<div dir="ltr">I'll have to check the metadata section - we have a duplicate HTML anchor ID which is breaking the build process.<div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">/home/runner/work/authzen/authzen/api/authorization-api-1_0.xml(2033): Warning: Duplicate xsd:ID attribute anchor="iana-wk-registry" found.  This will cause validation failure.<br>api/authorization-api-1_0.xml(2033): Error: Invalid attribute anchor for element section, at /rfc/middle/section[14]/section[3]<br>/home/runner/work/authzen/authzen/api/authorization-api-1_0.xml(15): Error: Invalid document before running preptool.<br>Unable to complete processing api/authorization-api-1_0.xml<br>Error: Process completed with exit code 1.</blockquote></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Tue, Aug 19, 2025 at 11:13 AM Lombardo, Jeff <<a href="mailto:jeffsec@amazon.com">jeffsec@amazon.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg5326688508371577057">

<div lang="FR-CA" style="overflow-wrap: break-word;">

<div class="m_5326688508371577057WordSection1">

<p class="MsoNormal"><span style="font-size:11pt">Hi,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-CA" style="font-size:11pt">I took action on the two items under my name:<u></u><u></u></span></p>

<ul type="disc">

<li class="MsoNormal">

<span lang="EN-CA">Gerry will check the status of </span><a href="https://github.com/openid/authzen/issues/300" target="_blank"><span lang="EN-CA">issue 300</span></a><span lang="EN-CA">. Jeff L., you were working on it.<u></u><u></u></span></li><ul style="margin-top:0cm" type="circle">

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA" style="font-size:11pt">Updated the proposal for metadata<u></u><u></u></span></li><li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA" style="font-size:11pt">Pushed a new PR:

<u></u><u></u></span></li><ul style="margin-top:0cm" type="square">

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA">Decision: Preserved the usage of the

</span><span lang="EN-CA" style="font-size:10pt;font-family:"Courier New"">iss</span><span lang="EN-CA"> metadata document parameter.</span><span lang="EN-CA" style="font-size:11pt"><u></u><u></u></span></li><ul style="margin-top:0cm" type="disc">

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA">Rationale:</span><span lang="EN-CA" style="font-size:11pt"><u></u><u></u></span></li><ul type="circle">

<li class="MsoNormal">

<span lang="EN-CA" style="font-size:10pt;font-family:"Courier New"">iss</span><span lang="EN-CA"> is only required is signature of metadata is enforced by the PDP<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">Preserving the same taxonomy allows convergence with OAuth2 Protected Resource Metadata RFC<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA" style="font-size:10pt;font-family:"Courier New"">iss</span><span lang="EN-CA"> (issuer) is pointing to the entity ensuring the metadata anti-tampering protection by exposing the JWKS there. While the

</span><span lang="EN-CA" style="font-size:10pt;font-family:"Courier New"">iss</span><span lang="EN-CA"> might point to the PDP server itself, it is not mandatory as the function of acting as PDP and signing metadata can be provided by two different components<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">Therefore </span><span lang="EN-CA" style="font-size:10pt;font-family:"Courier New"">iss</span><span lang="EN-CA"> does not provide any confusion with the notion of PDP even if coming from the OAuth2 world<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">Doing otherwise would have AuthZEN having to declare new attribute to IANA<u></u><u></u></span></li></ul>

</ul>

<li class="MsoNormal">

<span lang="EN-CA">Added the </span><span lang="EN-CA" style="font-size:10pt;font-family:"Courier New"">capabilities</span><span lang="EN-CA"> metadata document field<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">Added the declaration of the associated IANA registry<u></u><u></u></span></li></ul>

</ul>

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA">Jeff, we need clarification on

</span><a href="https://github.com/openid/authzen/issues/268" target="_blank"><span lang="EN-CA">issue 268</span></a><span lang="EN-CA"> re. authentication.</span><span lang="EN-CA" style="font-size:11pt"><u></u><u></u></span></li><ul style="margin-top:0cm" type="circle">

