Me gustaría auditar las reclamaciones que se envían a un cliente desde una autenticación SAML / p o WS-Trust.
¿Qué claves privadas necesito y cómo descifraré esta información?
Si hay alguna diferencia, estoy auditando Microsoft ADFSv2 y una implementación de SiteMinder
Los tokens SAML, si están encriptados, están encriptados contra el certificado X509 de la parte retransmitida, ya sea el certificado público HTTPS o un certificado acordado entre el STS y el RP.
Por lo tanto, necesitarías una clave privada para descifrar ese certificado.
Lea otras preguntas en las etiquetas web-application cryptography cookies federation identity