<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
<div>
<div>
<div style="direction: ltr;">As a quick follow up - PAR and RAR address a lot of the requirements specific in this profile. It would be a shame to not advantage of the latest work from the group if youre looking to promote this for wide spread adoption amongst
 government in the US. </div>
<div><br>
</div>
<div style="direction: ltr;">Any comparisons against FAPI and particularly the latest drafts for FAPI v2 which are on github would be very useful as a cursory read Im struggling to identify where and why Id use this profile over the gold standard especially
 as fapi certifications and support are now very common amongst most vendor sets and come with a certification program, a testing harness and documented and academically reviewed threat model and analysis.</div>
<div><br>
</div>
<div style="direction: ltr;">Any help would be appreciated.</div>
</div>
<div><br>
</div>
<div class="ms-outlook-ios-signature"></div>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Ralph Bragg <ralph.bragg@raidiam.com><br>
<b>Sent:</b> Tuesday, March 3, 2020 6:13:32 PM<br>
<b>To:</b> Financial API Working Group List <openid-specs-fapi@lists.openid.net>; openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net><br>
<b>Cc:</b> Russell, Mark L <mrussell@mitre.org>; NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject:</b> Re: Tailored OAuth and OIDC Profiles</font>
<div> </div>
</div>
<div>
<div>
<div>
<div style="direction:ltr">Hi,</div>
<div><br>
</div>
<div style="direction:ltr">Can I ask what the ask is here, across Europe, Australia, New Zealand and other jurisdictions FAPI RW is rapidly being the standard regardless of sector and already we are looking at a new version of FAPI Advanced profile that has
 several improvements on what is outlined in this profile.</div>
<div><br>
</div>
<div style="direction:ltr">Has any comparison been performed between the current high security fapi profile VS this profile thats proposed here?</div>
<div><br>
</div>
<div style="direction:ltr">Could you confirm wha the ask is from the working group or what improvements this profile proposes on top of FAPI or issues it addresses.</div>
<div><br>
</div>
<div style="direction:ltr">Kind Regards,</div>
<div style="direction:ltr">Ralph</div>
</div>
<div><br>
</div>
<div class="x_ms-outlook-ios-signature"></div>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="x_divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Openid-specs-fapi <openid-specs-fapi-bounces@lists.openid.net> on behalf of Russell, Mark L via Openid-specs-fapi <openid-specs-fapi@lists.openid.net><br>
<b>Sent:</b> Tuesday, March 3, 2020 5:20:42 PM<br>
<b>To:</b> openid-specs-fapi@lists.openid.net <openid-specs-fapi@lists.openid.net>; openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net><br>
<b>Cc:</b> Russell, Mark L <mrussell@mitre.org>; NSA ICAM Investigation <NSAICAM@groups.mitre.org><br>
<b>Subject:</b> [Openid-specs-fapi] Tailored OAuth and OIDC Profiles</font>
<div> </div>
</div>
<style>
<!--
@font-face
        {font-family:"Cambria Math"}
@font-face
        {font-family:Calibri}
p.x_x_MsoNormal, li.x_x_MsoNormal, div.x_x_MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif}
a:link, span.x_x_MsoHyperlink
        {color:#0563C1;
        text-decoration:underline}
p.x_x_MsoPlainText, li.x_x_MsoPlainText, div.x_x_MsoPlainText
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif}
span.x_x_EmailStyle17
        {font-family:"Calibri",sans-serif;
        color:windowtext}
span.x_x_PlainTextChar
        {font-family:"Calibri",sans-serif}
.x_x_MsoChpDefault
        {font-family:"Calibri",sans-serif}
@page WordSection1
        {margin:1.0in 1.0in 1.0in 1.0in}
-->
</style>
<div lang="EN-US">
<div class="x_x_WordSection1">
<p class="x_x_MsoPlainText">Hello all,</p>
<p class="x_x_MsoPlainText"> </p>
<p class="x_x_MsoPlainText">For anyone who may be interested: MITRE, in support of the U.S. Government, has developed tailored OAuth and OpenID Connect profiles for use in enterprise environments. We have leveraged previous standards efforts (e.g. work in the
 IETF and in the OpenID Foundation) and have detailed requirements to use the standards in a secure and interoperable manner to address enterprise environment use cases.</p>
<p class="x_x_MsoPlainText"> </p>
<p class="x_x_MsoPlainText">These profiles should be considered informational as we seek feedback from subject matter experts. Were interested in working with standards bodies and others to move these concepts forward. We welcome any comments and suggestions
 at <a href="mailto:OAuthOIDCProfiles@groups.mitre.org">OAuthOIDCProfiles@groups.mitre.org</a> .</p>
<p class="x_x_MsoPlainText"> </p>
<p class="x_x_MsoPlainText">The profiles can be found at: <a href="https://www.mitre.org/publications/technical-papers/enterprise-mission-tailored-oauth-20-and-openid-connect-profiles">
https://www.mitre.org/publications/technical-papers/enterprise-mission-tailored-oauth-20-and-openid-connect-profiles</a></p>
<p class="x_x_MsoNormal"> </p>
<p class="x_x_MsoNormal">[This message was previously sent to the OAuth IETF mailing list  apologies to anyone who receives it multiple times]</p>
<p class="x_x_MsoNormal"> </p>
<p class="x_x_MsoNormal">Mark Russell</p>
<p class="x_x_MsoNormal">Cyber Physical and Mobile Tech  T8A5</p>
<p class="x_x_MsoNormal">The MITRE Corporation </p>
<p class="x_x_MsoNormal">(o) 703-983-7941  (m) 202-492-5567</p>
<p class="x_x_MsoNormal"><a href="mailto:mrussell@mitre.org"><span style="color:#0563C1">mrussell@mitre.org</span></a></p>
<p class="x_x_MsoNormal"> </p>
</div>
</div>
</div>
</body>
</html>