I provider di identità (IdP) spesso forniscono un file di metadati che viene utilizzato durante l'impostazione di SAML. Questo file deve essere inserito in un Service Provider (SP). Dobbiamo mantenere questo file di metadati privato e sicuro? O le informazioni al suo interno sono tutte sicure da rendere pubbliche? Sono curioso di impostare un fornitore di servizi sul livello di protezione che dobbiamo applicare a queste informazioni.
Il file dei metadati non contiene informazioni sensibili. Fornisce informazioni che l'SP può utilizzare per fidarsi di un'affermazione proveniente da [IdP] (quindi nessun altro può affermare di essere [IdP]). Le informazioni tipiche che contiene sono: URL SSO, nome dell'emittente e il certificato contenente la chiave "pubblica" PKI. Tutti questi sono comunque abbastanza pubblici (dato che ogni utente può vederli nell'asserzione SAML se lo catturano nel browser). Con questa informazione, il cattivo non può davvero fare nulla.
Il link sorgente è morto.