Thought: It could be done on top of the OpenID commands. It was discussed during the IIW.</div>

<div><br>

</div>

<div>Final feedback to Frederik:</div>

<div>To adopt it, the WG would have to understand how it relates to existing implementations. What problems are not being solved now that this could address?</div>

<table cellpadding="0" cellspacing="0" style="border-collapse:unset;padding:0px"><tbody><tr><td align="left" height="16.67" nowrap style="height:16.67px;vertical-align:top;white-space:nowrap;padding:0px 0px 2px;border-collapse:collapse" valign="top"><table style="border-collapse:collapse"><tbody><tr><td style="padding:0px"><p style="line-height:14.67px;margin:0.1pt"><span style="font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:11pt;font-weight:bold;color:black">Lukasz Jaromin</span></p></td></tr></tbody></table></td></tr><tr><td align="left" height="15.33" nowrap style="height:15.33px;vertical-align:top;white-space:nowrap;padding:0px 0px 15px;border-collapse:collapse" valign="top"><table style="border-collapse:collapse"><tbody><tr><td style="padding:0px"><p style="line-height:13.33px;margin:0.1pt"><span style="font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:10pt;font-weight:bold;color:rgb(16,94,102)">Head of Standards and Product Strategy</span></p></td></tr></tbody></table></td></tr><tr><td align="left" height="15.33" style="height:15.33px;vertical-align:top;padding:0px" valign="top"><table cellpadding="0" cellspacing="0" style="height:15.33px"><tbody><tr><td align="left" height="15.33" nowrap style="height:15.33px;vertical-align:bottom;white-space:nowrap;padding:0px 0px 0px 2.67px;border-collapse:collapse" valign="bottom"><table style="border-collapse:collapse"><tbody><tr><td style="padding:0px"><p style="line-height:13.33px;margin:0.1pt"><span style="font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:10pt;color:rgb(2,12,12)">T.</span></p></td><td style="padding:0px"><p style="line-height:13.33px;margin:0.1pt"><span style="font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:10pt;color:rgb(2,12,12)"> </span></p></td><td style="padding:0px"><p style="line-height:13.33px;margin:0.1pt"><span style="font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:10pt;color:rgb(2,12,12)">+44 20 4583 6770</span></p></td></tr></tbody></table></td><td align="left" height="15.33" nowrap style="height:15.33px;vertical-align:bottom;white-space:nowrap;padding:0px 0px 0px 10px;border-collapse:collapse" valign="bottom"><table style="border-collapse:collapse"><tbody><tr><td style="padding:0px"><p style="line-height:13.33px;margin:0.1pt"><a href="mailto:lukasz.jaromin@raidiam.com" style="color:black;text-decoration:none" target="_blank"><span style="font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:10pt;color:black;text-decoration:none">lukasz.jaromin@raidiam.com</span></a></p></td></tr></tbody></table></td></tr></tbody></table></td></tr><tr><td align="left" height="22" style="width:492px;height:22px;vertical-align:top;padding:0px" valign="top"><table cellpadding="0" cellspacing="0" style="width:492px;height:22px"><tbody><tr><td height="22" style="width:470px;height:22px;padding:0px"><p style="line-height:0;margin:0.1pt;padding:0px;width:470px;height:100%"></p></td><td align="center" height="20" style="font-size:0px;width:20px;height:20px;vertical-align:top;padding:1px" valign="top"><p style="margin:0.1pt;line-height:0px;padding:0px;max-width:20px;width:20px;height:20px;max-height:20px"><a href="https://cloud.letsignit.com/collect/bc/652d0421e161c54081b81962?p=TMTQYP7uhVuEibYQ91RsC3IoNUOt5RBT8PxKu46ijB2dgYDas3ErY4e5aF36Y1QJAFvBq2HuNtKxmETJCut3KpCEIhZSyMrKEv86z2lTEIZvXWEQB9EFnTGMHp0zHr0amR6353_yp-GqFqaiskCLVrZHUSx89Swc40vs2oPD5o4=" title="" target="_blank"><img alt="" border="0" height="20" src="https://storage.letsignit.com/icons/designer/socials/Linkedin--circle--black.png" style="display: block; width: 20px; max-width: 20px; height: 20px; max-height: 20px;" width="20"></a></p></td></tr></tbody></table></td></tr><tr><td align="left" height="80" style="font-size:0px;width:469px;max-width:469px;height:80px;max-height:80px;vertical-align:top;padding:0px 0px 10px" valign="top"><p style="margin:0.1pt;line-height:0px;padding:0px;max-width:469px;width:469px;height:80px;max-height:80px"><img alt="" border="0" height="80" src="https://storage.letsignit.com/5fd527570105a500075428f0/generated/effects_08e3e03b4f71b6a89cf4bd9f429daac0a7f6dd1ccb38a410fc760991.png" style="display: block; width: 469px; max-width: 469px; height: 80px; max-height: 80px;" width="469"></p></td></tr><tr><td align="left" style="vertical-align:top;padding:0px;border-collapse:collapse" valign="top"><p style="margin:0.1pt;text-align:left"></p><table border="0" cellpadding="0" cellspacing="0" width="460"> <tbody> <tr> <td><p style="font-family:Calibri,Candara,Segoe,"Segoe UI",Optima,Arial,sans-serif;font-size:10px;color:rgb(163,165,165);font-weight:normal">The content of this email is confidential and intended for the recipient specified in message only. It is strictly forbidden to share any part of this message with any third party, without a written consent of the sender. If you received this message by mistake, please reply to this message and follow with its deletion, so that we can ensure such a mistake does not occur in the future.</p></td> </tr> </tbody> </table><p></p></td></tr></tbody></table><table width="0" height="0" cellpadding="0" cellspacing="0" border="0"><tbody><tr><td><div id="m_-5890944882040156758LSI_marker" rel="LSI_marker" style="font-size:0px"> </div></td></tr></tbody></table></div>


_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="https://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

</blockquote></div>