<div dir="ltr"><h1 class="gmail-part" id="gmail-Meeting-Notes-2025-02-04">Meeting Notes 2025-02-04</h1><h2 class="gmail-part" id="gmail-Attendees"><a class="gmail-anchor gmail-hidden-xs" href="#Attendees" title="Attendees"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Attendees</h2><ul class="gmail-part">
<li class="gmail-">Omri Gazitt</li>
<li class="gmail-">Alex Babeanu</li>
<li class="gmail-">Alex Olivier</li>
<li class="gmail-">George Fletcher</li>
<li class="gmail-">Vladi Berger</li>
<li class="gmail-">Mike Kiser</li>
<li class="gmail-">Wade Ellery</li>
<li class="gmail-">Victor Lu</li>
<li class="gmail-">Michiel Trimpe</li>
<li class="gmail-">Gerry Gebel</li>
<li class="gmail-">David Brossard</li>
<li class="gmail-">David Hyland</li>
<li class="gmail-">Roland Baum</li>
<li class="gmail-">Elizabeth Garber</li>
</ul><h2 class="gmail-part" id="gmail-Agenda"><a class="gmail-anchor gmail-hidden-xs" href="#Agenda" title="Agenda"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Agenda</h2><ul class="gmail-part">
<li class="gmail-">Review latest updates to Search API
<ul>
<li class="gmail-"><a href="https://openid.github.io/authzen/" target="_blank" rel="noopener">https://openid.github.io/authzen/</a></li>
</ul>
</li>
<li class="gmail-">Envoy demo</li>
<li class="gmail-">AWS API gateway demo</li>
<li class="gmail-">Discuss STS / Tokenetes pattern
<ul>
<li class="gmail-">Design Patterns document</li>
</ul>
</li>
</ul><h2 class="gmail-part" id="gmail-Notes"><a class="gmail-anchor gmail-hidden-xs" href="#Notes" title="Notes"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Notes</h2><ul class="gmail-part gmail-in-view">
<li class="gmail-">Search API updates
<ul>
<li class="gmail-">Formal draft (03) now published on <a href="http://openid.net" target="_blank" rel="noopener">openid.net</a> <a href="https://openid.github.io/authzen/" target="_blank" rel="noopener">https://openid.github.io/authzen/</a></li>
<li class="gmail-">Subject and Resource search are separated, per discussion from last week</li>
<li class="gmail-">DH: What about "action"? It's required for things like RAR (but RAR is always in the context of a subject). OG: We only talked a couple minutes on this last week so it was not included yet.</li>
<li class="gmail-">Getting ids for more than one type, seems like it would be difficult to achieve an interoperable spec</li>
<li class="gmail-">OG: In order to have a stable spec for the Gartner interop, we should go with the current version for now and can always add an action search later.
<ul>
<li class="gmail-">David Hyland will write up a proposal to add action search</li>
</ul>
</li>
</ul>
</li>
<li class="gmail-">Gartner IAM update (March 24-25)
<ul>
<li class="gmail-">We have 3 sessions</li>
<li class="gmail-">Homan + David/Omri will have an overview session</li>
<li class="gmail-">There is room for up to 15 vendor implementations
<ul>
<li class="gmail-">Evaluation scenario with ToDo app, as done before</li>
<li class="gmail-">API gateway scenario</li>
<li class="gmail-">IDPs making an AuthZEN call to compliant PDPs to determine which scopes/claims to enrich an access token with</li>
</ul>
</li>
<li class="gmail-">You all are encouraged to share this call for participation that is published on the openid site:  <a href="https://openid.net/authzen-at-gartner-iam/" target="_blank" rel="noopener">https://openid.net/authzen-at-gartner-iam/</a></li>
<li class="gmail-">Let David/Omri know if you can attend Gartner - there are a few passes available if you can cover the T&E</li>
<li class="gmail-">Zuplo is committed to participate and also talking to AWS API gateway as well as AVP/Cedar team</li>
<li class="gmail-">David also reached out to other API vendors as well as Mark O'Neill (lead API analyst at Gartner)</li>
</ul>
</li>
<li class="gmail-">Alex O demonstrates Envoy implementation
<ul>
<li class="gmail-">There is a PR of this code <a href="https://github.com/openid/authzen/pull/201" target="_blank" rel="noopener">https://github.com/openid/authzen/pull/201</a></li>
</ul>
</li>
<li class="gmail-">Omri demos Amazon API gateway
<ul>
<li class="gmail-">imported json info model</li>
<li class="gmail-">created lambda authorizers for each</li>
<li class="gmail-">ToDo app updated so you can select whether or not an API gateway is part of the request flow</li>
</ul>
</li>
<li class="gmail-">Tokenetes discussion
<ul>
<li class="gmail-">Devs are conditioned to "look in the token" for authZ</li>
<li class="gmail-">The idea is that <a href="http://Tokenetes.io" target="_blank" rel="noopener">Tokenetes.io</a> could be another PEP for AuthZEN</li>
<li class="gmail-">Ergonomics is similar to what the devs are already used to</li>
<li class="gmail-">Atul points out that Google does not make a Zanzabar call for every request, using a similar technique</li>
<li class="gmail-">GF: Has seen scenarios where access tokens passed down a services chain, can be overloaded with extra functionality that each downstream service needs (also potential threat vector). Want to be able to downscope the capabilities, so you gain security properties
<ul>
<li class="gmail-">Called the claim a "purpose" rather than "scope" to separate the terms</li>
</ul>
</li>
<li class="gmail-">Some additional discussion comparing this to RAR approach</li>
<li class="gmail-">Alex B to add this pattern to Design Patterns document</li></ul></li></ul></div>