<div dir="ltr">Just when I thought I was out of this thread, you pull me back in. :-)<div><br></div><div>Very high-level thoughts about what users will want to do: It all depends on availability of options. When it comes to UMA-conforming services:</div><div><ul><li>There are zero "full-choice" (wide-ecosystem) consumer-facing AS options today.</li><li>There are zero "partial-choice" (medium-ecosystem) AS options offered by organizations working within an existing circle of partners, say, providers or payers.</li><li>In the next small handful of quarters, we can expect a small number of "no-choice" (narrow-ecosystem) AS options offered by individual organizations.<br></li></ul><div>I believe these last will likely closely resemble the existing online "configure your sharing preferences" UX's that users are familiar with, adding "empowerment" features such as finer-grained access approvals (vs. ordinary OAuth consent) only as a new kind of advanced feature available for those special few who need/want/seek it. Part of the value of deploying UMA by these organizations will be to enable those ecosystems to grow in scope over time (e.g. to more easily cover partner APIs and third-party clients), and another part of the value is to add "strategic" data protection capabilities vs. "tactical" ones that stay only one step ahead of regulators (see: the EU GDPR announcement of yesterday!).</div><div><br></div><div>Someday, it is to be hoped that individuals will have lots of market choices of "full-choice" AS's (yes, that's the best plural I could come up with -- sorry!). And then we will have a new set of interesting problems on our hands regarding portability and "aggregatability" of the stuff that resides in AS's, so that people can move between them, do analytics over that stuff, etc.</div><div><br></div><div><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr">







<p><b>Eve Maler<br></b>ForgeRock Office of the CTO | VP Innovation & Emerging Technology<br>Cell +1 425.345.6756 | Skype: xmlgrrl | Twitter: @xmlgrrl<br>Join our <a href="http://forgerock.org/openuma/" target="_blank">ForgeRock.org OpenUMA</a> community!</p></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Dec 16, 2015 at 7:46 AM, Aaron Seib <span dir="ltr"><<a href="mailto:aaron.seib@nate-trust.org" target="_blank">aaron.seib@nate-trust.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="white" lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Awesome.  And on the other had – lest we all forget – we are the exception and there are people on the other side of the continuum who literally turn red when you try to explain to them that sending their PHI to an unsecure email address is fraught with dangers.  <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">If you think about it – that might be a case that we have to address.  <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">There are users who do not want to set up a AS at all – they just want their damn data.  Can we introduce something in the profile that tells the technologist how to configure that and more interesting – can that act as the users acknowledgement that they understand the risks and have chosen to go commando with their sharing preferences?<u></u><u></u></span></p><span class=""><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">@CaptBlueButton <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> (o) <a href="tel:301-540-2311" value="+13015402311" target="_blank">301-540-2311</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" value="+13013266843" target="_blank">301-326-6843</a><u></u><u></u></span></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img border="0" width="205" height="48" src="cid:image001.jpg@01D137EE.FB5EC050"></span></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p></div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p></span><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext"> Openid-specs-heart [mailto:<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">openid-specs-heart-bounces@lists.openid.net</a>] <b>On Behalf Of </b>Glen Marshall [SRS]<br><b>Sent:</b> Tuesday, December 15, 2015 5:16 PM<span class=""><br><b>Cc:</b> <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] The Number and Ownership of Authorization Servers.<u></u><u></u></span></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Many people have already set-up things to establish privacy, in various ways and some more effective than others.  Multiple AS might be one of them.</p><div><div class="h5"><br><br>For example, if I were enrolled in an HIV-positive clinical study, I might want the study's AS to contain my authorization just for access to the relevant RSs and not be noted in my clinical record.  The very fact of being enrolled in the study is too much of a disclosure.<br><br>Similarly, a person who has established a social networking account on an adult-interest web site might want to keep that out of sight from others.  The mere existence of such privacy preferences in a common authorization resource might raise uncomfortable questions if they were revealed.  One solution is to have a distinct AS for the adult-interest site.  That can be generalized.<br><br>For privacy reasons, I give every one of my on-line vendor contacts a unique e-mail address to contact me, e.g., <i><a href="mailto:vendor.com@glenmarshall.com" target="_blank">vendor.com<span style="font-style:normal">@glenmarshall.com</span></a></i>  Even though all the e-mail comes to a common account for me to read, it makes it impossible for unrelated vendors to assemble and share a dossier keyed by e-mail.  Each vendor has my privacy and contact preferences relative to just cou common business.  With a large number of e-mail addresses I also avoid common identification services, e.g., OAuth, except where it suits my purposes.  A side-effect is that I do not need complex trust relationships among vendors.  This is not much of a schlep for me, once it was set-up.  <br><br>... and so on.  <br>       <u></u><u></u></div></div><p></p><div><div class="h5"><div><p><b>Glen F. Marshall</b><br>Consultant<br>Security Risk Solutions, Inc.<br>698 Fishermans Bend<br>Mount Pleasant, SC 29464<br>Tel: <a href="tel:%28610%29%20644-2452" value="+16106442452" target="_blank">(610) 644-2452</a><br>Mobile: <a href="tel:%28610%29%20613-3084" value="+16106133084" target="_blank">(610) 613-3084</a><br><a href="mailto:gfm@securityrs.com" target="_blank">gfm@securityrs.com</a><br><a href="http://www.SecurityRiskSolutions.com" target="_blank">www.SecurityRiskSolutions.com</a><u></u><u></u></p></div><div><p class="MsoNormal">On 12/15/15 15:10, Debbie Bucci wrote:<u></u><u></u></p></div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><div><p class="MsoNormal">Yes I believe ...<span style="font-family:"Calibri","sans-serif";color:#1f497d">some poor schlep is going to be on the hook for keeping his AS replicated with the one I designated because of  “Policy”</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Calibri","sans-serif";color:#1f497d">AND  (ideally) </span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Calibri","sans-serif";color:#1f497d">The trusted  application that you are familiar designate (Bill's source of truth) would/should trigger/drive the updates.   </span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Calibri","sans-serif";color:#1f497d">Perhaps a schlep provide UI to verify update and changes (and trigger receipts of those update)  -  would be considered a safeguard.</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Calibri","sans-serif";color:#1f497d">Given your experience with PHRs - you know best - there maybe one source of truth for Healthcare data today but with IOT and other yet to be determined innovations -  I still believe (under the covers) it will be distributed in nature.</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Calibri","sans-serif";color:#1f497d">Understanding that going in may impact some of our decisions.   </span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><br><u></u></p></div></div></blockquote></div></div></div></div></blockquote></div><br></div></div></div>