Sul server aruba avvia la sessione.
Crea una stringa casuale (rand() / microtime() / md5(), etc.) e salvala in sessione
Genera la form di login che punti verso il server dove devi fare l'autenticazione
Tra i campi della form inserisci un hidden con la stringa casuale
Sull'altro serve esegui l'autenticazione
Se va a buon fine, crea un hash un hash della stringa casuale insieme ad una password segreta (es. https://api.wordpress.org/secret-key/1.1/ ) insieme all'IP dell'utente.
Poi esegui un redirect verso il server aruba passando l'hash appena generato.
Sul server aruba confronti l'hash passato con un hash generato allo stesso modo.
Se corrispondono, l'utente è autenticato.

Dato che la la password usata come componente dell'hash non è pubblica, il sistema è abbastanza sicuro. Ovviamente qualcuno potrebbe dire che un attacco brute force potrebbe permettere di trovare un hash valido, etc. etc. Se il problema è garantire un livello elevato di sicurezza, forse è il caso di cambiare provider.