Вероятно, не тот ответ, на который вы надеетесь, но здесь идет речь.:)
SAML (и связанный с ним / альтернативный OpenID) - это просто протокол, используемый для передачи утверждений об идентификации и объединения решения об аутентификации где-либо еще - он позволяет вам принять слово службы (IdP), которой вы доверяетевыполнить аутентификацию пользователя для вас.Эти протоколы позволяют вам создавать федеративную систему идентификации;сами по себе они НЕ являются такой системой.
Все, что вы упоминаете в своем вопросе (сопоставление пользователей, фактическое обслуживание инфраструктуры SP, авторизация отдельных сайтов, федеративный выход из системы), были и остаются проблемами в этой области и в любой области.Решение, которое вы развернете там, должно решить эти вопросы разработки / реализации.Вы можете и, возможно, кто-то должен написать сотни страниц о различных способах решения всех нюансов, связанных с созданием эффективной федеративной системы идентификации.В этом пространстве нет простых ответов.