Le sous-système PicketLink permet de configurer et de déployer des fournisseurs d'identité (IDP) et des fournisseurs de services (SP), regroupés en fédération.
Une fédération est comparable à un cercle de confiance à partir duquel les applications partagent des configurations communes, comme des certificats et des configurations spécifiques à SAML. Chaque domaine participant documente précisément les processus utilisés afin d'identifier un utilisateur, le type de système d'authentification utilisé et toute stratégie associée aux identifiants d'authentification qui en résultent.
Chaque fédération possède un IDP et plusieurs SP.