<div dir="ltr"><div>Also available <a href="https://hackmd.io/@oidf-wg-authzen/wg-meeting-20250218">here</a>.</div><div><br></div><div><h1 class="gmail-part" id="gmail-Meeting-Notes-2025-02-18">Meeting Notes 2025-02-18</h1><h2 class="gmail-part" id="gmail-Attendees"><a class="gmail-anchor gmail-hidden-xs" href="#Attendees" title="Attendees"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Attendees</h2><ul class="gmail-part">
<li class="gmail-">Roland Baum</li>
<li class="gmail-">Budhaditya Bhattacharya (Budha) - Tyk</li>
</ul><h2 class="gmail-part" id="gmail-Agenda"><a class="gmail-anchor gmail-hidden-xs" href="#Agenda" title="Agenda"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Agenda</h2><ul class="gmail-part">
<li class="gmail-">Partial evaluation update (David B)</li>
<li class="gmail-">Action Search (David H)</li>
<li class="gmail-">Interop participation update (Omri)</li>
<li class="gmail-">Security review process by OpenID Foundation (David B)</li>
</ul><h2 class="gmail-part" id="gmail-Notes"><a class="gmail-anchor gmail-hidden-xs" href="#Notes" title="Notes"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Notes</h2><h3 class="gmail-part" id="gmail-Partial-Evaluation-Meeting"><a class="gmail-anchor gmail-hidden-xs" href="#Partial-Evaluation-Meeting" title="Partial-Evaluation-Meeting"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Partial Evaluation Meeting</h3><ul class="gmail-part">
<li class="gmail-">Vladi, Michiel, and David met to discuss the spec</li>
<li class="gmail-">We received feedback from Pablo (Axiomatics)
<ul>
<li class="gmail-">David to publish</li>
</ul>
</li>
<li class="gmail-">We need to generalize the function concept so we can allow for nested functions (e.g. lower(stringEqual()))</li>
<li class="gmail-">We agree to follow the AuthZEN request structure
<ul>
<li class="gmail-">Only one unknown category</li>
<li class="gmail-">What about context?</li>
</ul>
</li>
<li class="gmail-">We agree partial evaluation will be exposed on a separate endpoint</li>
<li class="gmail-">We agreed we would have profiles to convert partial evaluation responses into target system filters e.g. SQL, GraphQL<span class="gmail-smartypants">…</span></li>
<li class="gmail-">We agreed there would be an extension mechanism for functions not supported by all vendors</li>
<li class="gmail-"><strong>Next step:</strong> David to write the formal part of the partial evaluation spec</li>
</ul><h3 class="gmail-part" id="gmail-Action-Search-Profile"><a class="gmail-anchor gmail-hidden-xs" href="#Action-Search-Profile" title="Action-Search-Profile"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Action Search Profile</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-">Presented by Dave Hyland</li>
<li class="gmail-"><a href="https://hackmd.io/DQcL9fXfSW6EsxEp_DefRg?view" target="_blank" rel="noopener">https://hackmd.io/DQcL9fXfSW6EsxEp_DefRg?view</a></li>
<li class="gmail-">Questions
<ul>
<li class="gmail-">Are actions assumed to be flat? (George)
<ul>
<li class="gmail-">Yes - there is generally no hierarchy</li>
<li class="gmail-">Vladi: the action full access could include read and write</li>
<li class="gmail-">Conclusion: the evaluation doesn't have any hierarchy.</li>
</ul>
</li>
<li class="gmail-">Should there be a <code>context</code> category in the request?</li>
<li class="gmail-">Should the <code>action</code> category be removed?</li>
</ul>
</li>
</ul><h3 class="gmail-part gmail-in-view" id="gmail-Interop-Update"><a class="gmail-anchor gmail-hidden-xs" href="#Interop-Update" title="Interop-Update"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Interop Update</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-">2 confirmed scenarios: the demo and the gateway</li>
<li class="gmail-">3 interop sessions with 5 slots (tables) each</li>
<li class="gmail-">10-15 slots</li>
<li class="gmail-">about 8 people showing up</li>
<li class="gmail-">2 possible new PDPs: Okta OpenFGA and AWS AVP</li>
<li class="gmail-">4 gateway implementations: AWS API Gateway, Kong, Zuplo, Envoy.</li>
<li class="gmail-">Tyk and WSO2 are likely gateways as are 42crunch and Layer 7</li>
</ul><h3 class="gmail-part gmail-in-view" id="gmail-OpenID-Security-Review-Process"><a class="gmail-anchor gmail-hidden-xs" href="#OpenID-Security-Review-Process" title="OpenID-Security-Review-Process"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>OpenID Security Review Process</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-">Gail has reached out to the chairs to talk about the testing process of the AuthZEN spec as part of the steps to standardization.</li>
<li class="gmail-">It sounds like this would require additional funding</li>
<li class="gmail-">We're trying to understand what we need to do specifically</li>
<li class="gmail-">Has anyone gone through this process previously?
<ul>
<li class="gmail-">George: see FAPI's <a href="https://openid.net/specs/fapi-2_0-attacker-model-ID2.html" target="_blank" rel="noopener">attacker model</a></li>
<li class="gmail-">Are requests immutable? Can the PDP trust the request coming from the PEP? Can the PDP trust the PEP to enforce the decision? Can the PDP be manipulated?</li>
</ul>
</li>
<li class="gmail-">The process is from the University of Stuttgart</li>
<li class="gmail-">We need to identify the core threats we see in AuthZEN</li>
</ul><h3 class="gmail-part gmail-in-view" id="gmail-Repository-Structure"><a class="gmail-anchor gmail-hidden-xs" href="#Repository-Structure" title="Repository-Structure"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Repository Structure</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-">The OpenID AuthZEN repository will contain the spec</li>
<li class="gmail-">The AuthZEN <a href="https://github.com/authzen/" target="_blank" rel="noopener">github repository</a> will contain code</li>
</ul><h2 class="gmail-part gmail-in-view" id="gmail-Next-Steps"><a class="gmail-anchor gmail-hidden-xs" href="#Next-Steps" title="Next-Steps"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Next Steps</h2><ul class="gmail-part gmail-in-view">
<li class="gmail-">Dedicated partial evaluation meeting on Wednesday - see mailing list for details</li>
<li class="gmail-">Schedule Alex B's OSW presentation for a future call after the AuthZEN interop</li>
<li class="gmail-">David to follow up with Gail re. security testing</li></ul></div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"></div></div>