Tengo un servicio que permite SSO a través de SAML2. Cuando se utiliza SAML2, delegamos todo el proceso de autenticación al proveedor de identidad.
Estamos considerando agregar OAuth para admitir algunas aplicaciones móviles. (No queremos que el usuario tenga que iniciar sesión constantemente).
Es bastante obvio cómo funcionará todo junto cuando usemos nuestra propia autenticación de nombre de usuario / contraseña, ya que tenemos el control de toda la pila.
¿Cómo interactuará OAuth con SAML2 SSO? Por ejemplo, ¿qué se debe hacer para invalidar las concesiones de OAuth si el proveedor de identidad elimina un usuario? ¿Qué otras trampas (y, con suerte, soluciones estándar) hay?