<div dir="ltr"><div><div><div>The first part of this puzzle is how we connect attached services to a Firefox Account. Any consumer (desktop, Marketplace, etc) will be requesting that a user be signed in with Firefox Accounts, along with some additional profile data about the user. What does this look like?<br>

<br></div>I'm imagining a consumer does (if its not <a href="http://navigator.id">navigator.id</a>, then insert proper API):<br><br>  navigator.id.request({<br>    attached: [ '<a href="https://profiles.accounts.firefox.com#avatar">https://profiles.accounts.firefox.com#avatar</a>' ] <br>

  })<br><br></div>This signals to Firefox Accounts that it also needs some attached data, identified by a URI. The auth-server would need to discover and/or fetch related information, probably prompting the user for permission to do so, and then bundling it in the assertion in `idpClaims` (or its equivalent).<br>

<br></div>Does this seem sound? I imagine wanting to specify an API that this follows, so any attached service can be used. An RP could conceivably create some new attached services, and request them using `attached: [ '<a href="https://myservice.anrp.com#data">https://myservice.anrp.com#data</a>' ]`.<br>

</div>