<div dir="ltr">Attendees: Marius Scurtescu, Adam Dawes, Phil Hunt, John Bradley, Adam Migus, Henrik Biering, Dale Olds, Brad Hill, William Denniss<div><br></div><div><div style="font-size:12.8px">Security Event Spec</div><div style="font-size:12.8px">- Renamed from Identity Event Token -> Security Event Token</div><div style="font-size:12.8px">- Structure: JSON envelope + payload</div><div style="font-size:12.8px">- Tokens should only be a single event. Event can have additional extension</div><div style="font-size:12.8px">- Another thought that when events have same origin (change password for SCIM and RISC) you could package them together. But in fact it is unlikely that you would have the same audience for these two events. </div><div style="font-size:12.8px">- Maybe add an event ID so that you could tie the two together. -> General interest in doing this, doesn't seem like a bad idea.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Is the sub in the event attribute or top level jwt?</div><div style="font-size:12.8px">- Connect wants it at top level for single logout to make simpler for libraries.</div><div style="font-size:12.8px">- how do we differentiate ID tokens from RISC events? Can remove nonce but we can't do that for every other new jwt type.</div><div style="font-size:12.8px">- Option: Introduce an JWT type explicitly. Libraries will have to update once. </div><div style="font-size:12.8px">- Option: make the audience a URL that is unique.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">ID events</div><div style="font-size:12.8px">- New event claim and event types</div><div style="font-size:12.8px">- jwt types: probably should have had them. But this will slow things down. </div><div style="font-size:12.8px">- Not redefining sub for OIDC but each spec will define sub in its own way</div><div style="font-size:12.8px">- Still can have nested claims if there is additional information </div><div style="font-size:12.8px">- Issuer at top level is always issuer of the event</div><div style="font-size:12.8px">- jti is identifier for the event. If the event was to revoke an ID token, it would have both independent jti as well as jti of the original session.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Action items:</div><div style="font-size:12.8px">-> Phil will have conversation with Mike to make sure Connect logout is happy.</div><div style="font-size:12.8px">-> William to help Phil with ID Event spec.</div><div style="font-size:12.8px">-> Phil and Marius will meet to move distribution forward</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Please follow up with corrections and/or additions.</div><div class="gmail-yj6qo gmail-ajU" style="margin:2px 0px 0px;font-size:12.8px"></div></div><div><div class="gmail_signature"><br></div><div class="gmail_signature">Marius</div></div>
</div>