Я не очень разбираюсь в SAML, поэтому может кто-нибудь сказать мне, какова цель подписания утверждений SAML и каковы последствия для безопасности, если их не подписывать.
Если у вас нет подписи, вы не можете проверить, что полученный вами ответ SAML действительно получен от ожидаемого отправителя. Это может быть кто-то другой, говорящий: «Я суперадмин и имею все разрешения, впустите меня». И вы бы слепо им поверили.