Возможно ли иметь общий Shibboleth SP, настроенный в одном месте (например, в любом промежуточном программном обеспечении), и все приложения, которые находятся в разных доменах на разных серверах, могут использовать его для аутентификации sso. И все приложение может общаться между собой через общий SP. Видите ли вы какую-либо ошибку в этом дизайне?Common Shibboleth SP для нескольких доменных приложений
Чтобы быть наиболее эффективным, SP должен быть установлен на том же хосте, что и веб-приложение. Множественные физические SP могут иметь идентичные идентификаторы/конфигурации/метаданные, которые фактически становятся единым логическим SP для вашей организации, который существует на всех ваших веб-серверах, нуждающихся в аутентификации SSO.
См. Документ Shib, объясняющий трудности, связанные с тем, что веб-приложения защищены поставщиком услуг, работающим на отдельном физическом сервере.
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPOneMany