Hola Maximiliano,
hasta donde se no hay regla contra eso, ni tendria sentido que lo hubiera tampoco asi que no te preocupes.
FInalmente logré conectar mi SP con el IdP, envio una SAML assertion, recibo la pantalla de logeo del IdP, y vuelvo a mi default.aspx; sin embargo, el SP no se logea automaticamente al recibir confirmacion del IdP que el usuario se logueó. Considerando que la pass nunca viaja (y no deberia) en el token SAML... ¿como se supone que mi SP sepa que usuario se logueó en cuestion?Entre la metadata que te devuelve el token SAML vienen una serie de atributos estandar que son parte del mismo, vos podes usar uno de esos o utilizar alguno de los que agrega Araí, todo depende a que dato quieras acceder.
Por ej: en SIU-Toba usamos defaultUserAccount ya que para un sistema un mismo usuario puede tener varias cuentas, si no es tu caso podes utilizar algun otro para identificar al usuario ya sea uid, userID, uniqueID, etc.
En Arai-Usuarios al loguearte te muestra todos los campos que recibio en el token SAML y sus respectivos valores (al menos en desarrollo).
¿Se supone que unicamente verifique dicho usuario y el resto de las claims del token SAML y que eso sea suficiente?Es una cuestion de confianza, le delegas al IDP la autenticacion del usuario... el te informa que se logueo JMFangio, si el mensaje es valido (esto lo deberia determinar la libreria que uses) y JMFangio es un usuario existente en tu aplicacion no hay mucho mas que puedas pedir.
Si es importante que verifiques que el token sigue siendo valido (eso tambien lo deberia proveer la libreria) para evitar dejar adentro a alguien que se deslogueo del IDP via otra aplicacion.
El tema de SLO es algo que evaluaras si tiene sentido o no, en nuestro caso van de la mano SSO y SLO.
¿Se supone que debo configurar o escribir codigo en mi SP para que esto suceda o deberia suceder por si solo?Depende la funcionalidad que te provea la libreria, quizas debas realizar los chequeos de las assertions manualmente (no seria lo ideal) o no, lo mismo con la validez (por tiempo) del token y las redirecciones desde/hacia el IDP.
Lo que seguro vas a tener que incluir es el código para que una vez obtengas el usuario el mismo quede autenticado en tu aplicacion, el resto si lo podes delegar en la libreria mejor.
Saludos