attachment

<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi Mike,<div class=""><br class=""></div><div class="">(Adding Pamela in to get her thoughts as well. Jimmy I saw your response but she wasn't CC'ed?)<br class="">
<div><br class=""><blockquote type="cite" class=""><div class="">On Oct 14, 2022, at 12:23 PM, Michael Sweet <<a href="mailto:msweet@msweet.org" class="">msweet@msweet.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252" class="">

<div class="">
<font face="" calibri??="" class=""><b class=""><span style="font-size:11.0pt;line-height:107%; color:red" class="">CAUTION: External Email
</span></b></font>
<div class="">Smith,<br class="">
<br class="">
If I am reading this right it looks like they are saying we should treat different hostnames as different OAuth "realms", which seems to be an obvious answer. I would go slightly farther and say the combination of "oauth-authorization-server-uri" and "oauth-scope"
 should be used when caching authorization tokens for a given realm, and "oauth-authorization-server-uri", "oauth-scope", and "printer-uri" (or "server-uri") for access tokens (since token exchange yields device/service-specific tokens).<br class=""></div></div></div></blockquote><div><br class=""></div>I agree these seem like some of the elements / attributes one of these profiles might contain.</div><div><br class=""></div><div>If there is consensus on this in principle (we can work out the details if there are other elements / attributes that should be present instead or in addition to the ones above), I think there are two other questions that we need to address in our update to 5199.10 and friends:</div><div><br class=""></div><div>a) Is there a need for UI to allow the user to select one of these profiles? Or is there even a possibility of ambiguity?</div><div><br class=""></div><div>b) the general assumption is that these profiles are local to the client. I have to assume these tokens aren't transferrable between clients? If they are transferrable, and could be pulled in from a cloud account / interface, does OAuth 2.0 or OIDC define an endpoint that can be used to provide these? If not then that is veering into proprietary uniqueness and is outside the scope of our work, because I don't think the PWG wants to get into the business of defining additional OAuth 2.0 endpoints.</div><div><br class=""><blockquote type="cite" class=""><div class=""><div class=""><div class="">
<br class="">
<br class="">
> On Oct 13, 2022, at 4:37 PM, Kennedy, Smith (Wireless & IPP Standards) <<a href="mailto:smith.kennedy@hp.com" class="">smith.kennedy@hp.com</a>> wrote:<br class="">
> <br class="">
> <br class="">
> <br class="">
>> On Oct 13, 2022, at 2:25 PM, Kennedy, Smith (Wireless & IPP Standards) via ipp <<a href="mailto:ipp@pwg.org" class="">ipp@pwg.org</a>> wrote:<br class="">
>> <br class="">
>> Signed PGP part<br class="">
>> CAUTION: External Email<br class="">
>> <br class="">
>> Hi there,<br class="">
>> <br class="">
>> I was having another discussion with HP's OAuth 2.0 folks over the last few days, and one of the things they are working on is guidance for the client on how it should or could manage the circumstance where the client device holds access tokens for multiple
 "realms" (i.e., work printing, home printing). If it was all just local information similar to Wi-Fi "profile" information maintained on the client, that would just be left up to the client's implementation.<br class="">
>> <br class="">
>> I found this page that seems to talk through some of these concepts.<br class="">
> <br class="">
> <br class="">
> Here's the link I meant to provide, which discussed it from an OIDC perspective:
<a href="https://developer.okta.com/docs/guides/oin-oidc-multi-tenancy/main/#tenants-in-okta" class="">
https://developer.okta.com/docs/guides/oin-oidc-multi-tenancy/main/#tenants-in-okta</a><br class="">
> <br class="">
>> I will continue to read, but wanted to share in case others have already developed plans or thoughts in this area, that we could leverage.<br class="">
>> <br class="">
>> Cheers,<br class="">
>> <br class="">
>> Smith<br class="">
>> <br class="">
>> /**<br class="">
>> Smith Kennedy<br class="">
>> HP Inc.<br class="">
>> */<br class="">
>> <br class="">
>> <br class="">
> <br class="">
<br class="">
________________________<br class="">
Michael Sweet<br class="">
</div>
</div>

</div></blockquote></div><br class=""></div></body></html>

Comments are owned by the poster. All other material is Copyright © 2001-2024 The Printer Working Group. All rights reserved. IPP Everywhere, the IPP Everywhere logo, and the PWG logo are trademarks of the IEEE-ISTO.
About the PWG · Privacy Policy · PWG Webmaster