<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Exchange Server">

<!-- converted from rtf -->

<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>

</head>

<body>

<font face="Arial" size="2"><span style="font-size:10pt;">

<div>Dear all,</div>

<div>Please find enclosed the minutes of our call on Tuesday 2<font size="1"><span style="font-size:6.65pt;"><sup>nd</sup></span></font> of October 2018.</div>

<div>Let me know of any error or misunderstanding</div>

<div style="margin-top:24pt;"><font face="Cambria" size="4" color="#365F91"><span style="font-size:14pt;"><b>Roll Call</b><font color="black"><b> (extract from GotoMeeting dashboard)</b></font></span></font></div>

<div>John Bradley</div>

<div>Philippe Clement (Orange)</div>

<div>Bjorn Hjelm (Verizon)</div>

<div>Brian Campbell</div>

<div>Charles Marais (Orange)</div>

<div>Dave.Tonge (Moneyhub)</div>

<div>Frank-Michael Kamm</div>

<div>Geoff Graham</div>

<div>Martin Hoffmann</div>

<div>Petteri (Ubisecure)</div>

<div>Michael Engan</div>

<div>Gonza</div>

<div>Hubert Mariotte</div>

<div style="margin-top:24pt;"><font face="Cambria" size="4" color="#365F91"><span style="font-size:14pt;"><b>Adoption of the Agenda [Bjorn/John]</b></span></font></div>

<div>Agenda agreed</div>

<div style="margin-top:24pt;"><font face="Cambria" size="4" color="#365F91"><span style="font-size:14pt;"><b>External Organizations</b></span></font></div>

<div style="margin-top:10pt;"><font face="Cambria" size="3" color="#4F81BD"><span style="font-size:13pt;"><b>GSMA [Siva]</b></span></font></div>

<div style="margin-top:10pt;"><font face="Cambria" size="3" color="#4F81BD"><span style="font-size:13pt;"><b>CPAS Update [Siva]</b></span></font></div>

<div>Not addressed</div>

<div style="margin-top:10pt;"><font face="Cambria" size="3" color="#4F81BD"><span style="font-size:13pt;"><b>CIBA without user interaction [Charles/Orange]</b></span></font></div>

<div>Charles and Gonzalo relay a topic discussed in the CPAS, about how to deliver a token (AT) needed by an RP to access resources, without any authentication of the user (no user interaction). In another way, does CIBA usage without user authentication make

sense ?</div>

<div>The CPAS group decided to get the opinion of MODRNA.</div>

<div><font face="Calibri" size="2"><span style="font-size:11pt;"> </span></font></div>

<div>Discussions about the fact to include Id_token in the case where no authentication occurs.</div>

<div>In the case where a user already consented or due to a specific arrangement, JWT assertion protocol has to be used, preferred to the use of CIBA with no authentication.</div>

<div>In the case where the user already authenticated and a RT exists, the AT can be retrieved with the RT.</div>

<div>Discussions about using the client credentials: If no need to bind the AT to a particular user, usage of client credentials makes sense. However, Client Credentials should be chosen carefully as ATs cover large perimeter.</div>

<div>Anyway, it’s not recommended to use the same protocol in the 2 cases, user is authenticated or the user is not. In the case the user has to be authenticated, usage of CIBA is ok. In the other case, usage of JWT assertion is recommended.</div>

<div>Discussions about using specific error codes in CIBA mentioning the preferred usage of JWT assertion: question remains open.</div>

<div style="margin-top:10pt;"><font face="Cambria" size="3" color="#4F81BD"><span style="font-size:13pt;"><b>OIX</b><b> (</b><b>Martin Hoffmann</b><font color="#1F497D"><b>)</b></font></span></font></div>

<ul style="margin:0;">

<font face="Calibri" size="2"><span style="font-size:11pt;">

<li style="margin-top:5pt;margin-bottom:5pt;">Presentation of the <font color="#1F497D">LIGHTest project (</font><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__oixuk.org_lightest-2Dproject_&d=DwMGaQ&c=udBTRvFvXC5Dhqg7UHpJlPps3mZ3LRxpb6__0PomBTQ&r=NMZJHCV8pjvGIH2fTx9z6l7g7-V-a2xW7ISf9uHdz0A&m=RVgJNCiVIGmoS69D4YWxmEwGYBjSgl5PEucA6PIVZug&s=7AEeMJ44WLR6zHnJpy9ysS4zHXcRkNNQeU6zXN3bp2U&e="><font color="blue"><u>http://oixuk.org/lightest-project/</u></font></a>,

