Quando si accettano chiavi pubbliche da qualcuno che crea un provider di identità per l'accesso alle risorse protette da un provider di servizi che utilizza SAML 2.0, è assolutamente necessario disporre di un certificato univoco? È coperto dalle specifiche SAML?
Se non lo fanno, suppongo che l'uso dei certificati come livello di difesa sia reso nullo. Un esempio potrebbe essere qualcuno che sta configurando un IdP di test e riutilizzando il certificato per la produzione.
Non è specificato che i certificati per due idp debbano essere univoci. Per quanto ne so non hai nemmeno bisogno di avere un certificato. Ma è raccomandato.
Per espandere la risposta di Stefan:
Inoltre, assicurerei che il certificato utilizzato per la firma sia diverso da quello utilizzato per la crittografia, nonché diverso da quello utilizzato da TLS (spero che tu non stia ancora utilizzando SSL) per proteggere il canale di comunicazione.
In altre parole ... Un certificato unico per ogni cosa.
Leggi altre domande sui tag identity saml certificates identity-management