Это зависит от того, какой Binding вы используете и каков ваш вариант использования.Если вы говорите о протоколе разрешения артефактов, для привязки SOAP, например, не требуется подписанный ответ SAML.Однако для HTTP Post Binding (веб-профиля единого входа) всегда требуется подпись.
Взаимная проверка подлинности TLS разрешена для привязки SOAP, но это нецелесообразно для веб-профиля единого входа.
Таким образом, это действительно зависит от того, каков ваш вариант использования, поскольку каждый профиль / привязка имеетсвои требования.