L'objectif d'un service de découverte est de déterminer quel fournisseur d'identités sera contacté pour authentifier l'utilisateur. Il s'agit d'un menu déroulant, proposé à l'utilisateur, listant les fournisseurs d'identités disponibles. Il n'est nécessaire que si un service est susceptible d'être utilisé à partir de plusieurs fournisseurs d'identités, typiquement au sein d'une fédération d'identité regroupant plusieurs établissements.

Le terme WAYF (Where Are You From) correspond à la même fonctionnalité, mais avec un protocole légérement différent, et dorénavant obsolète.

Cas du DS : SP ⇒ DS ⇒ SP ⇒ IdP.

Le Discovery Service se contente de sélectionner l'IdP à contacter, charge au SP de rediriger l'utilisateur vers l'IdP. Le SP est mieux armé pour effectuer cette tache, en prenant en compte les profils SAML supportés par chaque IdP (SAML2 ou Shib1).

Exemple de configuration pour un SP Shibboleth:

<Sessions>
    <SSO discoveryProtocol="SAMLDS" discoveryURL="https://discovery.renater.fr/test/WAYF">SAML2</SSO>
</Sessions>

La sélection d'un fournisseur d'identité via un service de découverte n'est absolument pas un mécanisme de controle d'accès: si l'utilisateur utilise une des techniques destinées à Court-circuiter le service de découverte, c'est lui qui va choisir son fournisseur d'identité.