Deluje v dveh korakih, pri čemer je prvi korak izbiren:
Ponudnik storitev izda <AuthnRequest> skrbniku identitete, da naj poda overitveno potrdilo (authentication assertion) ponudniku storitev. Poleg tega lahko ponudnik storitev zahteva še povezavo identitete.