Una empresa me preguntó si es posible utilizar el protocolo SAML sin ningún certificado. El estándar no requiere que un ticket SAML esté firmado o encriptado, por lo que la respuesta sería ¿sí? ¿Es esta una respuesta correcta o me he perdido algo?
No firmar un SAML-ticket sería una muy mala idea porque serías un blanco fácil para "Man in the middle-attack". ¿Estoy en lo correcto?