<div dir="ltr"><div dir="ltr"><a href="https://github.com/openid/ipsie/pull/113">https://github.com/openid/ipsie/pull/113</a></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Tue, Sep 16, 2025 at 4:14 PM Dick Hardt <<a href="mailto:dick.hardt@gmail.com">dick.hardt@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Quoting both Karl and ChatGPT, 80% of the value in directory sync is deprovisioning.<br><br>What does everyone think of changing IL1 (or AL1 if we move to account lifecycle) to be deprovisioning? <br><br>I'm proposing that we describe that the users may have been provisioned via JIT or manually, and provisioning is out of scope for IL1.<br><br>In IL1, the identity service MUST do account resolution to link the app identifiers with the identity service identifiers, and then the app must deprovision an account when directed by the identity service. <br><br>An app delegating provisioning to the identity service would be included in IL2 and would include profile and group membership.<br><br>Hopefully we will have some time to discuss today<div><br></div><div>/Dick</div></div>
</blockquote></div>