Estoy creando un servidor de autenticación que actuará como proveedor de identidad para mi servicio. Mirando el caso de uso típico de SAML, el proveedor de servicios redireccionará el principal al proveedor de identidad. Sin embargo, en mi caso, ¿está bien que el proveedor de servicios le pase las credenciales de usuario directamente al proveedor de identidad? El servidor de autenticación a su vez devolverá una aserción SAML al servidor de aplicaciones.
Editar: ¿También es una buena práctica separar el servidor de aplicaciones del servidor de autenticación? En este caso, mi lógica de autenticación será compleja y quiero abstraer esto.