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA">While it was pretty clear from the beginning that this was not a proposal to make authentication mandatory, I added a new statement in #268 and the associated PR</span><span lang="EN-CA" style="font-size:11pt"><u></u><u></u></span></li><li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA">To answer the comments:</span><span lang="EN-CA" style="font-size:11pt"><u></u><u></u></span></li><ul style="margin-top:0cm" type="square">

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA">Realm is notion defined by HTTP when using a response header of format WWW-Authenticate. There is nothing new, nothing fancy.</span><span lang="EN-CA" style="font-size:11pt"><u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">There is no typo (double checked with 2 other spelling tools)<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">the only MUST is that a 401 has to be returned<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">Any other information is covered by a SHOULD already<u></u><u></u></span></li><li class="MsoNormal">

<span lang="EN-CA">If one does not one authentication, then the initial if makes it sure that the conditions does not apply cause, when no authentication is required, there are no ways you can provide a bad credential, a bad authentication scheme, nor a bad

 authentication proof.<u></u><u></u></span></li></ul>

<li class="m_5326688508371577057MsoListParagraph" style="margin-left:0cm"><span lang="EN-CA" style="font-size:11pt">Still the text as been updated to:<u></u><u></u></span></li></ul>

</ul>

<p class="MsoNormal" style="margin-left:106.2pt"><span lang="EN-CA" style="font-size:11pt">If the protected resource request does not include the

<b><span style="color:red">proper</span></b><span style="color:red"> </span>authentication credentials, does not contain an the proper the correct authentication scheme, or does not have a valid authentication scheme proof that enables access to the protected

 resource, the resource server MUST respond with a 401 HTTP code and SHOULD include the HTTP "WWW-Authenticate" response header field; it MAY include it in response to other conditions as well. The "WWW-Authenticate" header field uses the framework defined

 by HTTP/1.1 [RFC2617] and indicate the expected auth-scheme as long as the realm that has authority for it.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-CA" style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-CA" style="font-size:11pt">Jeff<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-CA" style="font-size:11pt"><u></u> <u></u></span></p>

<div>

<p class="MsoNormal"><b><span style="font-size:10pt;font-family:"Amazon Ember Heavy",sans-serif">Jean-François “<span style="color:rgb(233,113,50)">Jeff</span>” Lombardo</span></b><span> </span><span style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif">|<span style="color:gray">

</span><span style="color:rgb(233,113,50)">Amazon Web Services</span></span><span style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:rgb(233,113,50)"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:4pt;font-family:"Amazon Ember Light",sans-serif;color:gray"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">Architecte Principal de Solutions, Spécialiste de Sécurité<br>

Principal Solution Architect, Security Specialist<br>

Montréal, Canada<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-CA" style="font-size:13.5pt;font-family:"Wingdings 2"">(</span><span lang="EN-CA" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">

</span><span style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">+1 514 778 5565<br>

<br>

<u></u><u></u></span></p>

<p class="MsoNormal"><i><span style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">Commentaires à propos de notre échange?

</span></i><i><span lang="EN-US" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">Exprimez-vous

</span></i><span><a href="https://urldefense.com/v3/__https:/feedback.aws.amazon.com/?ea=jeffsec&fn=Jean*20Francois&ln=Lombardo__;JQ!!Pe07N362zA!0k9CkAV8Djpw_8EfIAKrbhP3TQrJr0oMnznlUgBJ3V3NoEk6hihx7dNHnQuejn6SSH2CP8Iow3G-tTzppHeg$" target="_blank"><i><span lang="EN-US" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:rgb(70,120,134)">ici</span></i></a></span><i><span lang="EN-US" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">.<u></u><u></u></span></i></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:4pt;font-family:"Amazon Ember Light",sans-serif;color:gray"><u></u> <u></u></span></p>

<p class="MsoNormal"><i><span lang="EN-US" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">Thoughts on our interaction? Provide feedback

</span></i><span><a href="https://urldefense.com/v3/__https:/feedback.aws.amazon.com/?ea=jeffsec&fn=Jean*20Francois&ln=Lombardo__;JQ!!Pe07N362zA!0k9CkAV8Djpw_8EfIAKrbhP3TQrJr0oMnznlUgBJ3V3NoEk6hihx7dNHnQuejn6SSH2CP8Iow3G-tTzppHeg$" target="_blank"><i><span lang="EN-US" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:rgb(70,120,134)">here</span></i></a></span><i><span lang="EN-US" style="font-size:10pt;font-family:"Amazon Ember Light",sans-serif;color:gray">.<u></u><u></u></span></i></p>

