Sono un novizio dell'autenticazione basata su SAML. In una tipica configurazione aziendale B2B, ho bisogno di utilizzare un'API fornita da un'altra organizzazione. Il provider API ha abilitato l'autenticazione a due fattori, TLS reciproco seguito dall'autenticazione basata su SAML. Per SAML, il provider si aspetta di avere in IdP, creare un token SAML e aggiungerlo all'intestazione http che verrà convalidato dal provider (il provider si aspetta che fornisca la chiave pubblica SAML in anticipo)
Domande:
a) È normale che il consumatore crei l'asserzione SAML?
b) Se sì, quali sono le opzioni devo creare un IdP che può creare token SAML in base alle informazioni fornite sopra?