Al aceptar claves públicas de alguien que configura un proveedor de identidades para acceder a los recursos protegidos por un proveedor de servicios mediante SAML 2.0, ¿es absolutamente necesario tener un certificado único? ¿Está esto cubierto en las especificaciones SAML?
Si no lo hacen, asumo que el uso de certificados como capa de defensa se anula. Un ejemplo podría ser alguien que configura un IdP de prueba y reutiliza el certificado para la producción.
No se especifica que los certificados para dos idps deben ser únicos. Por lo que sé, ni siquiera tienes que tener un certificado. Pero es recomendable.
Para ampliar la respuesta de Stefan:
También me aseguraría de que el certificado utilizado para la firma sea diferente del que se usó para el cifrado, así como del certificado que el TLS (espero no esté utilizando SSL) para asegurar el canal de comunicaciones.
En otras palabras ... Un certificado único para cada cosa.
Lea otras preguntas en las etiquetas certificates identity identity-management saml