Sto implementando un provider di servizi SAML2 che verrà eseguito su un sito Web pubblico. La funzionalità di accesso è disponibile pubblicamente, quindi chiunque può ottenere un AuthnRequest dal mio sito.
Quando ricevo una risposta dall'Ipp, devo convalidare il campo InResponseTo per assicurarmi che la risposta sia a un AuthnRequest che ho emesso o posso ignorarlo?
Non capisco come aggiungerebbe ulteriore sicurezza quando sto già convalidando la firma della risposta e avrò una protezione di riproduzione consentendo solo che ogni id di asserzione venga usato una volta entro il tempo di validità dell'asserzione (come specificato dalla condizione).