<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>Hi guys,</div>

<div><br>

</div>

<div>In our last call we were talking about different use cases we could come across the  the MODRNA Profile spec.</div>

<div><br>

</div>

<div>I have had some meetings with product business from Telefónica, and I would like to share with you some of these use cases that can have impact in the MODRNA profile spec.</div>

<div><br>

</div>

<div><b>ABILITY TO CHOOSE THE SPECIFIC AUTHENTICATOR</b></div>

<div><br>

</div>

<div>As per the conversations that I have had with Biz Product, they want to have the ability to charge different prices to the Service Providers dependant on the authenticator used to authenticate the user, so it iwould be necessary that the RP would have

 the chance to choose it in the authentication request. The current draft of the spec only allows to specify “mod-pr” and “mod-mf” to request phising-resistant and multi-factor authentication respectivey, without taking into account the final authenticator

 that will be used.</div>

<div><br>

</div>

<div><b>CONTROL OF ALLOWED AUTHENTICATORS</b></div>

<div><br>

</div>

<div>

<div>Apart from having different prices according with the used authenticator, there is another feature that they want to have,  and it consist in having a control of the authenticators that a Service Provider can use. They see a need to agree the authenticators

 to use during the Service Provider onboarding process, in such way if a Service Provider doesn’t hire an authenticator it must not be able to use it. In such case we would need an scope or something similar to do it otherwise we would need to implement something

 “ad-hoc”in the specific MC implementation that wants to offer this feature.</div>

</div>

<div><br>

</div>

<div><br>

</div>

<div><br>

</div>

<div>Best,</div>

<div>Gonza.</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">De: </span><Lodderstedt>, Torsten <<a href="mailto:t.lodderstedt@telekom.de">t.lodderstedt@telekom.de</a>><br>

<span style="font-weight:bold">Fecha: </span>jueves, 28 de enero de 2016, 8:08<br>

<span style="font-weight:bold">Para: </span>"<a href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>" <<a href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>><br>

<span style="font-weight:bold">Asunto: </span>[Openid-specs-mobile-profile] Preliminary Minutes WG Call 27.1.2016<br>

</div>

<div><br>

</div>

<div xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<meta name="Generator" content="Microsoft Word 12 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.E-MailFormatvorlage17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 2.0cm 70.85pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

<div lang="DE" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">Hi all,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span lang="EN-US">please find below the minutes of today’s call.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">best regards,<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Torsten.<o:p></o:p></span></p>

<div style="mso-element:para-border-div;border:none;border-bottom:solid windowtext 1.0pt;padding:0cm 0cm 1.0pt 0cm">

<p class="MsoNormal" style="border:none;padding:0cm"><span lang="EN-US"><o:p> </o:p></span></p>

</div>

<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Participants:<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">John Bradley<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Nat Sakimura<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Florian Walter<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Jörg Connotte<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Gonzalo Fernandéz<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Matthieu Verdier<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Bjorn Hjelm<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Torsten Lodderstedt<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">Authentication spec<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- John guided us through the changes he made in the last revision<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- The following topics were discussed:<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* ACR Values: examples for security keys and difference between keys and pwd/pin shall be added<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* AMR values: add example for amr values (e.g SIM Applet+PIN is represented by “hpop” + “pin”)<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* short and long form of ACRs: the short shall be used by clients, long form will be used to register the ACR values in the IANA registry (by MODRNA WG)<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* order of acrs gives RP a way to express its preferences regarding authentication, i.e. bring ARC values in their preferred order

<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* we stay with two acr values for now, we could add the third (or a forth) value at any time based on experiences/discussions<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- how to handle TBDs<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- 6.1. replace by reference to respective OpenID Connect Discovery<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- 7 length of the binding message – replace by better explanation: message may be truncated

<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- Mitigations for new security vulnerabilities<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- discussed different options<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* copy text from oauth spec<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* reference current oauth spec<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* recommend to use “code id_token” instead of “code”<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">* general problem: discussions within OAuth WG are ongoing and outcome cannot really be predicted.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">-> Conclusion: will pass spec to GSMA as is and discuss vulnerabilities and way forward with GSMA<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">MWC<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- John, Torsten will attend<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- Nat will probably attend as well (as he will be in Paris at that time)<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- Gonzalo & Matthieu would attend if we setup a meeting regarding MODRNA<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US">- Torsten will talk to GSMA<o:p></o:p></span></p>

</div>

</div>

</div>

</span><br>

<hr>

<font face="Arial" color="Gray" size="1"><br>

Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener información privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la

 lectura, utilización, divulgación y/o copia sin autorización puede estar prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción.<br>

<br>

The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,

 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br>

<br>

Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinatário, pode conter informação privilegiada ou confidencial e é para uso exclusivo da pessoa ou entidade de destino. Se não é vossa senhoria o destinatário indicado, fica notificado de que a

 leitura, utilização, divulgação e/ou cópia sem autorização pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destruição<br>

</font>

</body>

</html>