<div dir="ltr">Hi all,<br><div>Summarizing my understanding of the issues and alternatives being discussed in relation to subject identifiers.</div><div><br></div><div><b>Current Situation</b>:</div><div>The subject identifiers proposed in the IETF SecEvents <a href="https://github.com/richanna/secevent/blob/master/draft-ietf-secevent-subject-identifiers.txt">Subject Identifiers</a> draft assume that "subject-type" is sufficient to identify a "subject principal". Events in the OpenID RISC spec assume that there's only one subject in an event. The subject principal is defined in the proposed <a href="https://bitbucket.org/openid/risc/src/caep-draft-01/openid-sse-profile-2_0.txt">SSE draft</a>.</div><div><br></div><div><b>Issues</b></div><div><ol><li>Multiple subject identifiers may be required to describe a subject principal in some events. (e.g. this user account on this device)</li><li>Some events may refer to multiple subject principals (e.g. transferor and transferee of a device)<br></li><li>Since subject-types are about the format rather than the principal, there may be ambiguity arising out of just using the subject-type (e.g. a phone number may describe a user or a device).</li></ol><div><b>Proposed Solutions</b></div></div><div><ol><li>Allow multiple subjects in an event, the semantic of combining them always being "AND". Also Include a "subject-category" identifier in addition to a subject-type in a subject identifier</li><li>Use a Json "map" to describe a "subject" claim in an event where the key is the subject-category and the value is the subject identifier as proposed in the SecEvents Subject Identifiers draft</li><li>Use a more flexible structure, where each event may have different claims that describe a subject (e.g. "transferor"), and the value of such claims is a Json map as described above.</li></ol><div>Atul</div></div></div>