Estoy implementando un proveedor de servicios SAML2 que se ejecutará en un sitio web público. La funcionalidad de inicio de sesión está disponible públicamente, por lo que cualquier persona puede obtener un AuthnRequest desde mi sitio.
Cuando recibo una respuesta del Idp, ¿tengo que validar el campo InResponseTo para asegurarme de que la respuesta es a un AuthnRequest que he emitido o puedo ignorarlo?
No entiendo cómo agregaría seguridad adicional cuando ya estoy validando la firma de la respuesta y tengo una protección de repetición permitiendo solo que cada ID de aserción se use una vez dentro del tiempo de validez de la aserción (como especificado por la condición).