Poznámka: Od verze 2.0 obsahuje Shibboleth Identity Provider vlastní autentizační mechanismy a podporu single sign-on (SSO). Vzhledem k tomu je tento text již poněkud zastaralý.

Ve své současné verzi neobsahuje Shibboleth Identity Provider protředky pro autentizaci. Proto je potřeba tzv. SSO service chránit nějakou formou web autentizace. V nejjednodušším případě to muže být basic autentizace pomocí některého autentizačního modulu zabudovaného do Apache. Identitu uživatele přebírá Shibboleth SSO service z proměnné REMOTE_USER, kterou musí nastavit nadřazený autentizační mechanismus. Pokud tato proměnná neni nastavená, vyskytne se chyba unauthenticated principal.

Navzdory názvu Shibboleth SSO service, nepodporuje sama o sobě trvale přihlášení uživatelů. Vytváří sice session asociovanou s danou identitou, ale pro identifikaci stále spoléhá na proměnnou REMOTE_USER. To znamená, že nepodporuje-li nadřazený autentizační systém funkcionalitou persistentního přihlášení, musí provádět autentizaci pokaždé, když uživatel přistoupí k IdP. V případě basic autentizace je tomu tak, ale vzhledem k tomu, že vetšina webovských prohlížečů uchovává autentizační údaje a opakovaně je používa, dá se mluvit o jisté pseudo single sign-on funkcionalitě.

Basic autentizace je ale z různých důvodů nedostačující:

• nabízí jen omezené možnosti autentizace
• nedává možnost ovlivnit autentizaci na aplikační úrovni - nastavit vzhled, definovat vlastní chybové stavy a reakci na ně apod.
• autentizační údaje se přenáší pokaždé, když uživatel přistoupí na cílovou adresu

Mnohem lepším řešením je mezi uživatelem a IdP použít aplikační vrstvu, disponující mechanismy pro autentizaci a persistentní přihlášování - web single sign-on systém. Tyto systémy většinou podporují řadu autentizačních mechanismů, včetně i možnosti implementace vlastního autentizačního backendu. Nasazení takového systému dovoluje integrovat lokální a federativní služby pod společným přihlášením nebo dokonce i služby z různých federací.

Web single sign-on systémy mají strukturu podobnou Shibboleth infrastruktury - podobně jako Shibboleth IdP udržuje hlavní session uživatele, na jejíž základě dostává uživatel přístup do jednotlivých služeb (generují se jednotlivé session na straně SP), tak i u SSO většinou existuje centrální autorita, která udržuje login session uživatele a na jejím základě získává uživatel přístup do chráněných aplikací. V případě intagrace Shibboleth IdP se SSO systémem ale bude vystupovat Shibboleth SSO service v roli chráněné aplikace.