<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p><span>Hi All, a few comments on the current draft of the HEART Profile for UMA 1.0:</span></p>
<p><span>- Section 1.3: "A HEART-compliant UMA authorization server MAY also provide HEART-compliant OAuth 2.0 authorization server functionality." This conflicts with section 1 that states the this profile inherits all requirements of the HEART profiles for OAuth 2.0 and OIDC 1.0. I see a "where applicable" but since UMA endpoints are OAuth 2.0 protected endpoints, and there are several MUST references to the HEART OAuth 2.0 profile, is there an example where the OAuth 2.0 requirements would not be applicable?</span></p>
<p><span>- Section 3.1.2: Typo "...or their is another..."</span></p>
<p><span>- Section 4.1.1: Is this a typo? should this be Protection API endpoints as per UMA Core Section 1.3.1 rather than RPT endpoint?</span></p>
<p>Luis</p>
<div>
<p><span style="font-family: verdana, geneva, sans-serif;">Luis C. Maas III, M.D., Ph.D.<br />CTO<br />EMR Direct<br />www.emrdirect.com<br /><br /></span></p>
</div>
</body></html>