
<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>We are not connecting. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">One more try...</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">So yes amazon could ask but i am asking why amazon would need to override the consent the user already granted with the transmitter (eg idp). </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">You might ask as an rp if you can share events back to the idp. But again you are the issuer. So you issue events based on whether the user consented in your domain to share back to the idp. Again the idp doesn't need to control your rp issues event stream--at least from a privacy perspective. <br><br>Phil</div><div><br>On Feb 19, 2017, at 4:36 PM, Hardt, Dick <<a href="mailto:dick@amazon.com">dick@amazon.com</a>> wrote:<br><br></div><blockquote type="cite"><div>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Title" content="">

<meta name="Keywords" content="">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.apple-style-span

        {mso-style-name:apple-style-span;}

span.EmailStyle18

        {mso-style-type:personal;

        font-family:Calibri;

        color:windowtext;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:Calibri;

        color:windowtext;}

span.msoIns

        {mso-style-type:export-only;

        mso-style-name:"";

        text-decoration:underline;

        color:teal;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>


<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">The receiver could signal to the transmitter what the user wants. The transmitter could confirm and/or query what the user wants.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Yes, the transmitter decides if events are transmitted, but one would also expect the transmitter to respect the user’s preferences.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">/Dick<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>

<div>

<div>

<p class="MsoNormal" style="margin-left:.5in">On 2/19/17, 4:08 PM, someone claiming to be "Phil Hunt (IDM)" <<a href="mailto:phil.hunt@oracle.com">phil.hunt@oracle.com</a>> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in">Thanks. However, I think the subscribe proposal may be backwards. <o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:.5in">Underlines for better clarity....<o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:.5in">If <u>transmitter (aka publisher) </u>expects to let its users (whether rp or idp) control whether

<u>transmitter</u> transmits their events, why would you let the receiver control your users info?<o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:.5in">The per user subscription control requirement seems to be the prerogative of the transmitter (publisher) and not of the receiver.  <br>

<br>

Phil<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">

<br>

On Feb 19, 2017, at 3:16 PM, Hardt, Dick <<a href="mailto:dick@amazon.com">dick@amazon.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Calibri">I expect to let users opt out of sharing. I can envision giving the user an option to decline security event sharing when federating.</span><o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Calibri">We will need a standard API to subscribe subjects when we are not federating. The

<a href="http://amazon.com">amazon.com</a> use case where we are sharing security events based on email address.</span><o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Calibri">/Dick</span><o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:Calibri"> </span><o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="margin-left:1.0in">On 2/18/17, 3:34 PM, someone claiming to be "Phil Hunt" <<a href="mailto:phil.hunt@oracle.com">phil.hunt@oracle.com</a>> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in">More importantly, I have not heard a case where users would be allowed to decline security event sharing and still consent to federation. <br>

<br>

The consent we've talked about is part of legal terms in the explicit dialog or of service provider TOS when users supply a foreign recovery email. <o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:1.0in">If that is the case I am not sure we need to have a standard api for registration of subscriber subjects. <o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:1.0in"><br>

Phil<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:1.0in">

<br>

On Feb 18, 2017, at 12:04 PM, Hardt, Dick <<a href="mailto:dick@amazon.com">dick@amazon.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal" style="margin-left:1.0in">Good question<o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<div id="AppleMailSignature">

<p class="MsoNormal" style="margin-left:1.0in">When Adam was labeling the implicit and explicit RPs, I originally thought the implicit was the OAuth flow as there was an implicit subscription by the RP of RISC events.<br>

<br>

-- Dick<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:1.0in">

<br>

On Feb 18, 2017, at 8:55 AM, Phil Hunt <<a href="mailto:phil.hunt@oracle.com">phil.hunt@oracle.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal" style="margin-left:1.0in">A few questions following Thursday’s F2F…<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-left:1.0in">Is there ever a time in RISC where a user who has chosen to federate would not be added to the stream between providers?  And if so, doesn’t the IDP already know this? Why wouldn’t an IDP who is a transmitter just

 do this automatically?  <o:p></o:p></p>

<div>

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal" style="margin-left:1.0in">Why wouldn’t an IDP just put a subject, who has consented to federation, in the event list for an audience automatically?  <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in">What purpose does it serve to have the receiver call back to register the subject if the receiver has already agreed to an event stream?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black">Phil</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"> </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black">Oracle Corporation, Identity Cloud Services & Identity Standards</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black">@independentid</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"><a href="http://www.independentid.com">www.independentid.com</a></span><o:p></o:p></p>

</div>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"><a href="mailto:phil.hunt@oracle.com">phil.hunt@oracle.com</a></span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"> </span><o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"> </span><o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"> </span><o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-left:1.0in"><span style="color:black"> </span><o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:1.0in">

 <o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-left:1.0in"> <o:p></o:p></p>

</div>

</div>

</blockquote>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal" style="margin-left:1.0in">_______________________________________________<br>

Openid-specs-risc mailing list<br>

<a href="mailto:Openid-specs-risc@lists.openid.net">Openid-specs-risc@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-risc">http://lists.openid.net/mailman/listinfo/openid-specs-risc</a><o:p></o:p></p>

</div>

</blockquote>

</div>

</blockquote>

</div>

</blockquote>

</div>


</div></blockquote></body></html>