Сценарий
Клиент STS отправляет RequestSecurityToken (RST) в STS с подтверждением SAML в заголовке безопасности (сообщения SOAP) для аутентификации.
Реализация
Похоже, что wso2-rampart имеет реализацию для аутентификации saml:
https://github.com/wso2/wso2-rampart/blob/master/modules/rampart-trust/src/main/java/org/apache/rahas/RahasData.java#L200
Однако в WSO2 IS я не могу найтисоответствующая политика безопасности в «Конфигурации службы маркеров безопасности» (см. скриншот ниже)
скриншот политики безопасности