attachment

<html><table id="201179" border="0" width="100%" height="400" bgcolor="#ffffff"><tbody><tr><td width="100%" valign="top"><div><font face="Verdana" size="2"></font></div>
<div><br></div><div>Hi All,</div><div><br></div><div>I commented on IPP work items (email from Mike Sweet) yesterday with a brief statement about "...making print-by-reference work better"</div><div><br></div><div>I would like to expand on that comment by saying that there are a number of print-by-reference use-cases, some of which we've talked about, others we haven't, for which we really don't have a good solution. &nbsp;Support for print-by-reference has been in IPP since we originally documented IPP on stone tablets in our caves (at least it feels that way to me :)</div><div><br></div><div>However, there have always been "gotchas" with respect to accessing remote documents; mainly due to the fact that an IPP server needs to access remote URLs and the IPP server may not have access rights to those resources.</div><div><br></div><div>There are also other "credential delegation" scenarios that I think we might want to nip in the bud while we're at it.</div><div><br></div><div>The model for credential delegation today is a mashup of federation techniques and OAUTH tokens, and this is something we might want to use. &nbsp;However, most OAUTH use-cases involve access to a resource through a browser, which might be supported through some type of IPP cloud service, but would not help IPP clients that are embedded into OS printing interfaces. &nbsp;OAUTH 2.0 is trying to address the non-browser case, but there goals are not very ambitious.</div><div><br></div><div>There is an IETF working group (ABFAB) that is currently trying to address the federated/credential-delegation problem for ordinary non-web application scenarios. &nbsp;They have even included printing as a potential use-case, which I am including below for reference:</div><div><br></div><div><div>A visitor from one organisation to the premises of another often</div><div>&nbsp; &nbsp;requires the use of print services. &nbsp;Their home organisation may of</div><div>&nbsp; &nbsp;course offer printing, but the output could be a long way away so the</div><div>&nbsp; &nbsp;home service is not useful. &nbsp;The user will typically want to print</div><div>&nbsp; &nbsp;from within a desktop or mobile application.</div><div><br></div><div>&nbsp; &nbsp;Where this service is currently offered it would usually be achieved</div><div>&nbsp; &nbsp;through the use of 'open' printers (i.e. printers that allow</div><div>&nbsp; &nbsp;anonymous print requests), where printer availability is advertised</div><div>&nbsp; &nbsp;through the use of Bonjour or other similar protocols. &nbsp;If the</div><div>&nbsp; &nbsp;organisation requires authenticated print requests (usually for</div><div>&nbsp; &nbsp;accounting purposes), the the visitor would usually have to be given</div><div>&nbsp; &nbsp;credentials that allow this, often supplemented with pay-as-you-go</div><div>&nbsp; &nbsp;style payment systems.</div><div><br></div><div>&nbsp; &nbsp;Adding federated authentication to IPP [RFC2911] (and other relevant</div><div>&nbsp; &nbsp;protocols) would enable this kind of remote printing service without</div><div>&nbsp; &nbsp;the administrative overhead of credentialing these visitors (who, of</div><div>&nbsp; &nbsp;course, may well one time visitors to the organisation). &nbsp;This would</div><div>&nbsp; &nbsp;be immediately applicable to higher education, where this use case is</div><div>&nbsp; &nbsp;increasingly important thanks to the success of federated network</div><div>&nbsp; &nbsp;authentication systems such as eduroam but could also be used in</div><div>&nbsp; &nbsp;other contexts such as commercial print kiosks, or in large,</div><div>&nbsp; &nbsp;heterogeneous organizations.</div></div><div><br></div><div><br></div><div>You can judge for yourself the value of this particular use-case, but regardless, I think it would be nice if the IPP WG (possibly with the assistance of IDS) worked out a profile for these types of use-cases that require delegated authorization. &nbsp;</div><div><br></div><div>Randy</div><div><br></div><div><br></div>
</td></tr></tbody></table></html>