Quale livello di accesso richiederebbe un utente malintenzionato per compromettere un sistema SSO basato su SAML?
Sarebbe sufficiente rubare la chiave privata utilizzata per firmare le richieste SAML? Cosa accadrebbe se un utente malintenzionato avesse root sul server che stava generando le richieste SAML? Potrebbero poi replicarsi in seguito inviando le richieste sul proprio computer, oppure i provider di identità hanno più asso nella manica?
Sto cercando di valutare i pro e i contro dei vari approcci SSO.
Grazie!