<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

span.apple-style-span

        {mso-style-name:apple-style-span;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">An OAuth Bearer token != a JWT. Dictating JWT would force deployments that have their own proprietary tokens to adopt JWT, for zero benefit as the the token issuer and token receiver are the same entity, so there is no requirement for interop.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">While there are numerous ways to authenticate, picking one widely deployed mechanism simplifies adoption.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">It is unclear why a bearer token for RISC would be in conflict with someone that has used FAPI or iGov. Just because they use a POP for authentication of the user, does not mean they can’t use a bearer token for the RISC control plane.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Do you have an example of someone that wants to deploy RISC where 6750 would be problematic?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">/Dick<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal" style="margin-left:.5in">On 4/6/18, 9:22 AM, someone claiming to be "Openid-specs-risc on behalf of Phil Hunt via Openid-specs-risc" <<a href="mailto:openid-specs-risc-bounces@lists.openid.net">openid-specs-risc-bounces@lists.openid.net</a>

 on behalf of <a href="mailto:openid-specs-risc@lists.openid.net">openid-specs-risc@lists.openid.net</a>> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<p class="MsoNormal" style="margin-left:.5in"><a name="_MailOriginalBody">The dependence on RFC6750 (OAuth bearer tokens) is a concern because it limits security agility.

<o:p></o:p></a></p>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody">I have stated, my preference is for any HTTP security mechanism to be permissible because implicit federation entities are not always using OAuth based infrastructure

 - yet many do have sophisticated IDM and security systems. <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody">That concern aside, there are other OIDF working groups (FAPI and iGov) that are mandating the use of bound or proof-of-possesion tokens. These groups would be unable

 to use RISC’s proposed bearer token security model as they only accept token binding and mutual tls bound tokens.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody">As a compromise, I suggest the dependence be made on RFC7519 (JWT tokens) instead of RFC6750.  It would be reasonable to suggest, in a non-normative way the use of OAuth

 Bearer tokens as an example solution for RISC.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><o:p> </o:p></span></p>

</div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><span style="color:black">Phil<o:p></o:p></span></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><span style="color:black"><o:p> </o:p></span></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><span style="color:black">Oracle Corporation, Identity Cloud Services Architect<o:p></o:p></span></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><span style="color:black">@independentid<o:p></o:p></span></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"></span><a href="http://www.independentid.com"><span style="mso-bookmark:_MailOriginalBody">www.independentid.com</span><span style="mso-bookmark:_MailOriginalBody"></span></a><span style="mso-bookmark:_MailOriginalBody"><span style="color:black"><o:p></o:p></span></span></p>

</div>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"></span><a href="mailto:phil.hunt@oracle.com"><span style="mso-bookmark:_MailOriginalBody">phil.hunt@oracle.com</span><span style="mso-bookmark:_MailOriginalBody"></span></a><span style="mso-bookmark:_MailOriginalBody"><span style="color:black"><o:p></o:p></span></span></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"><span style="mso-bookmark:_MailOriginalBody"><o:p> </o:p></span></p>

</div>

</div>

</body>

</html>