Scenariusz:
1) Przeglądarka (użytkownik) żąda zasobu od dostawcy usług (SP).
2) Przekierowania SP (z żądaniem SAML) do dostawcy tożsamości (IdP).
3) Ponieważ jest to pierwsze logowanie, Użytkownik podaje (IdP) swoje ważne dane uwierzytelniające.
4) IdP przekierowuje następnie przeglądarkę (z odpowiedzią SAML, która zawiera token SAML) na stronę SP.

Mam dwa pytania:

A. Czy w kroku 4 przeglądarka przechowuje lub buforuje odpowiedź SAML i / lub token SAML?

B. Jeśli tak, to jakie rzeczy (atrybuty? Limity czasu? Protokoły?) Uniemożliwiają mi pobranie zapisanego tokenu SAML. Następnie przekierowanie go na inny komputer (z nową sesją) i użycie tego tokena do zalogowania się do tego samego SP?