<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">One issue is that we don’t say how historical information is represented. We need to extend the data model appropriately for this.<div class=""><br class=""></div><div class=""> — Justin</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Aug 27, 2016, at 10:01 AM, Adam Cooper via Openid-specs-igov <<a href="mailto:openid-specs-igov@lists.openid.net" class="">openid-specs-igov@lists.openid.net</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div dir="ltr" class=""><div class="">Hi all,</div><div class=""><br class=""></div><div class="">In followup to this week's call I had a couple of actions for suggestions to add to the profile based on UK and EU government backed identity schemes. </div><div class=""><br class=""></div><div class=""><u class="">User Identifiers</u></div><div class=""><br class=""></div><div class="">In the profile we currently have the following sub vales defined as part of the ID Token:</div><div class=""><br class=""></div><div class=""><div class="">sub</div></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px" class=""><div class=""><div class="">The identifier of the user. SHOULD be a pairwize annonymous identifier, and be unique per client to prevent linkability and traceability between clients.</div></div></blockquote><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Based on the eIDAS interoperability specifications (which covers 28 EU member states including for now the UK), I would suggest that we provide the additional guidance for providers when creating "sub" values:</div><div class=""><br class=""></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px" class=""><div class="">As a baseline requirement the "sub" identifier value should not include elements that directly identify the Principal i.e. the user. This follows the requirement for a persistent name identifier in other international identity standards such that persistent identifiers MUST be constructed using pseudo-random values that have no discernible correspondence with the subject's actual identifier (for example, username).<br class=""></div><div class=""><br class=""></div><div class="">Hashing of "sub" identifier values is permitted although this is not mandated by this profile. </div><div class=""><br class=""></div><div class="">The "sub" identifier value MUST NOT contain any whitespace. It is recommended that the "sub" identifier value is at least 32 characters in length. </div></blockquote><div class=""><br class=""></div><div class="">Optionally we may also wish to include some guidance about the stability of uniqueness identifiers:</div><div class=""><br class=""></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px" class=""><div class=""><div class="">The Uniqueness Identifier represented by the "sub" (subject) claim value shall remain unchanged for the lifetime of the identity account (as created by the underlying identity scheme). A Uniqueness Identifier shall never be reused, e.g. a new Uniqueness Identifier shall not match a Uniqueness Identifier that has been deleted. </div></div><div class=""><div class=""><br class=""></div></div><div class=""><div class="">Any service that consumes assertions of identity must assume that the Uniqueness Identifier presented for a particular person (natural or legal) may change over time e.g. where the user’s digital identity is replaced or repaired. This should be handled by a consuming service using the same matching process as used when an identity is first encountered utilising the set of identity attributes used to identify the Principal (i.e. user) within the service. </div></div></blockquote><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><u class="">Claim History</u></div><div class=""><br class=""></div><div class="">Where available previous name, address and date of birth claim values may be provided by the UserInfo Endpoint. These additional historic claim values, where available, should be provided to increase the possibility of a successful match to a government "account" where the user has changed personal details recently or visits the digital service being accessed infrequently. </div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Cheers,</div><div class=""><br class=""></div><div class="">A</div><div class=""><br class=""></div><div class=""><br class=""></div>-- <br class=""><div data-smartmail="gmail_signature" class=""><div dir="ltr" class=""><div class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div class=""><span class="">Adam Cooper</span></div><span class="">Identity Assurance Programme</span><div class="">Government Digital Service</div><div class="">125 Kingsway, London, <span style="font-family:Arial,sans-serif;font-size:12px;background-color:rgb(255,255,255)" class="">WC2B 6NH</span></div><div class=""><br class=""></div><div class="">Tel: 07973 123 038</div><div class="">official: <a href="mailto:adam.cooper@digital.cabinet-office.gov.uk" target="_blank" class="">adam.cooper@digital.<wbr class="">cabinet-office.gov.uk</a></div><div class="">official sensitive: <a href="mailto:adam.cooper@govdigital.gsi.gov.uk" target="_blank" class="">adam.cooper@govdigital.gsi.<wbr class="">gov.uk</a></div><div class=""><br class=""></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
_______________________________________________<br class="">Openid-specs-igov mailing list<br class=""><a href="mailto:Openid-specs-igov@lists.openid.net" class="">Openid-specs-igov@lists.openid.net</a><br class="">http://lists.openid.net/mailman/listinfo/openid-specs-igov<br class=""></div></blockquote></div><br class=""></div></body></html>