<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto">Hi Aeneas,<div><br></div><div>The specifications say the OP should keep track of the “visited sites” / RPs so that, when logout notifications go out it knows which ones to contact. </div><div><br></div><div>> <span style="-webkit-text-size-adjust: auto; caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: verdana, charcoal, helvetica, arial, sans-serif; font-size: small; background-color: rgb(255, 255, 255);">OPs supporting HTTP-based logout need to keep track of the set of logged-in RPs so that they know what RPs to contact at their logout URIs to cause them to log out. Some OPs track this state using a "visited sites" cookie.</span><br><br>But I don’t believe it also forbids contacting all of them, though i believe that doesn’t scale well. </div><div><br></div><div>Best,</div><div>Filip<br><br><div dir="ltr">Odesláno z iPhonu</div><div dir="ltr"><br><blockquote type="cite">19. 12. 2019 v 11:27, Aeneas Rekkas <aeneas@ory.sh>:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><meta http-equiv="Content-Type" content="text/html; charset=utf-8">Hi,<div class=""><br class=""></div><div class="">first of all I hope I ended up in the right list, if not, I’m happy to restate the question in the appropriate one!</div><div class=""><br class=""></div><div class="">My question is regarding the OpenID Connect Back- and Front-Channel logout (1.0) draft 4 / draft 2. We are currently executing these for all RPs, regardless of the specific device / session of the user. Example: Assuming the user has two distinct, active sessions on two separate end devices, RPs would be notified regardless of the device that was used to perform the OIDC flow in the first place, and that is now used by the user to requesting the logout.</div><div class=""><br class=""></div><div class="">However, one of our community members asked if that is correct, as he would expect only those RPs to receive the logout request that have their ID Token associated with the specific device session, not globally.</div><div class=""><br class=""></div><div class="">The spec doesn’t - as far as I can tell - give a clear answer to that. Seeing that RPs may support the `sid` parameter, it could mean that this is up to the RP to decide, not the OP.</div><div class=""><br class=""></div><div class="">It would be great to get clarification on this topic, and maybe provide concrete guidelines in the official spec!</div><div class=""><br class=""></div><div class="">I am writing on behalf of the open source, OpenID Certified OpenID Connect Provider ORY Hydra ( <a href="https://github.com/ory/hydra" class="">https://github.com/ory/hydra</a> ).</div><div class=""><br class=""></div><div class="">Thank you for your time,</div><div class="">Aeneas</div><span>_______________________________________________</span><br><span>specs mailing list</span><br><span>specs@lists.openid.net</span><br><span>http://lists.openid.net/mailman/listinfo/openid-specs</span><br></div></blockquote></div></body></html>