Изменения

Дальше все сервисы получают от провайдера какой-то вид ключа (токен). Точнее в OAuth2 пара токенов — access и refresh, но не суть. С токеном ты идёшь в API провайдера и спрашиваешь — это кто? Провайдер говорит — ну типа вот, это юзер такой-то. Вот и всё SSO. Второй вариант — ты сам извлекаешь детали пользователя из токена и сам его валидируешь с помощью сертификата, например, так можно сделать с JWT (JSON Web Token). И, на самом деле, похожим образом устроен даже Kerberos.