Estamos utilizando el perfil SSO del navegador web SAML (SAML 2.0)
Tenemos un SP usando SAML2.0. Toda la comunicación entre IdP y SP se realiza a través de HTTP.
Si AuthnResponse de IdP se envía a través de HTTP, ¿es obligatorio que el SP valide la firma tanto en las afirmaciones cifradas como en la firma en la respuesta completa? ¿No se requiere que el IdP realice la validación de firmas si todas las afirmaciones están cifradas?
Gracias.