</div>

<p class="MsoNormal"><span lang="EN-CA" style="font-size:11pt"><u></u> <u></u></span></p>

<div>

<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0cm 0cm">

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11pt;font-family:Calibri,sans-serif">From:</span></b><span lang="EN-US" style="font-size:11pt;font-family:Calibri,sans-serif"> Openid-specs-authzen <<a href="mailto:openid-specs-authzen-bounces@lists.openid.net" target="_blank">openid-specs-authzen-bounces@lists.openid.net</a>>

<b>On Behalf Of </b>David Brossard via Openid-specs-authzen<br>

<b>Sent:</b> August 19, 2025 9:59 AM<br>

<b>To:</b> AuthZEN Working Group List <<a href="mailto:openid-specs-authzen@lists.openid.net" target="_blank">openid-specs-authzen@lists.openid.net</a>><br>

<b>Cc:</b> David Brossard <<a href="mailto:david.brossard@gmail.com" target="_blank">david.brossard@gmail.com</a>><br>

<b>Subject:</b> [EXT] [Openid-specs-authzen] Open issues and PRs<u></u><u></u></span></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<table border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse">

<tbody>

<tr style="height:15.25pt">

<td width="1123" valign="top" style="width:842.35pt;border:1.5pt solid rgb(237,125,49);padding:0cm 5.4pt;height:15.25pt">

<p><strong><span style="font-family:Aptos,sans-serif;color:black;background:rgb(255,255,153)">CAUTION</span></strong><span style="color:black;background:rgb(255,255,153)">: This email originated from outside of the organization. Do not click links or open attachments unless

 you can confirm the sender and know the content is safe.</span><u></u><u></u></p>

</td>

</tr>

</tbody>

</table>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<table border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse">

<tbody>

<tr style="height:15.25pt">

<td width="1123" valign="top" style="width:842.35pt;border:1.5pt solid rgb(237,125,49);padding:0cm 5.4pt;height:15.25pt">

<p><strong><span style="font-family:Aptos,sans-serif;color:black;background:rgb(255,255,153)">AVERTISSEMENT</span></strong><span style="color:black;background:rgb(255,255,153)">: Ce courrier électronique provient d’un expéditeur externe. Ne cliquez sur aucun lien et n’ouvrez

 aucune pièce jointe si vous ne pouvez pas confirmer l’identité de l’expéditeur et si vous n’êtes pas certain que le contenu ne présente aucun risque.</span><u></u><u></u></p>

</td>

</tr>

</tbody>

</table>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<div>

<p class="MsoNormal">Dear all,<br clear="all">

<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">We still have <a href="https://github.com/openid/authzen/issues/" target="_blank">

11 issues</a> and 2 <a href="https://github.com/openid/authzen/pulls" target="_blank">pull requests</a> open on the specification draft. In order to move forward to final spec, we need to close these out.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<ul type="disc">

<li class="MsoNormal">

Issue 352 (Michiel) deals with normative HTTP binding paths. I remember early on Omri wanting to formalize the structure of the URLs (/access/v1/evaluation) but the

<a href="https://openid.github.io/authzen/" target="_blank">current draft</a> doesn't make any mention of mandatory or normative URLs. In addition, the fact we introduced the metadata endpoint negates the need for normative URLs formats. The only necessary endpoint becomes

 the metadata endpoint. Given this, Michiel pointed out (and I agree) we probably need to make the metadata endpoint mandatory to be conformant. Today, it's optional.

