Soy nuevo en SAML2 y tengo una pregunta. Tenemos un cliente que dice que quiere cifrar los datos de usuario que nos envían. Aquí hay una descripción general de cómo lo he implementado hoy:
El usuario inicia sesión en su sitio de Intranet y hace clic en un enlace a nuestra empresa. Utilizan PingFederate Inicio de sesión único (SSO) para generar la solicitud SAML2. Envían el nombre de usuario en la sección Subject.NameId . Cuando recibimos la solicitud SAML2, desciframos la información que enviaron usando su certificado.
El cambio que desean es cifrar la sección con nuestra clave y descifraremos esta sección de nuestro lado. Esto se está usando solo para un proceso de SSO de un solo lado, y no necesitamos enviarles nada a ellos.
Solo quería contactarme y ver si esta es la forma correcta de hacer SAML2 o no. La forma en que lo tengo configurado es ver la solicitud SAML2 entrante y determinar qué certificado usar en nuestro servidor, y usar lo que el cliente nos ha dado. Otra cosa que dijo es que la forma en que implementamos esto no es realmente SAML2.