...

Je kunt ook reguliere expressies gebruiken, waaronder '.*'. SURFnet gebruikt dit b.v. Dit kun je ook gebruiken om met .* op attribuut urn:mace:dir:attribute-def:mail te controleren of een waarde ingevuld is, en zo niet, een boodschap te tonen.

...

Wanneer is mijn regel actief?

SURFnet SURF krijgt een mail signaal zodra er een eerste regel bij een Service Provider wordt aangemaakt; die wordt door SURFnet SURF bekeken en handmatig geactiveerd. Zodra er eenmaal een regel is bij een SP, b.v. omdat een andere instelling een regel bij die SP heeft aangemaakt, zal elke volgende regel voor die SP direct actief worden zodra je die regel zelf activeert. Maar om performance-redenen staat het 'autorisatieregel-management-systeem' los van het deel van SURFconext dat de inlog-acties afhandelt. Elke 10 minuten kijkt dat 'inlogdeel' of er wijzigingen op autorisatieregels zijn en zet die in het werkgeheugen. Dus max. 10 min nadat je een regel aan hebt gemaakt of gewijzigd is die actief.

Wat zijn de achterliggende technologie en standaarden?

De 'rijke autorisatie'-functie, zoals SURFnet SURF dat noemt, is gebaseerd op de XACML-standaard. Op Wikipedia is meer informatie over XACML beschikbaar. SURFnet SURF heeft kunnen voortbouwen op het werk van OpenAZ, open source gepubliceerde software om XACML-regels af te handelen; dat betekende dat SURFnet SURF minder kosten had en alleen hoefde te zorgen dat de software aansloot op SURFconext, en er een beheer-portal kwam voor het maken van XACML-policies ('toegangs-regels'). SURFnet SURF heeft de door SURF haar ontwikkelde software open source beschikbaar gesteld in de OpenConext-bibliotheek.

...