<div dir="ltr">

<span></span><div>CIBA introduces a new endpoint sometimes called Backchannel Authentication Endpoint and sometimes called bc-authorize (also kinda implying that bc-authorize should be the actual path, which is something that shouldn't be dictated by spec). The new endpoint should be introduced/described in the spec with a consistent name and then define and register a new Authorization Server Metadata parameter for it that allows the AS to determine the endpoint URI and publish it in metadata. The OAuth 2.0 Device Flow does this with its Device Authorization Endpoint (in <a href="https://tools.ietf.org/html/draft-ietf-oauth-device-flow-10#section-2">https://tools.ietf.org/html/draft-ietf-oauth-device-flow-10#section-2</a> and <a href="https://tools.ietf.org/html/draft-ietf-oauth-device-flow-10#section-4">https://tools.ietf.org/html/draft-ietf-oauth-device-flow-10#section-4</a> and <a href="https://tools.ietf.org/html/draft-ietf-oauth-device-flow-10#section-7.3">https://tools.ietf.org/html/draft-ietf-oauth-device-flow-10#section-7.3</a>) which is similar in many respects to CIBA's new endpoint and is a good pattern to follow. <br></div><br></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>