<div dir="ltr"><div>In two places in the Authentication Request Validation section of CIBA, there is text that says the OpenID Provider MUST return error response per Section 3.1.2.6 of [OpenID.Core].  However, <a href="http://openid.net/specs/openid-connect-core-1_0.html#AuthError">Section 3.1.2.6 of OpenID.Core</a> defines returning errors to the client by redirecting the browser to the client's redirect_uri. When read literally (and that happens with specs!) the MUST there is rather 

<span></span>nonsensical because the CIBA Authentication Request is a direct HTTP POST from the client to the OP/AS. <br></div><div><br></div><div>Those two occurrences should probably be updated to point to the Authentication Error Response section in CIBA (<a href="https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/585e168fcc5d89bbb0e0908ecf2d7498982aac9f/draft-mobile-client-initiated-backchannel-authentication.xml#auth_error_response">§11</a> in bitbucket / <a href="http://openid.net/specs/openid-connect-modrna-client-initiated-backchannel-authentication-1_0.html#auth_error_response">§6.5</a> in the published version) that better defines errors from the Backchannel Authentication Endpoint. I rather suspect that's the intent of the draft and the problematic MUSTs are just an oversight. <br></div><div><br></div><div><br></div><br></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>