<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    I would strongly prefer that the function of pseudonym-to-subject
    re-identification be distinct from the AS.  Exactly how that occurs,
    and who is responsible for what functions, is policy-driven and
    outside of the use cases but is certainly an interesting topic for
    implementation guidance.  We should not constrain policy, but should
    expose practical implementation factors to inform it.<br>
    <div class="moz-signature">
      <p><b>Glen F. Marshall</b><br>
        Consultant<br>
        Security Risk Solutions, Inc.<br>
        698 Fishermans Bend<br>
        Mount Pleasant, SC 29464<br>
        Tel: (610) 644-2452<br>
        Mobile: (610) 613-3084<br>
        <a class="moz-txt-link-abbreviated" href="mailto:gfm@securityrs.com">gfm@securityrs.com</a><br>
        <a class="moz-txt-link-abbreviated" href="http://www.SecurityRiskSolutions.com">www.SecurityRiskSolutions.com</a></p>
    </div>
    <div class="moz-cite-prefix">On 10/6/15 11:18, Adrian Gropper wrote:<br>
    </div>
    <blockquote
cite="mid:CANYRo8ge_D-KPt2i0JhBo=CmDwoKDCJW4BoCX+qGCehi=xVLFw@mail.gmail.com"
      type="cite">When the resource does not contain Subject identity
      information, the Authorization Server is responsible for
      associating the pseudonyms with an identity.</blockquote>
    <br>
  </body>
</html>