自分が使用している参考書にCookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難だと書かれていました。

一方で、SAMLによるSSOは異なるドメインでもSSOを構築できると書かれていました。

そこで二点の疑問があります
一. ”なぜ”Cookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難なのか
二. ”なぜ”SAMLによるSSOは異なるドメインでもSSOを構築できるのか

この二点について解説していただけると助かります。

情報処理安全確保支援士平成30年春期 午前Ⅱ 問5に解説があります。
https://www.sc-siken.com/kakomon/30_haru/am2_5.html

それぞれの特徴を理解するように心がけましょう！

らうさん、ありがとうございます♪(´ε｀ )

SSOについて、まとめました。
こんな感じですね。
■クッキーを用いたSSOの場合
この場合、認証情報の連携はクッキーが有効な範囲に限られます。
大抵の場合、同一ドメイン内でしか有効ではないので、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。

■リバプロ型SSOの場合
この場合、ネットワーク構成の制約上、
同一ドメインでの認証情報連携を前提としているため、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
1つのリバースプロキシの先のバックエンドに、複数のドメインがあるようなケースって、
あまりないはずです。

■SAMLの場合
この場合、IdPとSPがアカウント情報（ID）を事前連携することで、
ドメインを超えて信頼の輪（Circle of trust）を築くことができます。
さらに、SOAPやHTTPのリダイレクト機能でIdPとSP間で
アサーション情報をやり取りする（1度だけ、ユーザによるIdPでの認証操作が必要）
ことで、クライアントはCircle of trust内の全SPへの
cookie（アクセス権）を入手できるわけです。