Ho implementato SAML 2.0 usando la gemma ruby-saml nella mia app Rails. In questa app, i clienti possono specificare il proprio ID SAML per il proprio account. Ho un cliente che insiste sul fatto che richiedere HTTPS per l'URL dell'emittente non fa nulla per sicurezza. Ho capito che questo URL rappresenta il loro provider di identità. Per questo motivo ho pensato che consentire ai provider di identità HTTP potessero aprire la mia app fino agli attacchi MITM, tramite la loro app.
È sicuro consentire URL HTTP per gli URL degli emittenti per implementazioni SAML 2.0? Se è così, mi piacerebbe sapere perché.