He implementado SAML 2.0 usando la gema ruby-saml en mi aplicación Rails. En esta aplicación, los clientes pueden especificar su IDP SAML para su cuenta. Tengo un cliente que insiste en que requerir HTTPS para la URL del Emisor no hace nada por seguridad. Pensé que esta URL representa su proveedor de identidad. Por eso, pensé que permitir que los proveedores de identidad HTTP pudieran abrir mi aplicación a ataques MITM, a través de su aplicación.
¿Es seguro permitir URL de HTTP para URL de emisor para implementaciones de SAML 2.0? Si es así, me gustaría saber por qué.