<div dir="ltr"><div>Dear all,<br clear="all"></div><div><br></div><div>Thanks to those who attended the call yesterday. Here are the <a href="https://hackmd.io/@oidf-wg-authzen/wg-meeting-20250904">notes</a>.</div><div><h3 class="gmail-part" id="gmail-Pull-requests"><a class="gmail-anchor gmail-hidden-xs" href="#Pull-requests" title="Pull-requests"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Pull requests</h3><ul class="gmail-part">

<li class="gmail-">366: A robust discussion on pagination. We did not come to a conclusion on this topic as some of the key commenters (Omri or Gert) were not available.</li>

<li class="gmail-">361: Adding optional signature to access response. This was updated and approved during the call</li>

</ul><h3 class="gmail-part" id="gmail-Gartner"><a class="gmail-anchor gmail-hidden-xs" href="#Gartner" title="Gartner"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Gartner</h3><ul class="gmail-part gmail-in-view">

<li class="gmail-">Speaking session:

<ul>

<li class="gmail-">

<p>Title<br>

Extend your Identity Providers with OpenID AuthZEN, achieve fine-grained authorization, and enable Zero Trust</p>

</li>

<li class="gmail-">

<p>Abstract<br>

A year ago, we introduced Gartner attendees to a new standard, OpenID AuthZEN that promised to establish a standard for fine-grained authorization. A year later and two interops later, we're happy to report that the draft is nearing final specification and that we have completed 3 new interops focusing on API gateways, the AuthZEN Search API, and IdP integrations.</p>

<p>With AuthZEN, IAM teams can confidently externalize and standardize authorization across their application estate without being locked in to a proprietary API. Gone are the days of incomplete authorization and gaps in access control logic. With OpenID AuthZEN we are closer to enabling the Zero Trust Enterprise.</p>

<p>This session will review the progress achieved in the past twelve months, highlight the milestones, and demo the latest integrations.</p>

</li>

<li class="gmail-">

<p>Speakers: request that Homan be moderator like last time and add Alex Olivier as co-speaker.</p>

</li>

</ul>

</li>

</ul><h3 class="gmail-part gmail-in-view" id="gmail-Interop"><a class="gmail-anchor gmail-hidden-xs" href="#Interop" title="Interop"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Interop</h3><ul class="gmail-part gmail-in-view">

<li class="gmail-">IdP - AuthZEN PDP integration</li>

<li class="gmail-">What will the 'demo' look like? What's the outcome? How do we illustrate that a token has been issued or enriched?</li>

<li class="gmail-">3 integrations

<ul>

<li class="gmail-"><strong>token issuance</strong>: IdP uses <code>evaluation</code> to ask whether a token can be issued for a user altogether</li>

<li class="gmail-"><strong>token enrichment</strong>: IdP uses <code>evaluations</code> to ask which claims/scopes of a well-known list should be inserted inside the token that is about to be issued</li>

<li class="gmail-"><strong>token enrichment</strong>: IdP uses <code>search</code> to determine which claims/scopes to insert inside the token that is about to be issued. This is functionally the same as the previous use case</li>

<li class="gmail-"><strong>Step-up authentication</strong>: call the IdP to determine whether the token should be issued and inspect the context object in the response to determine whether MFA is needed.</li>

</ul>

</li>

<li class="gmail-">Dedicated meeting Friday 9/5 at 3pm CET/6am PT

<ul>

<li class="gmail-">We will use the usual Zoom bridge from the weekly call <a href="https://zoom.us/j/92150123981?pwd=YnhuSXNxU2w4Z3VGc3lrUjRNSTBUZz09" target="_blank" rel="noopener">https://zoom.us/j/92150123981?pwd=YnhuSXNxU2w4Z3VGc3lrUjRNSTBUZz09</a></li>

</ul>

</li>

</ul><h3 class="gmail-part gmail-in-view" id="gmail-Certification-Tests"><a class="gmail-anchor gmail-hidden-xs" href="#Certification-Tests" title="Certification-Tests"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Certification Tests</h3><ul class="gmail-part gmail-in-view">

<li class="gmail-">Someone in the AuthZEN group needs to start writing the criteria for the certification test suite that Edmund and team can then use to create the formal suite.

<ul>

<li class="gmail-">Define requirements per endpoint</li>

<li class="gmail-">Define mandatory endpoints</li>

<li class="gmail-">Define valid payloads and responses</li>

</ul>

</li>

<li class="gmail-">Check with Atul from Shared Signals to see how they defined acceptance tests for their endpoints.</li>

<li class="gmail-">See also <a href="https://openid.net/certification/" target="_blank" rel="noopener">https://openid.net/certification/</a></li>

<li class="gmail-">Check with Mike Jones re. certification process for OpenID Connect and FAPI profiles</li>

<li class="gmail-">See also this <a href="https://openid.net/wordpress-content/uploads/2018/06/OpenID-Connect-Conformance-Profiles.pdf" target="_blank" rel="noopener">example</a> (OpenID Connect Conformance Profiles).</li>

<li class="gmail-">Certification testing covers both client (PEP) and server (PDP).</li>

<li class="gmail-">Alex O. will take a stab</li></ul></div></div>