Sto creando un server di autenticazione che fungerà da provider di identità per il mio servizio. Osservando il tipico caso d'uso SAML, il fornitore di servizi reindirizzerà l'entità al provider di identità. Nel mio caso, tuttavia, è giusto che il fornitore di servizi trasmetta le credenziali dell'utente direttamente al provider di identità? A sua volta, il server di autenticazione restituirà un'asserzione SAML al server delle applicazioni.
Modifica: è inoltre buona norma separare il server delle applicazioni dal server di autenticazione? In questo caso, la mia logica di autenticazione sarà complessa e voglio astrarre questo.