<div dir="ltr"><h2 class="gmail-part" id="gmail-Attendees" style="color:rgb(0,0,0)">Attendees</h2><ul class="gmail-part" style="color:rgb(0,0,0)"><li class="gmail-">Alex Babaenu</li><li class="gmail-">Wei</li><li class="gmail-">Vladi Berger</li><li class="gmail-">Gerry Gebel</li><li class="gmail-">Elie Azerad</li><li class="gmail-">Michiel Trimpe</li><li class="gmail-">Roland Baum</li><li class="gmail-">Edmund Jay</li><li class="gmail-">Alex Olivier</li><li class="gmail-">David Brossard</li><li class="gmail-">Julio Auto De Medeiros</li><li class="gmail-">Vatsal Gupta</li><li class="gmail-">Travis Farrell</li></ul><h2 class="gmail-part" id="gmail-Agenda" style="color:rgb(0,0,0)"><a class="gmail-anchor gmail-hidden-xs" href="#Agenda" title="Agenda"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Agenda</h2><ul class="gmail-part" style="color:rgb(0,0,0)"><li class="gmail-">Gartner interop use cases</li><li class="gmail-">Pull requests - 3 new ones</li><li class="gmail-">Issues list</li></ul><h2 class="gmail-part" id="gmail-Notes" style="color:rgb(0,0,0)"><a class="gmail-anchor gmail-hidden-xs" href="#Notes" title="Notes"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Notes</h2><h3 class="gmail-part" id="gmail-Pull-requests" style="color:rgb(0,0,0)"><a class="gmail-anchor gmail-hidden-xs" href="#Pull-requests" title="Pull-requests"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Pull requests</h3><ul class="gmail-part" style="color:rgb(0,0,0)"><li class="gmail-">366: A robust discussion on pagination. We did not come to a conclusion on this topic as some of the key commenters (Omri or Gert) were not available.</li><li class="gmail-">361: Adding optional signature to access response. This was updated and approved during the call</li></ul><h3 class="gmail-part" id="gmail-Gartner" style="color:rgb(0,0,0)"><a class="gmail-anchor gmail-hidden-xs" href="#Gartner" title="Gartner"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Gartner</h3><ul class="gmail-part gmail-in-view" style="color:rgb(0,0,0)"><li class="gmail-">Speaking session:<ul><li class="gmail-"><p>Title<br>Extend your Identity Providers with OpenID AuthZEN, achieve fine-grained authorization, and enable Zero Trust</p></li><li class="gmail-"><p>Abstract<br>A year ago, we introduced Gartner attendees to a new standard, OpenID AuthZEN that promised to establish a standard for fine-grained authorization. A year later and two interops later, we're happy to report that the draft is nearing final specification and that we have completed 3 new interops focusing on API gateways, the AuthZEN Search API, and IdP integrations.</p><p>With AuthZEN, IAM teams can confidently externalize and standardize authorization across their application estate without being locked in to a proprietary API. Gone are the days of incomplete authorization and gaps in access control logic. With OpenID AuthZEN we are closer to enabling the Zero Trust Enterprise.</p><p>This session will review the progress achieved in the past twelve months, highlight the milestones, and demo the latest integrations.</p></li><li class="gmail-"><p>Speakers: request that Homan be moderator like last time and add Alex Olivier as co-speaker.</p></li></ul></li></ul><h3 class="gmail-part gmail-in-view" id="gmail-Interop" style="color:rgb(0,0,0)"><a class="gmail-anchor gmail-hidden-xs" href="#Interop" title="Interop"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Interop</h3><ul class="gmail-part gmail-in-view" style="color:rgb(0,0,0)"><li class="gmail-">IdP - AuthZEN PDP integration</li><li class="gmail-">What will the 'demo' look like? What's the outcome? How do we illustrate that a token has been issued or enriched?</li><li class="gmail-">3 integrations<ul><li class="gmail-"><strong>token issuance</strong>: IdP uses<span class="gmail-Apple-converted-space"> </span><code>evaluation</code><span class="gmail-Apple-converted-space"> </span>to ask whether a token can be issued for a user altogether</li><li class="gmail-"><strong>token enrichment</strong>: IdP uses<span class="gmail-Apple-converted-space"> </span><code>evaluations</code><span class="gmail-Apple-converted-space"> </span>to ask which claims/scopes of a well-known list should be inserted inside the token that is about to be issued</li><li class="gmail-"><strong>token enrichment</strong>: IdP uses<span class="gmail-Apple-converted-space"> </span><code>search</code><span class="gmail-Apple-converted-space"> </span>to determine which claims/scopes to insert inside the token that is about to be issued. This is functionally the same as the previous use case</li><li class="gmail-"><strong>Step-up authentication</strong>: call the IdP to determine whether the token should be issued and inspect the context object in the response to determine whether MFA is needed.</li></ul></li><li class="gmail-">Dedicated meeting Friday 9/5 at 3pm CET/6am PT<ul><li class="gmail-">We will use the usual Zoom bridge from the weekly call<span class="gmail-Apple-converted-space"> </span><a href="https://zoom.us/j/92150123981?pwd=YnhuSXNxU2w4Z3VGc3lrUjRNSTBUZz09" target="_blank" rel="noopener">https://zoom.us/j/92150123981?pwd=YnhuSXNxU2w4Z3VGc3lrUjRNSTBUZz09</a></li></ul></li></ul><h3 class="gmail-part gmail-in-view" id="gmail-Certification-Tests" style="color:rgb(0,0,0)"><a class="gmail-anchor gmail-hidden-xs" href="#Certification-Tests" title="Certification-Tests"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Certification Tests</h3><ul class="gmail-part gmail-in-view" style="color:rgb(0,0,0)"><li class="gmail-">Someone in the AuthZEN group needs to start writing the criteria for the certification test suite that Edmund and team can then use to create the formal suite.<ul><li class="gmail-">Define requirements per endpoint</li><li class="gmail-">Define mandatory endpoints</li><li class="gmail-">Define valid payloads and responses</li></ul></li><li class="gmail-">Check with Atul from Shared Signals to see how they defined acceptance tests for their endpoints.</li><li class="gmail-">See also<span class="gmail-Apple-converted-space"> </span><a href="https://openid.net/certification/" target="_blank" rel="noopener">https://openid.net/certification/</a></li><li class="gmail-">Check with Mike Jones re. certification process for OpenID Connect and FAPI profiles</li><li class="gmail-">See also this<span class="gmail-Apple-converted-space"> </span><a href="https://openid.net/wordpress-content/uploads/2018/06/OpenID-Connect-Conformance-Profiles.pdf" target="_blank" rel="noopener">example</a><span class="gmail-Apple-converted-space"> </span>(OpenID Connect Conformance Profiles).</li><li class="gmail-">Certification testing covers both client (PEP) and server (PDP).</li><li class="gmail-">Alex O. will take a stab</li></ul></div>