Есть две разновидности службы STS: служба поставщика удостоверений (IP-STS) и служба проверяющей сторона (RP-STS).

• Служба IP-STS проверяет подлинность клиента, используя, например, встроенную проверку подлинности Windows. Она создает маркер SAML на основе утверждений, представленных клиентом, и может добавить свои собственные утверждения. Приложение проверяющей стороны получает маркер SAML и, проанализировав содержащиеся в нем утверждения, решает, следует ли предоставить клиенту доступ к запрошенному ресурсу.
  
  
• Служба RP-STS не проверяет подлинность клиента, полагаясь на маркер SAML, предъявленный службой IP-STS, которой она доверяет. Обычно IP-STS размещается в домене клиента, а RP-STS – в домене проверяющей стороны. Это показано на следующей схеме.