<div dir="ltr">Eliding old text below to make the thread shorter...<div><br></div><div>Here's my reading. The phrase is a term of art originally crafted by Adrian. It's a bit analogous to business/IT decisions about "build, buy, or outsource", only applied to individuals' ability to be autonomous and have sovereignty over their own lives (decisional autonomy, a key component of privacy writ large) and data (a key component of data privacy).</div><div><br></div><div><b>build:</b> Alice could literally write the AS code herself and stand up her own service, say, under her deck at home on her own hardware, or on a "blade server" at her ISP.</div><div><b>buy:</b> Alice could personally invest the time to investigate and contract with a software solution supplier and stand up her own service, again on one of the above hardware choices.</div><div><b>outsource:</b> Alice could survey the available AS SaaS services on the market and choose one.</div><div><div class="gmail_extra"><br></div><div class="gmail_extra">Adrian's HIE of One open-source project makes some of the above scenarios possible.</div><div class="gmail_extra"><br></div><div class="gmail_extra">You can imagine the layers of "terms of service" or "EULA" or whatever that would/could apply at each level of the hardware/software/trust relationship stack, and we wouldn't want to stick our noses into 99% of it except where the services and apps and operators first have to "meet" at a technical level. The UMA WG, in fact, is only sticking its nose into the UMA-specific part of it, plus some exemplar agreements to give a flavor of what's possible in those larger terms of service, EULAs, consent receipts, etc. (The consent receipts might have a larger proportion of UMA-specific content in them than the others!)</div><div class="gmail_extra"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr">







<p><b>Eve Maler<br></b>ForgeRock Office of the CTO | VP Innovation & Emerging Technology<br>Cell +1 425.345.6756 | Skype: xmlgrrl | Twitter: @xmlgrrl<br>Join our <a href="http://forgerock.org/openuma/" target="_blank">ForgeRock.org OpenUMA</a> community!</p></div></div></div></div></div>
<br><div class="gmail_quote">On Tue, Dec 15, 2015 at 9:25 AM, Aaron Seib <span dir="ltr"><<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Okay – so what is the answer?  I am assuming that the first case that argued that the topic of number and ownership of AS should be out of scope is off but the language in the charter isn’t clear to me yet… <u></u><u></u></span></p><span class=""><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b>Support independent authorization services and identity providers, to be chosen by people who may build, run, or outsource these services.</b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p></span><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Support is clear to me – it implies that it should allow for so the first word I am good with.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">What is meant by an <b>independent</b> authorization service?  Specifically what are we saying?  Independent as in not ran by the government (Private) or independent as in not ran by either the Resource Owner or the person that the data is about (the consumer who is the subject of the PHI)?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">What is meant by “To be chosen by people”?  We got all kinds of people.  The guy who runs the lottery machine down the street is a people.  At least his mom thinks so.  <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Was it meant to say that a consumer has a right to choose the AS and IdP that they want used?  That would be clearer if it said it that way.  The last eight words seem to be tacked onto the end ‘who may build, run or outsource these services’.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I am assuming it was intended to mean that “The consumer should be supported in choosing a standards based authorization service (and\or identity provider) that is independently operated by the consumer themselves or by someone that they have selected.  The independently operated service may be operated publically or privately and the consumer may elect to leverage one operated by the Resource owner.”<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I presume this is something that is doable, right?  The Resource Owner doesn’t incur any additional burdens by selecting the independent AS preferred by the consumer do they?  If they do we are going to have to figure out how to limit that liability or they will never do it, right?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I think the perception of a privacy risk is most prevalent when the resource owner is also the operator of the authorization server selected by the consumer.  The consumer should be familiar with those risk before making that choice and this should not be referred to as an independent AS, right?  <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The notion of which Independent AS’ are trustworthy (and if a Resource Owner operated AS could be trusted) is out of scope but I don’t think that implies that their existence doesn’t have to be acknowledged to get where we are going.  Right?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Eve Maler [mailto:<a href="mailto:eve.maler@forgerock.com" target="_blank">eve.maler@forgerock.com</a>] <br><b>Sent:</b> Tuesday, December 15, 2015 11:24 AM<br><b>To:</b> Aaron Seib<br><b>Cc:</b> Adrian Gropper; Crandall, Glen; <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a></span></p><div><div class="h5"><br><b>Subject:</b> Re: [Openid-specs-heart] The Number and Ownership of Authorization Servers.<u></u><u></u></div></div><p></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Actually, what's in our charter related to number/ownership/trust around (UMA) authorization servers would probably be <a href="http://openid.net/wg/heart/charter/" target="_blank">these passages</a>:<u></u><u></u></p><div><ul type="disc"><li class="MsoNormal">"The following efforts are out of scope: ... Development of related <b>trust frameworks</b>."<u></u><u></u></li><li class="MsoNormal">(non-normative background info:) "PoF’s primary focus is on privacy and security protocols that could demonstrate machine-executable representation of patient authorization and consent.  At the center of the effort is the notion that both implicit and explicit authorizations are necessary for the exchange. The authorization could be managed through a recognized/<b>trusted</b> Patient Authorization Service that the patient to could use mediate the exchange of their own personal health from a number of patient portals that they may have access to."<u></u><u></u></li><li class="MsoNormal">"The specifications must meet the following basic requirements, in addition to specific use cases and requirements later identified by this Working Group: ... <b>Support independent authorization services and identity providers, to be chosen by people who may build, run, or outsource these services.</b>"<u></u><u></u></li></ul><div><p class="MsoNormal">What are the technical requirements for profiling the specs to support an AS that serves a single RO (as in Adrian's vision), vs. the business and legal requirements for supporting an AS that serves a single RO? If we identify those, then we'll be within the reasonable limits of our charter. I don't think there are many, if any.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Regarding what an individual would prefer in their lives, I'm guessing they would prefer a single AS, all other things being equal. But all other things aren't equal... They might also prefer a single login account in their lives -- but lots of people, faced with "social" federated login at yet another website/web app, still choose to create yet another local login instead because logging in with Facebook gives them a creepy feeling. Many of us at this table have worked hard to make a new reality possible, so that people could have the choice of logging in with a "trusted credential" of a certain type that wouldn't feel creepy but natural instead. And some of us are working on an even bolder vision, the choice of substituting a "third-party" outsourced service with a 100% trusted built/run one.<br clear="all"><u></u><u></u></p><div><div><div><div><div><p><b>Eve Maler<br></b>ForgeRock Office of the CTO | VP Innovation & Emerging Technology<br>Cell <a href="tel:%2B1%20425.345.6756" value="+14253456756" target="_blank">+1 425.345.6756</a> | Skype: xmlgrrl | Twitter: @xmlgrrl<br>Join our <a href="http://forgerock.org/openuma/" target="_blank">ForgeRock.org OpenUMA</a> community!<u></u><u></u></p></div></div></div></div></div><p class="MsoNormal"><br><u></u></p></div></div></div></div></div></div></div></div></blockquote></div></div></div></div>