<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.lightest-2Dcommunity.org&d=DwMGaQ&c=udBTRvFvXC5Dhqg7UHpJlPps3mZ3LRxpb6__0PomBTQ&r=NMZJHCV8pjvGIH2fTx9z6l7g7-V-a2xW7ISf9uHdz0A&m=RVgJNCiVIGmoS69D4YWxmEwGYBjSgl5PEucA6PIVZug&s=XvWhBwZoTiicKpxAZ0rCNu_CURvolxw6pTNHAmq8pyE&e="><font color="blue"><u>https://www.lightest-community.org</u></font></a>)</li></span></font>

</ul>

<ul style="margin:0;">

<font face="Calibri" size="2"><span style="font-size:11pt;">

<li style="margin-top:5pt;margin-bottom:5pt;">Establishing trust domains taking into account trust schemes, trust services, LOAs and authentication means (FIDO, Mobile Connect…). Trust schemes are published throughout the world.</li><li style="margin-top:5pt;margin-bottom:5pt;">All documents accessible through DNS service.</li><li style="margin-top:5pt;margin-bottom:5pt;">This project has activities in different groups like FIDO, GSMA, ETSI, OIX, IETF…</li></span></font>

</ul>

<div style="margin-top:24pt;"><font face="Cambria" size="4" color="#365F91"><span style="font-size:14pt;"><b>Issue Tracker</b></span></font></div>

<div><font face="Calibri" size="2"><span style="font-size:11pt;"><a href="https://bitbucket.org/openid/mobile/issues/93/use-public-claim-names-for-ciba-jwt-claims"><font face="Arial" size="2" color="#172B4D"><span style="font-size:10pt;">#93: use Public Claim

Names for CIBA JWT claims</span></font></a></span></font></div>

<div style="padding-left:18pt;">Brian’s proposal was to use <font color="#172B4D">public collision resistant name</font><font color="#172B4D">s</font><font color="#172B4D">, no objection append on the call.</font></div>

<div><font face="Calibri" size="2"><span style="font-size:11pt;"> </span></font></div>

<div><font face="Calibri" size="2"><span style="font-size:11pt;"><a href="https://bitbucket.org/openid/mobile/issues/81/ciba-authentication-error-responses-cant"><font face="Arial" size="2" color="#172B4D"><span style="font-size:10pt;">#81: CIBA: Authentication

Error Responses can't all be returned from the Backchannel Authentication Endpoint</span></font></a></span></font></div>

<div style="padding-left:18pt;">The idea is to <font color="#333333">r</font><font color="#333333">euse error codes of the device flow.</font></div>

<div style="padding-left:18pt;"><font color="#333333">A login_hint_token is expired ? we want to continue to support this use case.</font></div>

<ul style="margin:0;padding-left:72pt;">

<font color="#333333">

<li>From now to next Tuesday call: Dave to come on with a list of issues to review for people<font color="black">, and</font> cleanup most of the issues. </li></font>

</ul>

<div style="padding-left:18pt;"><font color="#333333">Implementers draft <font color="black">is envisioned </font>by the end of <font color="black">October.</font> </font></div>

<div>Until the n<font color="#333333">ext call, look for email</font>s on the list<font color="#333333"> for the CIBA issues.</font></div>

<div><font face="Calibri" size="2"><span style="font-size:11pt;"> </span></font></div>

<div>Best regards,</div>

<div>Philippe</div>

<div><font face="Calibri" size="2" color="#1F497D"><span style="font-size:11pt;"> </span></font></div>

<div><font face="Calibri" size="2"><span style="font-size:11pt;"> </span></font></div>

</span></font>

<PRE>_________________________________________________________________________________________________________________________

Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc

pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler

a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,

Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.

This message and its attachments may contain confidential or privileged information that may be protected by law;

they should not be distributed, used or copied without authorisation.

If you have received this email in error, please notify the sender and delete this message and its attachments.

As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.

Thank you.

</PRE></body>

</html>