Quando si accettano chiavi pubbliche da qualcuno che crea un provider di identità per l'accesso alle risorse protette da un provider di servizi che utilizza SAML 2.0, è assolutamente necessario disporre di un certificato univoco? È coperto dalle specifiche SAML?
Se non lo fanno, suppongo che l'uso dei certificati come livello di difesa sia reso nullo. Un esempio potrebbe essere qualcuno che sta configurando un IdP di test e riutilizzando il certificato per la produzione.