Estoy en el proceso de realizar cambios en mi sitio para que podamos ser un proveedor de servicios SAML 2.0. Haremos SAML iniciado por IdP con federación de cuentas fuera de banda.
Mi pregunta es la siguiente: dada una respuesta SAML que se publica en la página de destino de mi sitio, ¿cómo verifico que la respuesta fue generada por una fuente confiable?
Puedo validar la firma que está incorporada en la respuesta, pero ... ¿no podría alguien simplemente firmar una respuesta y comenzar a publicarla en mi sitio, intentando validar a los usuarios? ¿Asumo que hay algo en la firma que puedo extraer y comparar con una lista de proveedores de identidad confiables? ¿Pero no podría un atacante simplemente falsificar eso?