
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

/* List Definitions */

@list l0

        {mso-list-id:836270121;

        mso-list-template-ids:650657562;}

ol

        {margin-bottom:0in;}

ul

        {margin-bottom:0in;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">Hi all,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I’d like to add for discussion tomorrow the “credential compromise” event. I’d like to get feedback. See below.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks,<o:p></o:p></p>

<p class="MsoNormal">Stan<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><section anchor="credential-compromise-examples" title="Examples"><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><t>NOTE: The event type URI is wrapped, the backslash is the continuation character.</t><o:p></o:p></p>

<p class="MsoNormal"><t>Credential Compromised signals that the identifier specified in the subject was found to be compromised. The subject type MUST be either <spanx style="verb">email</spanx> or <spanx style="verb">phone</spanx>.</t><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><figure title="Example: Compromised credential found" anchor="credential-compromise-example"><artwork type="json"><![CDATA[<o:p></o:p></p>

<p class="MsoNormal">     <o:p></o:p></p>

<p class="MsoNormal">   {<o:p></o:p></p>

<p class="MsoNormal">     "iss": "https://idp.example.com/3456790/",<o:p></o:p></p>

<p class="MsoNormal">     "jti": "756E69717565206964656E746966696572",<o:p></o:p></p>

<p class="MsoNormal">     "iat": 1508184845,<o:p></o:p></p>

<p class="MsoNormal">     "aud": "https://sp.example2.net/caep",<o:p></o:p></p>

<p class="MsoNormal">     "events": {<o:p></o:p></p>

<p class="MsoNormal">       "https://schemas.openid.net/secevent/risc/event-type/credential-compromise": {<o:p></o:p></p>

<p class="MsoNormal">         "subject": {<o:p></o:p></p>

<p class="MsoNormal">           "subject_type": "iss-sub",<o:p></o:p></p>

<p class="MsoNormal">           "iss": "https://idp.example.com/3456790/",<o:p></o:p></p>

<p class="MsoNormal">           "sub": "joe.smith@example.com"<o:p></o:p></p>

<p class="MsoNormal">         },<o:p></o:p></p>

<p class="MsoNormal">         "credential-compromise-id": "email", “phone”<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">       }<o:p></o:p></p>

<p class="MsoNormal">     }<o:p></o:p></p>

<p class="MsoNormal">   }<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-</sourcecode><o:p></o:p></p>

<p class="MsoNormal">-</figure><o:p></o:p></p>

<p class="MsoNormal">+]]></artwork></figure><o:p></o:p></p>

<p class="MsoNormal">+<o:p></o:p></p>

<p class="MsoNormal"></section><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:

</span></b><span style="font-size:12.0pt;color:black">Openid-specs-risc <openid-specs-risc-bounces@lists.openid.net> on behalf of Atul Tulshibagwale via Openid-specs-risc <openid-specs-risc@lists.openid.net><br>

<b>Date: </b>Monday, February 22, 2021 at 5:51 PM<br>

<b>To: </b>Openid-specs-risc <openid-specs-risc@lists.openid.net><br>

<b>Subject: </b>Re: [Openid-specs-risc] "Compound" subject types in SSE<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal">Hi all,<o:p></o:p></p>

<div>

<p class="MsoNormal">A quick reminder to please review this proposal and provide your feedback and / or comments. It'll be good to review the feedback in the call on Tuesday next week.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Thanks,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Atul<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Tue, Feb 16, 2021 at 12:22 PM Atul Tulshibagwale <<a href="mailto:atultulshi@google.com">atultulshi@google.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<p class="MsoNormal">Hi all,<o:p></o:p></p>

<div>

<p class="MsoNormal">We discussed an important topic on the call today, and some of us had separately discussed this earlier. There are a couple of issues with the draft today:<o:p></o:p></p>

</div>

<div>

<ol start="1" type="1">

<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">

The use of "common claims" e.g. "spag_id" conflicts with the Subject Identifiers draft that specifies claims other than those defined within the "subject_type" definition must not be included in a subject claim of that subject_type.<o:p></o:p></li><li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">

We defined a specific "user-device-session" subject type, but are now discovering use cases that create a multitude of other possibilities. The immediate one that caused this discussion was the use of an "application" principal. The use case is where a Transmitter

 may want to invalidate sessions associated with a specific application on a specific user or device.<o:p></o:p></li></ol>

<div>

<p class="MsoNormal">To address both these issues, Tim Cappalli (Microsoft) and I came up with this proposal to create multi-valued or "compound" subject claims in SSE events. This will not require the use of common claims such as "spag_id", but we can create

 specific new subject_types such as "tenant" or "OU" as needed.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Please review the proposal <a href="https://docs.google.com/document/d/1stTI18cQy8zTw0u0UjC6NLkjBZAYEU1kNCDru7dEdfQ/edit?usp=sharing" target="_blank">

here</a>. It will be great if you can provide your comments and feedback in the next couple of weeks so that we can have a productive discussion in our next call on March 2nd. If we can make sufficient progress in the call there, we can incorporate the changes

 into the draft.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Thanks,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Atul<o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse">

<tbody>

<tr style="height:104.25pt">

<td valign="top" style="padding:.75pt .75pt .75pt .75pt;height:104.25pt;overflow:hidden">

<p class="MsoNormal"><br>

<span style="border:none windowtext 1.0pt;padding:0in"><img border="0" width="113" height="113" style="width:1.177in;height:1.177in" id="_x0000_i1025" src="https://lh6.googleusercontent.com/fmoDQ26Qu6nUCxkO3-_idifYd4drGNvt7Ab_LQBqsdPH7EwOjHOqIJRzGXtqFHoor0bKiVZNFnj86FL59uqJJ1_-mSVOlfdsnlvDYTpq0wfcQFDXJr7miiOpLOie6c-pxXWWqpFqRg"></span><o:p></o:p></p>

</td>

<td valign="top" style="padding:.75pt .75pt .75pt .75pt;height:104.25pt;overflow:hidden">

<p style="margin:0in"> <o:p></o:p></p>

<p style="margin:0in"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Atul Tulshibagwale</span></b><o:p></o:p></p>

<p style="margin:0in"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Software Engineer,</span><o:p></o:p></p>

<p style="margin:0in"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Google Workspace</span><o:p></o:p></p>

<p style="margin:0in"><span style="font-size:10.0pt;font-family:"Arial",sans-serif"><a href="mailto:atultulshi@google.com" target="_blank">atultulshi@google.com</a></span><o:p></o:p></p>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

</body>

</html>