Los proveedores de identidad (IdP) a menudo proporcionan un archivo de metadatos que se utiliza al configurar SAML. Este archivo debe ingresarse en un proveedor de servicios (SP). ¿Necesitamos mantener este archivo de metadatos privado y seguro? ¿O es segura la información que contiene? Tengo curiosidad al configurar un proveedor de servicios sobre el nivel de protección que debemos incluir en esta información.
El archivo de metadatos no contiene información confidencial. Proporciona información que el SP puede usar para confiar en una afirmación proveniente de [IdP] (para que nadie más pueda reclamar que sea [IdP]). La información típica que contiene es: URL de SSO, nombre del emisor y el certificado que contiene la clave "pública" de PKI. Todos estos son bastante públicos de todos modos (como cualquier usuario puede verlos en la aserción de SAML si los capturan en el navegador). Con esta información, el malo realmente no puede hacer nada.
El enlace de la fuente se cortó.