Soy consciente de cómo se usa SAML para el inicio de sesión único (SSO). Es decir, redireccionar a IDP desde SP y obtener la identidad del usuario de la respuesta / aserción de SAML.
Mi pregunta es: ¿La especificación SAML 2.0 define cómo pasar el nombre de usuario y la contraseña como parte de un XML de solicitud SAML para la autenticación? Tenga en cuenta que no estoy hablando de inicio de sesión único y solo quiero la autenticación del nombre de usuario / contraseña.
SAML no admite el envío de un nombre de usuario y contraseña al proveedor de identidad del proveedor de servicios. Hay una AuthnRequest (solicitud de autenticación) que puede enviarse desde el SP, que inicia una sesión en el SP y le dice al IdP, "hey, no sé quién es este usuario: autentíquelos y luego responda a esta ubicación, con la identidad del usuario, y pásame este RelayState para que sepa qué sesión asociar al usuario ".
Lo que estás preguntando (un proveedor de servicios que pasa un nombre de usuario / contraseña directamente al proveedor de identidad y recupera una aserción) es una función de un STS , o servicio de token de seguridad. Una implementación muy común de STS es WS-Trust , que comúnmente "envuelve" un token de aserción SAML en la respuesta.
Lea otras preguntas en las etiquetas authentication saml