Это интересная проблема. Приложение SL2 не должно проверять само утверждение OpenID, а должно передавать его на сервер для проверки. Приложение SL2 может подтвердить это, но затем одноразовый номер используется, и сервер не может повторно проверить его, но в конечном итоге сервер ДОЛЖЕН проверить его безопасность. Поэтому, скорее всего, вход в систему должен произойти еще до того, как приложение SL2 появится, а затем он может появиться в уже зарегистрированном контексте.
Возможно, есть другие способы сделать это, но вышеприведенное ограничение сервера, являющегося верификатором утверждения, очевидно.