<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hey<br><br>Karl and I synced up recently and we have made a number of changes to the PR. <br><br>Mike: We would like to discuss at the next meeting, if time allows.<br><br><a href="https://github.com/openid/openid-provider-commands/pull/28" target="_blank">https://github.com/openid/openid-provider-commands/pull/28</a><br><br>There are a number of editorial changes that make the PR pretty messy to look at. Here is a clean copy to read:<br><br><a href="https://openid.github.io/openid-provider-commands/aud_sub.html" target="_blank">https://openid.github.io/openid-provider-commands/aud_sub.html</a><br><br><br>Outstanding items once we agree on the normative changes:<br><br>- move all claims / properties into a single section at the top so it is clear what all the bits are</div><div dir="ltr">- clarify that `aud_sub` is optional in all Account Commands and add examples with it.</div><div dir="ltr"><br></div><div dir="ltr"><b>Changes</b><br><div><br></div><div>Editorial:</div><div>- added diagram for callback flow</div><div>- replaced Command Usage Overview with Command Use Cases </div><div>- renamed `unauthorize` command to `invalidate` -- as this is the OP and not an AS<br>- provided more clarity on what `invalidate` does and made it consistent</div><div>- fixed RP metadata response for roles</div><div><br></div><div>Normative:</div><div>- added `aud_sub` as a claim the RP could return in audit commands and the OP would then use in Account Commands to identity the account</div><div><br></div><div>- added `aud_sub_required` - metadata from RP indicating that the OP MUST provide `aud_sub` in Account Commands</div><div><br>- added `authentication_provider` claim that represents which party or parties can authenticate the user:<br></div></div></div></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>- **rp**: The Account can only be authenticated directly by the RP (e.g., username/password, RP-managed MFA)</div></div></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div>- **op**: The Account can only be authenticated by the requesting OP tenant</div></div></div></div></div><div><div><div><div><div>- **op_migration**: The Account can be authenticated by either the RP or the OP tenant</div></div></div></div></div><div><div><div><div><div>- **external**: The Account is authenticated by a different external authentication provider</div></div></div></div></div><div><div><div><div><div>- **unknown**: The RP does not know, or does not want to share who the authentication provider is</div></div></div></div></div><div><br></div></blockquote>- added `migrate` command for an OP to tell an RP that the OP will become the authentication_provider. The op_migration state can be used during migration<br><br><br><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div></div></div></div></div>
</div>