Я вижу из http://docs.spring.io/spring-security-saml/docs/1.0.0.RELEASE/reference/html/configuration-advanced.html#configuration-load-balancing, что фиксированные сеансы требуется при использовании балансировщика нагрузки.
Есть ли надежда на поддержку нелипких сессий в будущих версиях?
-Кай :)
Не должно быть необходимости в закрепленных сеансах, если вы реплицируете свои сеансы HTTP на все узлы в кластере. Это также не требуется, если вы используете SSO, инициализированный IDP, без единого выхода. Еще один вариант — добавить bean-компонент EmptyStorageFactory, который удаляет определенные проверки на основе отправленных AuthnRequest (например, проверку поля InResponseTo).
Всегда есть надежда, но я не думаю, что буду писать это в ближайшее время. Взносы приветствуются.
