Von der Grundidee geht Shibboleth davon aus, dass ein Nutzer immer einer Heimateinrichtung angehört, d.h. eine Institution seine Benutzerdaten verwaltet. Das kann eine Bibliothek, ein Uni-Rechenzentrum oder das Studentensekrtariat sein. Daher ist es völlig ausreichend, wenn diese Heimateinrichtung die Benutzerdaten exklusiv pflegt (= Identity Prover). Weiter wird davon ausgegangen, dass die Heimateinrichtung vertrauenswürdig ist und man sich sozusagen „auf ihr Wort verlassen kann“. Das bedeutet: Möchte ein Benutzer eine geschützte Internetressource verwenden, beispielsweise eine Datenbank einer Bibliothek oder eines Verlages, so wird der Benutzer gefragt: „Wo kommst Du her?“ (Where are you from? = WAYF). Nachdem der Benutzer das einem speziellem Server (WAYF-Server) mitgeteilt hat, wird er ggf. von seiner Heimateinrichtung gebeten sich mit einem Login zu authentifizieren. Somit kann der Anbieter der Ressource (Sercive Provider) bei der Heimateinrichtung nachfragen „Kennst Du den?“. Wenn das bejaht wurde, wird der Service Provider anhand von Nutzermerkmalen (Attributen) den Zugriff auf die gewünschte Ressource gewähren (autorisieren) oder verweigern. Gelangt der Nutzer anschließend zu Angeboten eines anderen Services Providers muss der Benutzer sich nicht mehr authentifizieren, weil die Kommunikation zwischen dem Identity Provider und dem Servcice Provider nun im Hintergrund ablaufen kann.

Föderation:
Was hier technisch stark vereinfacht geschildert wurde, setzt letztlich ein regelbasiertes Vertrauensmodell zwischen Identity Provider und Service Provider voraus, um sich auf Zusagen des jeweils anderen verlassen zu können. Alle notwendigen Regeln, die Überwachung der Regeln und Sanktionen bei Verstößen werden in einer Föderation vertraglich festgelegt. Alle Beteiligten, die auf die oben beschriebe Wiese authentifizieren und autorisieren möchten, müssen zwingend der selben Föderation angehören.

Vorteile:
Welche Vorteile bringt Shibboleth also? Nun hier kann man sehr klar die Vorteile für die einzelnen Akteure benennen. Für den Benutzer bedeutet es, sich nur einmal authentifizieren zu müssen, um verschiedene geschützte Angebote nutzen zu dürfen(SSO). Außerdem können die geschützten Ressourcen nun unabhängig vom geographischen Ort genutzt werden. Schließlich wird der Datenschutz gestärkt, da Nutzerdaten einerseits nicht mehr jedem Anbieter übermittelt werden müssen, anderseits die Daten dezentral verwaltet werden. Anbieter können die zu schützenden Angebote mit vergleichsweise geringem Aufwand absichern und benötigen keine eigene Benutzerverwaltung mehr. Zuletzt bringt es allen Institutionen auf Grund der leichten Steuerbarkeit des Zugriffs auf zu schützende Angebote Erleichterungen. Mitglieder einer anderen Institution können so geschützte Angebote, entsprechende Rechte vorausgesetzt, ebenfalls nutzen. Schließlich wird auch die Einbindung neuer Angebote stark vereinfacht.