En realidad, puede ser una cookie, ya que no es necesario que esté asociada con el proveedor de servicios, solo con el proveedor de identidad. Todos los dos proveedores de servicios que van a hacer son realizar la solicitud de autenticación al proveedor de identidad, por lo que el proceso para un usuario no autenticado será el mismo para sp.example1.com que para sp.example2.com.
Sin embargo, cuando la primera solicitud se realiza desde sp.example1.com y el usuario se redirige a sso.example3.com, el usuario iniciará sesión en sso.example3.com y luego podrá configurar una cookie para sso.example3. com.
Luego, cuando el usuario visite sp.example2.com, también redirigirá al usuario no autenticado a sso.example3.com, pero esta vez, el navegador tendrá una cookie para enviar junto con la solicitud de la última vez que el usuario visitó sso.example3.com, aunque esa visita fue iniciada por un proveedor de servicios diferente.
Por lo tanto, la cookie de sso.example3.com puede identificar al usuario como ya autenticado, y el proveedor de identidad puede continuar con el proceso de emisión de una aserción para el usuario a sp.example2.com sin requerir que el usuario complete el inicio de sesión flujo de trabajo de nuevo.