<u></u><u></u></li></ul>

<ul type="disc">

<ul type="circle">

<li class="MsoNormal">

If there are no objections, we will therefore close this issue i.e. not make any runtime paths normative<u></u><u></u></li><li class="MsoNormal">

We will make the metadata API path normative<u></u><u></u></li><li class="MsoNormal">

We will make the metadata API mandatory<u></u><u></u></li></ul>

</ul>

<ul type="disc">

<li class="MsoNormal">

Issue 339 is easy to fix: we write 4-tuple in cases when in fact it can be a 3-tuple or an n-tuple. We should just reword to avoid a specific number. I assigned Alex but he's on PTO. Any takers for the fix?<u></u><u></u></li><li class="MsoNormal">

<a href="https://github.com/openid/authzen/issues/325" target="_blank">Issue 325</a> is outstanding. It has to do with pagination methods. It needs to be wrapped

<u></u><u></u></li></ul>

<ul type="disc">

<ul type="circle">

<li class="MsoNormal">

Also, pagination is defined in no less than 3 sections (8.3.1, 9.3.1, and 10.3.1). They need to be abstracted away. We will use the same pagination method for all API endpoints so no need to rewrite 3 times and risk inconsistencies. Alex B., you were working

 on this. Do you have time to fix it?<u></u><u></u></li></ul>

</ul>

<ul type="disc">

<li class="MsoNormal">

Gerry will check the status of <a href="https://github.com/openid/authzen/issues/300" target="_blank">

issue 300</a>. Jeff L., you were working on it.<u></u><u></u></li><li class="MsoNormal">

Jeff, we need clarification on <a href="https://github.com/openid/authzen/issues/268" target="_blank">

issue 268</a> re. authentication.<u></u><u></u></li><li class="MsoNormal">

We need to agree to punt <a href="https://github.com/openid/authzen/issues/250" target="_blank">issue 250</a> to after the 1.0 spec. Or punt the entire Evaluations semantics to after 1.0<u></u><u></u></li><li class="MsoNormal">

 Issues <a href="https://github.com/openid/authzen/issues/230" target="_blank">230 </a>and 229 need work. Roland, this was your baby. We can choose to punt it to after 1.0 as well.<u></u><u></u></li><li class="MsoNormal">

<a href="https://github.com/openid/authzen/issues/55" target="_blank">Issue 55</a>: Elie, can you add a proposal?<u></u><u></u></li><li class="MsoNormal">

<a href="https://github.com/openid/authzen/issues/47" target="_blank">Issue 47</a> should be rejected given the extensive rewrites<u></u><u></u></li><li class="MsoNormal">

The same applies to 46.<u></u><u></u></li></ul>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

<div>

<p class="MsoNormal">Thanks all for reading,<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">David<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal"><span class="m_5326688508371577057gmailsignatureprefix">-- </span><u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">---<br>

David Brossard<br>

<a href="http://www.linkedin.com/in/davidbrossard" target="_blank">http://www.linkedin.com/in/davidbrossard</a><br>

<a href="http://twitter.com/davidjbrossard" target="_blank">http://twitter.com/davidjbrossard</a><br>

<a href="http://about.me/brossard" target="_blank">http://about.me/brossard</a><br>

---<br>

Stay safe on the Internet: <a href="https://www.capefearnetworks.com/wp-content/uploads/2017/05/Internet-Fraud-Prevention-Tips-IC3.pdf" target="_blank">

IC3 Prevention Tips</a><br>

Prenez vos précautions sur Internet: <a href="https://cyber.gouv.fr/bonnes-pratiques-protegez-vous" target="_blank">https://cyber.gouv.fr/bonnes-pratiques-protegez-vous</a><u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div></blockquote></div><div><br clear="all"></div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr">---<br>David Brossard<br><a href="http://www.linkedin.com/in/davidbrossard" target="_blank">http://www.linkedin.com/in/davidbrossard</a><br><a href="http://twitter.com/davidjbrossard" target="_blank">http://twitter.com/davidjbrossard</a><br><a href="http://about.me/brossard" target="_blank">http://about.me/brossard</a><br>---<br>Stay safe on the Internet: <a href="https://www.capefearnetworks.com/wp-content/uploads/2017/05/Internet-Fraud-Prevention-Tips-IC3.pdf" target="_blank">IC3 Prevention Tips</a><br>Prenez vos précautions sur Internet: <a href="https://cyber.gouv.fr/bonnes-pratiques-protegez-vous" target="_blank">https://cyber.gouv.fr/bonnes-pratiques-protegez-vous</a></div></div>