Der Benutzer des WS-Consumers authentifiziert sich am Sicherheitstokendienst (STS), z.B. mit einem Kerberos-Token, das der STS gegen ein Sicherheitstoken (SAML-Token) austauschen soll. Der WS-Consumer kann Material zum Erstellen des kurzlebigen symmetrischen Schlüssels beisteuern.

Der STS generiert einen kurzlebigen symmetrischen Schlüssel, den er mit dem öffentlichen Schlüssel des WS-Providers verschlüsselt. Der STS fügt diesen Schlüssel zusammen mit dem Sicherheitstoken in die SAML-Assertion ein und signiert die SAML-Assertion mit seinem Signaturschlüssel.

Der STS stellt die SAML-Assertion als SAML-Token aus und schickt dieses zusammen mit seinem Schlüsselmaterial zum Erzeugen des kurzlebigen symmetrischen Schlüssels an den WS-Consumer.

Der WS-Consumer generiert aus seinem und dem Schlüsselmaterial des STS ebenfalls den kurzlebigen symmetrischen Schlüssel.

Der WS-Consumer übernimmt das SAML-Token unverändert in den Nachrichten-Header. Er verschlüsselt den Nachrichtentext und signiert die Nachricht mit dem generierten kurzlebigen symmetrischen Schlüssel. Anschließend sendet er die Nachricht seines Benutzers an den WS-Provider.

Der WS-Provider überprüft die Signatur des STS im SAML-Token und entschlüsselt mit seinem privaten Schlüssel den kurzlebigen symmetrischen Schlüssel, der im SAML-Token enthalten ist. Der WS-Provider verifiziert die Signatur des WS-Consumers (also des Holder-of-Key) mit dem entschlüsselten kurzlebigen symmetrischen Schlüssel. Der STS bestätigt somit, dass der Holder-of-Key das Subjekt (der Benutzer) in der Assertion ist. Der WS-Provider entschlüsselt mit dem kurzlebigen symmetrischen Schlüssel den Nachrichtentext.

Der WS-Provider lässt den Benutzer, dessen ID im SAML-Token enthalten ist, auf die Ressourcen zugreifen.