<div dir="ltr">Thank you Alex for your comments and substantive suggestions.<div><br></div><div>Team members, pls let me know if you have systemic disagreement with any of elements that Alex has put forward. In absence of notifications of disagreement, I will use Staff text with Alex's edits as a basis for our conversation tomorrow, 24 Oct 2pm UTC.</div><div><br></div><div>Thank you</div><div>JK</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 23, 2019 at 1:30 AM Alex Deacon <<a href="mailto:alex@colevalleyconsulting.com">alex@colevalleyconsulting.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">EPDP Colleagues, <div><br></div><div>Attached are IPC's comments and suggestions on the Accreditation building block language published on the wiki at <a href="https://docs.google.com/document/d/134Vryb2H5fYzC1B_451pfzCA1VHVtreF/edit" target="_blank">https://docs.google.com/document/d/134Vryb2H5fYzC1B_451pfzCA1VHVtreF/edit</a> . </div><div><br></div><div>Let me explain the main updates.   </div><div><br></div><div><b><u>A single Accreditation Authority vs. Multiple</u></b></div><div><br></div><div>In my original Accreditation Framework and diagram  presented in LA I defined a framework that assumed  the existence of multiple Accreditation Authorities.   Since then we have decided that ideally we want a single Accreditation Authority (run by ICANN) that can leverage one or more external/3rd party Identity Providers.   This document (based on the doc submitted by Staff this afternoon) makes this assumption and accommodates for it.  (I hope)</div><div><br></div><div><b><u>Identifier Credential and Authorization Credential</u></b></div><div><br></div><div>I added back the distinction (and definition) of an Identifier Credential and an Authorization Credential.    </div><div><ul><li>An Identifier Credential is "static".    It identifies an individual user in the system and is valid until it either expires or is revoked.  For example my SSAD Identifier Credential would identity me to the system and convey my Name (Alex Deacon) and perhaps even my email address (alex@colevalley.consulting) and affiliation (Cole Valley Consulting). <br></li><li>An Authorization Credential conveys one or more access authorizations (also known as assertions or claims) that are associated with (and bound to) the Identity Credential.   Authorization Credentials are more dynamic in nature an convey information that may change per request.   (things like the purpose of the request, legal basis being asserted, compliance with laws/ToS/etc., etc.   (See "Benefits of Accreditation f) for a list.   )</li></ul><div>The ability to associate a dynamic set of Authorization Credentials (assertions) on a per request basis simplifies the system and removes the need to issue and manage an identity credential for each purpose/basis/etc. combination.   (users don't want to have to manage 12 or more different credentials to use the system) .   Note that this is a "best practice" when building/designing authentication and authorization systems.   Also note that the technology suggested by the TSG, OpenID Connect, supports the separation of Identity Credentials from Authorization Credentials.    </div></div><div><br></div><div><b><u>Revocation vs. De-Accreditation</u></b></div><div><br></div><div>We were overloading the term De-Accreditation to apply to both Identity Credentials (associated with requestors) and the Accreditation Authority itself.   I found this confusing so I defined the term "Revocation" to apply to Identity Credentials and De-Accreditation to apply to the Accreditation Authority itself.    Revocation of an Identity Credential only impacts a single user of the system.  (e.g. we revoked Alex's Identity Credential because he no longer works at Cole Valley Consulting - or got hit by a bus!)   De-Accreditation of the Accreditation Authority impacts every credential managed by the Accreditation Authority (i.e. its the Nuclear Option when there is a major/catastrophic audit failure- everything fails and all credentials managed become null and void.  )</div><div><br></div><div><b><u>Accreditation is more than just Identification</u></b></div><div><br></div><div>I've heard several folks state that Accreditation is only about Identification of requestors.    In LA we made it clear that an Accreditation framework that only accomplished Identification was a waste of time.    See my suggested update to the Benefits of Accreditation section which in addition to Identity lists: 1) management of Authorization Credentials, 2) How Identity Credentials and Authorization Credentials facilitate the decision to accept or reject the SSAD request, and 3) definition of a baseline code of conduct (based on EDPB guidance) </div><div><br></div><div>Please review and let me know if you have any suggestions.   There is no doubt improvements that can be made - but hopefully this moves the ball a few steps in the right direction.   Happy to walk thru this on the call on thursday morning. </div><div><br></div><div>Alex</div><div><br></div><div><br></div><div><br></div><div><div><div dir="ltr"><div dir="ltr">___________<div><b>Alex Deacon</b></div><div>Cole Valley Consulting</div><div><a href="mailto:alex@colevalleyconsulting.com" target="_blank">alex@colevalleyconsulting.com</a></div><div>+1.415.488.6009</div><div><br></div></div></div></div></div></div></div>
_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>
_______________________________________________<br>
By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" rel="noreferrer" target="_blank">https://www.icann.org/privacy/policy</a>) and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" rel="noreferrer" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on.</blockquote></div>