Utilizziamo il profilo SSO del browser Web SAML (SAML 2.0)
Abbiamo un SP che utilizza SAML2.0. Tutte le comunicazioni tra IdP e SP sono su HTTP.
Se AuthnResponse di IdP viene inviato su HTTP, è obbligatorio che l'SP convalidi la firma su entrambe le asserzioni crittografate e la firma sull'intera risposta? L'IdP non è obbligato a eseguire la convalida della firma se tutte le asserzioni sono crittografate?
Grazie.