Shibbolethの資料ではないが、
Oracle Identity Federation(pdf)を読めばだいたい、わかる。


ようは、COT(Circle Of Trust)という単位、つまりIdPと、Idpにぶら下がってるSP群があって、
これらがリンクしてもう一つ大きな単位になったものが同盟(federation)。
で、(OpenSAML over SOAP over HTTP)で、SAMLアサーションをIdPからIdPへ、IdPからSPへと送る。
SPはSAMLアサーションからユーザ名特定、ユーザ権限特定などする。
その結果、ブラウザにクッキーを生成する。


こんな感じで、Shibbolethでは、フェデレーション内でのCOT間での、
SAMLアサーションの引き継ぎをやることで、
クロスドメインSSOを実現してるってこと。