Мне просто интересно, что при реализации SAML SSO с Salesforce я понимаю, что загрузил сертификат на сторону SP (т.е. Salesforce), однако я вижу, что когда мы отправляем подписанный ответ SAML, он уже включает сертификат.
Почему сертификат заранее передается поставщику услуг?
Все дело в установлении доверия между системами. Если вы не предоставите SFDC свой сертификат заранее, как они могут быть уверены, что сообщение, которое вы отправляете, на самом деле отправлено вашим провайдером идентификации? Без вашего сертификата заранее они могут подтвердить, что сообщение не повреждено, но не могут подтвердить, кто его фактически сгенерировал. Когда вы включаете свой открытый ключ в ответ SAML, они могут проверить, что это тот же ключ, которым вы поделились с ними, и тот же самый, который вы использовали для создания подписи.
