Módosítások

Az '''isPassive ''' SAML2-ben bevezetett lehetőség, mellyel utasíthatjuk azt szabhatjuk meg, hogy az alkalmazástazonosításnak úgy kell megtörténnie, hogy közben semmiféle látható felhasználói interakciót ne engedélyezzen interakciónak nem szabad történnie. Ha az azonosítás így nem hajtható végre, akkor hibát kell visszaadni az IdPSP-velnek.

 '''== Miért jó?'''==Az isPassive használatával elérhetjük, hogy lazy session[[Lazy Session]]-nel védett oldalunkra a felhasználó bejelentkezése automatikusan - azaz "Bejelentkezés" gombra kattintás nélkül - megtörténjen. Ehhez két három feltétel együttes teljesülése szükséges:

* a az IdP által használt autentikációs mechanizmus támogatja az isPassive-ot :: erre kizárólag SAML2 IdP esetén van lehetőség* ha használunk Discovery Service képes -t, akkor az a felhasználót hitelesítő felhasználó IdP-vel háttérben kommunikálnijét képes megállapítani interakció nélkül:: ez általában azt jelenti, s hogy a felhasználóról érdeklődni Amennyiben ezen feltételek közül legalább az egyik nem teljesülfelhasználónak van olyan cookie-ja, úgy amely alapján a DS meg tudja határozni az SP hibát fog dobniIdP-t. Ezt oly módon kell lekezelnünkÉrdemes megjegyezni, hogy a <code>redirectErrors</code> attribútum lehetőségét kihasználva megadjuk, hogy Shibboleth hiba esetén melyik oldalra dobjon át minket a rendszerSWITCH Discovery Service IP cím alapján is képes meghatározni IdP-t. 

'''Működése Amennyiben ezen feltételek közül valamelyik nem teljesül, úgy az SP hibát fog dobni. Ezt <code>redirectErrors</code> attribútum segítségével átirányíthatjuk a gyakorlatban'''saját alkalmazásunkra.== Hátrányok ==Lehetséges olyan helyzet, hogy a hiba nem jut vissza az SP-hez:* az IdP nem SAML2-t használ* az IdP azonosítási mechanizmusa nem támogatja a passzív azonosítást (pl. azért, mert webszerver-alapú azonosítást használ)* a Discovery Service vagy a WAYF nem támogatja a passzív választást