1 260
szerkesztés
Módosítások
→Miért jó?: Miért rossz?
:: ez általában azt jelenti, hogy a felhasználónak van olyan cookie-ja, amely alapján a DS meg tudja határozni az IdP-t. Érdemes megjegyezni, hogy a SWITCH Discovery Service IP cím alapján is képes meghatározni IdP-t.
Amennyiben ezen feltételek közül valamelyik nem teljesül, úgy az SP hibát fog dobni. Ezt <code>redirectErrors</code> attribútum segítségével átirányíthatjuk a saját alkalmazásunkra. == Hátrányok ==Lehetséges olyan helyzet, hogy a hiba nem jut vissza az SP-hez:* az IdP nem SAML2-t használ* az IdP azonosítási mechanizmusa nem támogatja a passzív azonosítást (pl. azért, mert webszerver-alapú azonosítást használ)* a Discovery Service vagy a WAYF nem támogatja a passzív választást Ebben az esetben a felhasználó olyan üzenetet kap, amit valószínűleg nem tud értelmezni. Pl.:* hibaüzenet az IdP vagy a DS részéről* IdP azonosítási felület (ami esetleg nem is a felhasználó IdP-je)Ezért isPassive-ot csak abban az esetben szabad használni, ha garantálni tudjuk, hogy az IdP-k mind támogatják a passzív autentikációt!
== Működése a gyakorlatban ==
