<div dir="ltr">Hi GWS,<div><br></div><div>In the last few interop meetings there has been much discussion on how we can improve upon the Single-Sign-On Profile (SSO 2.0), especially in the context of supporting authentication for non-browser clients, where existing standards do not offer much help.</div><div><br></div><div>The current REC:  <a href="https://ivoa.net/documents/SSO/20170524/index.html">https://ivoa.net/documents/SSO/20170524/index.html</a></div><div><br></div><div>After a recent post-interop meeting we decided to get the next version started with this email, listing the general changes required.  Comments and feedback encouraged.<br></div><div><br></div><div>I think these slides from the last interop provide a decent review of what&#39;s needed for non-browser authentication support:</div><div><br></div><div>    <a href="https://wiki.ivoa.net/internal/IVOA/InterOpMay2021GWS/AA-Updates.pdf">https://wiki.ivoa.net/internal/IVOA/InterOpMay2021GWS/AA-Updates.pdf</a></div><div><br></div><div>Here are the points, summarized:</div><div><br></div><div>1.  Updates and clarifications to Security Methods</div><div><br></div><div>    1a.  Separate SecurityMethods into two categories: 1) ways of obtaining credentials and 2) ways credentials are accepted.  (Note that Mark T pointed out that #cookie should be in the first group, not the second.)</div><div><br></div><div>    1b.  ivo://<a href="http://ivoa.net/sso#tls-with-password">ivoa.net/sso#tls-with-password</a>  -  Describe how to performs a username/password POST to obtain a token</div><div><br></div><div>    1c.  ivo://<a href="http://ivoa.net/sso#token">ivoa.net/sso#token</a>  -  Used by a service to advertise that tokens are accepted</div><div><br></div><div>    1d.  Provide examples of using each of the security methods</div><div><br></div><div>2.  Authentication discovery -- allow non-browser clients to easily and programatically discover and obtain token credentials.</div><div><br></div><div>    2a.  Providing a bootstrap mechanism for discovering a service&#39;s authentication support.  Please comment in the thread started by Mark Taylor on this topic a few weeks ago, here:  <a href="http://mail.ivoa.net/pipermail/grid/2021-June/003103.html">http://mail.ivoa.net/pipermail/grid/2021-June/003103.html</a></div><div><br></div><div>    2b.  Use of the WWW-Authenticate header<br></div><div>        - to convey details on obtaining tokens</div><div>        - to convey auth failures</div><div><br></div><div>    2c.  Use of the Authorization header</div><div>        - by clients to provide token credentials</div><div><br></div><div>    2d.  Use of the X-VO-Authenticated header.</div><div>        - to communicate authentication success</div><div><br></div><div>---</div><div>Cheers,</div><div>Brian</div></div>