Да, при использовании SAML 2.0 и подписанных сообщений (HTTP Post требует ответов с цифровой подписью), DigestMethod и DigestValue обязательны и должны быть сгенерированы / проверены в соответствии со спецификацией XML-подписи с использованием Transform: Enveloped Signatures. Если вы неправильно подписали / утвердили сообщение, что может помешать злоумышленнику перехватить сообщение и изменить его содержимое? SSL защищает только транзитное сообщение, а не содержимое самого сообщения.