<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Once again, thanks for the thorough review. I’ve incorporated pretty much everything below into the profiles.<div class=""><br class=""></div><div class=""> — Justin</div><div class=""><br class=""><div style=""><blockquote type="cite" class=""><div class="">On Nov 28, 2015, at 2:26 PM, Sarah Squire <<a href="mailto:sarah@engageidentity.com" class="">sarah@engageidentity.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div dir="ltr" class=""><span id="docs-internal-guid-9ecba91d-4f8d-a9ae-1909-776173d891b0" class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Throughout</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Replace <a href="http://mitre.org/" class="">mitre.org</a> with <a href="http://example.com/" class="">example.com</a> in examples</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">1.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">We should provide a reference for </span><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Draft Profiles for the use of OAuth 2.0</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">2.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">We need to spell out and reference JWK, since this is the first mention of it.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Making the iss and aud fields mandatory may present issues with the blinding capabilities of potential iGov implementations.</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">3.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 14.6667px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">“</span><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Servers MUST support the UserInfo Endpoint and, at a minimum, the </span><span style="font-size: 13.3333px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">openid</span><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class=""> scope and </span><span style="font-size: 13.3333px; font-family: Arial; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">sub</span><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">(subject) claims returned from there for all users.” That’s a super awkward sentence. Can we just remove “returned from there for all users” since that is redundant information?</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">JOSE should reference the relevant RFC.</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">4.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Unusual wording. “Servers MUST accept request objects encrypted to the server’s public key.” I think most people would say “Servers MUST accept request objects encrypted with the server’s public key.”</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">request_uri should be wearing spanx</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">5.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Should acr and amr be wearing spanx?</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Do we want to mention VoT here?</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">“The specific values must be agreed upon and understood between the OpenID Provider and any Relying Parties. FICAM has not yet published standard values that would be suitable for this field, so interconnected partners will need to agree to common values for this claim.” That’s unclear, because the “must” isn’t normative, nor is “will need to”. Do we actually want to require these two parties to somehow *waves hands* know what language to speak? An example might be helpful here, and/or just focus this section on the provider and what the provider has to do and leave out the part about “agreed upon and understood” altogether.</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">6.</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">OAuth Token Introspection is now </span><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">RFC 7662</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">OAuth Token Revocation is now RFC 7009</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">JWK should reference RFC 7517</span></div><br class=""><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">References</span></div><div style="line-height: 1.656; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">JWA is now RFC 7518</span></div><div style="line-height: 1.656; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">JWE is now RFC 7516</span></div><div style="line-height: 1.656; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">JWK is now RFC 7517</span></div><div style="line-height: 1.656; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">JWS is now RFC 7515</span></div><div style="line-height: 1.656; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">JWT is now RFC 7519</span></div><div style="line-height: 1.656; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap;" class="">OAuth.Registration is now RFC 7591</span></div><div style="line-height: 1.38; margin-top: 0pt; margin-bottom: 0pt;" class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class="">Add references to RFC 7662 and RFC 7009 (introspection and revocation)</span></div><div class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class=""><br class=""></span></div><div class=""><span style="font-size: 13.3333px; font-family: Verdana; vertical-align: baseline; white-space: pre-wrap; background-color: transparent;" class=""><br class=""></span></div></span><div class=""><div class="gmail_signature"><div dir="ltr" class=""><div style="color:rgb(136,136,136)" class="">Sarah Squire</div><div style="color:rgb(136,136,136)" class="">Engage Identity</div><div style="color:rgb(136,136,136)" class=""><a href="http://engageidentity.com/" style="color:rgb(17,85,204)" target="_blank" class="">http://engageidentity.com</a></div></div></div></div>
</div>
_______________________________________________<br class="">Openid-specs-heart mailing list<br class=""><a href="mailto:Openid-specs-heart@lists.openid.net" class="">Openid-specs-heart@lists.openid.net</a><br class="">http://lists.openid.net/mailman/listinfo/openid-specs-heart<br class=""></div></blockquote></div><br class=""></div></body></html>