...
De criteria worden gedefinieerd middels de attributen van de gebruiker. Zo kun je ervoor kiezen om eduPersonAffiliation ("medewerker" of "student") te gebruiken, of entitlements. Elk attribuut dat je Identity Provider over de gebruiker levert kan gebruikt worden, ongeacht of dit attribuut ook aan de SP verstrekt wordt. Een andere populaire optie is lidmaatschap van een SURFconext Invite-rol (v/h SURFconext Teams), waarbij de leden van de rol een andere policy krijgen dan de overige gebruikers. Ook kan er geschakeld worden op basis van het IP-adres van de gebruiker, en bijvoorbeeld een token vereist worden tenzij de gebruiker zich binnen een bepaalde IP-range bevindt. Meerdere regels tegelijk actief hebben is mogelijk.
...