<div dir="ltr"><span id="docs-internal-guid-9ecba91d-4f8d-a9ae-1909-776173d891b0"><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Throughout</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Replace <a href="http://mitre.org">mitre.org</a> with <a href="http://example.com">example.com</a> in examples</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">1.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">We should provide a reference for </span><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Draft Profiles for the use of OAuth 2.0</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">2.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">We need to spell out and reference JWK, since this is the first mention of it.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Making the iss and aud fields mandatory may present issues with the blinding capabilities of potential iGov implementations.</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">3.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:14.6667px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">“</span><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Servers MUST support the UserInfo Endpoint and, at a minimum, the </span><span style="font-size:13.3333px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">openid</span><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent"> scope and </span><span style="font-size:13.3333px;font-family:Arial;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">sub</span><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">(subject) claims returned from there for all users.” That’s a super awkward sentence. Can we just remove “returned from there for all users” since that is redundant information?</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">JOSE should reference the relevant RFC.</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">4.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Unusual wording. “Servers MUST accept request objects encrypted to the server’s public key.” I think most people would say “Servers MUST accept request objects encrypted with the server’s public key.”</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">request_uri should be wearing spanx</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">5.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Should acr and amr be wearing spanx?</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Do we want to mention VoT here?</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">“The specific values must be agreed upon and understood between the OpenID Provider and any Relying Parties. FICAM has not yet published standard values that would be suitable for this field, so interconnected partners will need to agree to common values for this claim.” That’s unclear, because the “must” isn’t normative, nor is “will need to”. Do we actually want to require these two parties to somehow *waves hands* know what language to speak? An example might be helpful here, and/or just focus this section on the provider and what the provider has to do and leave out the part about “agreed upon and understood” altogether.</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">6.</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">OAuth Token Introspection is now </span><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">RFC 7662</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">OAuth Token Revocation is now RFC 7009</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">JWK should reference RFC 7517</span></p><br><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">References</span></p><p dir="ltr" style="line-height:1.656;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">JWA is now RFC 7518</span></p><p dir="ltr" style="line-height:1.656;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">JWE is now RFC 7516</span></p><p dir="ltr" style="line-height:1.656;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">JWK is now RFC 7517</span></p><p dir="ltr" style="line-height:1.656;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">JWS is now RFC 7515</span></p><p dir="ltr" style="line-height:1.656;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">JWT is now RFC 7519</span></p><p dir="ltr" style="line-height:1.656;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap">OAuth.Registration is now RFC 7591</span></p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent">Add references to RFC 7662 and RFC 7009 (introspection and revocation)</span></p><div><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent"><br></span></div><div><span style="font-size:13.3333px;font-family:Verdana;color:rgb(0,0,0);vertical-align:baseline;white-space:pre-wrap;background-color:transparent"><br></span></div></span><div><div class="gmail_signature"><div dir="ltr"><div style="color:rgb(136,136,136)">Sarah Squire</div><div style="color:rgb(136,136,136)">Engage Identity</div><div style="color:rgb(136,136,136)"><a href="http://engageidentity.com/" style="color:rgb(17,85,204)" target="_blank">http://engageidentity.com</a></div></div></div></div>
</div>