<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Discussion on whether the backchannel draft may need to be updated has not happen yet.  But here is how secevents proposes to handle it...<a href="https://datatracker.ietf.org/doc/draft-ietf-secevent-delivery/">https://datatracker.ietf.org/doc/draft-ietf-secevent-delivery/</a></div><div id="AppleMailSignature"><br>Phil</div><div><br>On Aug 18, 2017, at 9:12 PM, Piraveena Paralogarajah <<a href="mailto:piraveena.14@cse.mrt.ac.lk">piraveena.14@cse.mrt.ac.lk</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div style="font-size:12.8px">Phil,</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Thanks for you response.</div><div style="font-size:12.8px"> </div><div style="font-size:12.8px">But If RP sends HTTP 400 response, then any how OP should handle that. I need that implementation in OP side.  Will OP send a logout token again to request the RP? </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Then I will be helpful if you explain how OP will handle this response. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Thanks,</div><div style="font-size:12.8px">Piraveena</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 18 August 2017 at 22:21, Phil Hunt <span dir="ltr"><<a href="mailto:phil.hunt@oracle.com" target="_blank">phil.hunt@oracle.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>Piraveena,</div><div><br></div>The log out event (which is based on SET Tokens) is informational.  Your question frames the logout as a command rather then an informational event.<div><br></div><div>Some background...</div><div>Normal functionality should be that the RP can only rejects the SET if the SET cannot be validated or parsed (or unauthorized).  SETs cannot be processed as commands. Thus the only reason for rejection is to let the issuer know their may be a configuration issue that may impact subsequent SET (ie. logout event) delivery.  <div><br></div><div>As to whether the logout is successful or not is for the RP to decide within its own domain. Some Clients may decide they do not care about SSO, some will. This is a contextual decision.  This is why SETs in general are framed as FYI type messages rather than commands.  IOW a backchannel logout event means “Subject xyz was logged out by the OP”. While we expect down stream RPs to also cancel the users RP session, they are not obligated to do so.  Likewise an RP logging a user out does not mean the OP must do the same. This depends on the relationship of the RP to the OP and vice-versa.</div><div><br></div><div>What assurance is there that logout notification worked?</div><div>I do understand that you are looking for an end-to-end confirmation of success. One of my concerns when the Backchannel Logout spec was approved for implementation was that the current draft does not support SET Delivery which provides assured delivery so we can know a potential logout event was received by an RP — giving some assurance that the logout notification was successful.</div><div><br></div><div><div>
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div><span class="m_-4874800072321710547Apple-style-span" style="border-collapse:separate;line-height:normal;border-spacing:0px"><div style="word-wrap:break-word"><div><div><div>Phil</div><div><br></div><div>Oracle Corporation, Identity Cloud Services Architect & Standards</div><div>@independentid</div><div><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__www.independentid.com&d=DwMFaQ&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=Lr0zqxQVIK2Or3V-TlHrdOrzV0RCB8LR7CLEvgWRoyU&s=qyRWcQM7raRvk1UiMaKLJfV7XTVhNq9Syg-BfDUGf8M&e=" target="_blank">www.independentid.com</a></div></div></div></div></span><a href="mailto:phil.hunt@oracle.com" target="_blank">phil.hunt@oracle.com</a></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
<br><div><blockquote type="cite"><div><div class="h5"><div>On Aug 18, 2017, at 5:20 AM, Piraveena Paralogarajah <<a href="mailto:piraveena.14@cse.mrt.ac.lk" target="_blank">piraveena.14@cse.mrt.ac.lk</a>> wrote:</div><br class="m_-4874800072321710547Apple-interchange-newline"></div></div><div><div><div class="h5"><div dir="ltr">Hi all,<div><br></div><div>In Back-channel logout, If the logout is invalid, then RP should respond with HTTP 400 Bad request. Then how P will handle this?</div><div><br></div><div>It will be helpful if someone can explain the workflow.</div><div><br></div><div>Thanks,</div><div>Piraveena<br clear="all"><div><br></div>-- <br><div class="m_-4874800072321710547gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div style="font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Piraveena Paralogarajah</div><div style="font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Undergraduate,</div><div style="font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Department of Computer Science and Engineering,</div><div style="font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">University of Moratuwa,</div><div style="font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Sri Lanka.</div></div></div></div></div>
</div></div></div></div>
______________________________<wbr>_________________<br>specs mailing list<br><a href="mailto:specs@lists.openid.net" target="_blank">specs@lists.openid.net</a><br><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.openid.net_mailman_listinfo_openid-2Dspecs&d=DwICAg&c=RoP1YumCXCgaWHvlZYR8PQcxBKCX5YTpkKY057SbK10&r=JBm5biRrKugCH0FkITSeGJxPEivzjWwlNKe4C_lLIGk&m=sClsY6Tr0v3GB-kLpFWwMO-NEjex-jDO1cqPjxlmWEw&s=hOwq2HHUdE9Z9wRpLT6enJxwjcZVXa9urw32pTZwmeg&e=" target="_blank">https://urldefense.proofpoint.<wbr>com/v2/url?u=http-3A__lists.<wbr>openid.net_mailman_listinfo_<wbr>openid-2Dspecs&d=DwICAg&c=<wbr>RoP1YumCXCgaWHvlZYR8PQcxBKCX5Y<wbr>TpkKY057SbK10&r=<wbr>JBm5biRrKugCH0FkITSeGJxPEivzjW<wbr>wlNKe4C_lLIGk&m=sClsY6Tr0v3GB-<wbr>kLpFWwMO-NEjex-jDO1cqPjxlmWEw&<wbr>s=<wbr>hOwq2HHUdE9Z9wRpLT6enJxwjcZVXa<wbr>9urw32pTZwmeg&e=</a> <br></div></blockquote></div><br></div></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div style="color:rgb(0,0,0);font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Piraveena Paralogarajah</div><div style="color:rgb(0,0,0);font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Undergraduate,</div><div style="color:rgb(0,0,0);font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Department of Computer Science and Engineering,</div><div style="color:rgb(0,0,0);font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">University of Moratuwa,</div><div style="color:rgb(0,0,0);font-family:'Helvetica Neue','Segoe UI',Helvetica,Arial,'Lucida Grande',sans-serif;font-size:13px">Sri Lanka.</div></div></div></div></div>
</div>
</div></blockquote></body></html>