En service provider skal gøre følgende ved et request:

• Er requestet gyldigt i tid?
• Kan requestets signatur valideres?
• Hent Identity Token
• Er Identity Token gyldigt i tid?
• Kan Identity Token signatur valideres?
• Gennemløb alle OIO SAML Attributter og verificer dem - bla. om der er tale om et DGWS eller IDWS request.