<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Feb 5, 2014 at 2:30 PM, Richard Newman <span dir="ltr"><<a href="mailto:rnewman@mozilla.com" target="_blank">rnewman@mozilla.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">

</div>OK, so we're talking about different things. I'm talking about "Attached Services: Discovery" — given an identity, how do I find out which services you're using? — and you're talking about what I'd term "identity claims" — given an identity and a metadata server, what protocol do I use to retrieve metadata about that identity?.<br>


<br>
You have to discover the attached service before you can request data from it.<br></blockquote><div><br></div><div>I'm actually talking about both. Does an RP ask the FxA account itself to provide the data (being pre-registered by the user), or does the RP demand the data be from a certain attached service (<a href="http://profile.account.firefox.com">profile.account.firefox.com</a>)?<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Can you explain why? Prior art puts this into a separate authenticated profile endpoint, e.g.,<br>
<br>
<a href="https://developers.google.com/accounts/docs/OAuth2Login#obtaininguserprofileinformation" target="_blank">https://developers.google.com/accounts/docs/OAuth2Login#obtaininguserprofileinformation</a></blockquote><div>

<br></div><div>Ah, yes. So, the data could be returned IN the assertion, as idpClaims, or it could be gotten later. Either way, the scope of the data has to be part of the auth request, so that the RP gets back a token scoped for the data it's allowed access to. If an app needs more data at time of login, it makes sense to include the permissions dialog as part of the login experience. <br>

</div></div><br></div></div>