
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Title" content="">


<meta name="Keywords" content="">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.apple-style-span


        {mso-style-name:apple-style-span;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:Calibri;


        color:windowtext;}


span.msoIns


        {mso-style-type:export-only;


        mso-style-name:"";


        text-decoration:underline;


        color:teal;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">As I survey the provisioning problems, just-in-time architectures are problematic for mobile applications. It seems much simpler to do provisioning centric option ii from the application’s


 perspective. The app gets changes when they happen and can act accordingly.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Would you elaborate on why entitlements, roles and groups are problematic?<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">/Dick<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>


<div>


<div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Consolas;color:black">On 11/9/16, 2:12 AM, someone claiming to be "Openid-specs-fastfed on behalf of Dick Hardt via Openid-specs-fastfed" <<a href="mailto:openid-specs-fastfed-bounces@lists.openid.net">openid-specs-fastfed-bounces@lists.openid.net</a>


 on behalf of <a href="mailto:openid-specs-fastfed@lists.openid.net">openid-specs-fastfed@lists.openid.net</a>> wrote:<o:p></o:p></span></p>


</div>


</div>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<p class="MsoNormal" style="margin-left:.5in">On today’s call we talked about  <o:p>


</o:p></p>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">a:  how and where attribute mapping should occur<o:p></o:p></p>


<div>


<p class="MsoNormal" style="margin-left:.5in">b:  using SCIM to do ongoing provisioning and updating<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">A couple of comments:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">* While SCIM has standardized attributes(claims), the values for entitlements (something a user has/is given), roles (something a user is), and groups often tend to be problematic.  We talked about some of these


 cases. I think “who” does the mapping of these types of claims will depend largely on “b”.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">*  There are actually several different types of relationships that could be established. Broadly speaking I would break them down into directory vs. provisioning centric:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">Directory Centric<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">Where the application uses the OpenID Connect/SCIM profile and obtains an access token to the SCIM endpoint. That access token can be used in two ways:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">i)  Just-in-time - the token is short lived and the app grabs what it needs every time the user logs into the app via connect<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">ii) Ongoing / delegated - the app polls the SCIM repository independently based on some other event criteria (eg. the SCIM provider issues an event saying the record has changed)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">Provisioning Centric:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">i) One-time: As part of fast fed, the application is provisioned with the first “copy” of the user.  No further updates are needed<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">ii) On-going provisioning system:   A provisioning system at the IDP is set up to send SCIM commands  to each application based on changes at the IDP<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">iii) On-going event system (loose-coupled):  The provisioning system sends events to the application. The applications reconcile and take appropriate action<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">There may be more variations here.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in">My gut feeling is that the directory method that will be easiest to standardize across all scenarios would be Directory-centric “ii” where the app either polls or uses SCIM events to trigger apps doing occasional


 reconciliation.  This might be easier to use at it has the fewest missing pieces and has a certain amount of adaptability to it. For example, an app could get data only once, it could update every time the user accesses, it could poll, or it could use events


 to “poll” only when a change notice has been delivered.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<div>


<div>


<div>


<div>


<div>


<div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black">Phil<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black">@independentid<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><a href="http://www.independentid.com">www.independentid.com</a><o:p></o:p></span></p>


</div>


</div>


</div>


</div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><a href="mailto:phil.hunt@oracle.com">phil.hunt@oracle.com</a><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>


</div>


</div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:black"><o:p> </o:p></span></p>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">


<o:p> </o:p></p>


</div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


</div>


</body>


</html>