При ответе IdP POST обратно на SP, если SameSite = Lax, пользовательский агент не будет отправлять файлы cookie с доменом SP. Даже если он не отправляет куки, я не вижу проблем с SP.
На IdP-init, скорее всего, не возникнет никаких проблем, потому что за пределами Ответ SAML, который отправляется. Однако
потоки SP-init, скорее всего, будут прерваны. Причина в том, что большинство продуктов SP отслеживают сеанс браузера с помощью параметра Cook ie, который он устанавливает перед отправкой пользователя в IdP. Браузер перенаправляется на IdP, аутентифицируется и отправляется обратно на SP с ответом на POST. Если для повара ie не было установлено SameSite=None;Secure (не забудьте, что для файлов cookie, для которых необходимо SameSite=None, также необходимо установить Secure), то повар SP ie не будет передан обратно для SP с POST, чтобы SP не имел всех частей, необходимых для безопасной настройки сеанса.
Один из способов взглянуть на это так, как если бы пользователю потребовалось два набора ключей для устанавливает sh безопасный сеанс в SP: во-первых, он хочет получить ключ сеанса от повара ie, а во-вторых, он хочет получить ключ от IdP.