По сути, в SAML нет "управления сеансами". Сессии являются обязанностями провайдера идентификации (IdP) и провайдера услуг (SP) по отдельности. Есть несколько пар ключ-значение, которые могут управлять созданием сеанса с обеих сторон (например, SessionNotOnOrAfter или NotOnOrAfter), но очень редко можно увидеть их использование таким образом.
Чаще всего вы обнаружите, что у SP есть панель управления, доступная в его административной панели, которая позволяет бизнес-единице IdP, использующей SaaS-провайдера, установить что-то вроде Idle Timeout и Max Timeout в зависимости от требований бизнеса. Со стороны IdP они будут управлять им на основе собственных требований внутренней безопасности.