Около 2: Вы не можете на самом деле проверять метаданные IdP с вашими метаданными SP. Большинство IdP не сообщают, принимают ли они подписанный SAML AuthnRequest с цифровой подписью. Они также обычно не сообщают, какой алгоритм подписи или размеры ключей они поддерживают.
Некоторые реализации IdP даже не создают файлы метаданных, соответствующие схеме метаданных SAML.
Если вы заботитесь о безопасности, вам следует поставить цифровую подпись в SAML AuthnRequest и попросить IdP проигнорировать подпись, если ваш SP отправит ее.
Также обратите внимание, что в течение некоторого времени в спецификации есть некоторое обновление ... см. Новые правила обработки.
Альтернатива: во время загрузки спросите (флажок / переключатель), могут ли они обрабатывать SAML AuthnRequest и какой алгоритм подписи должен использоваться.
т.е. Microsoft ADFS и Azure AD выдают неописательный ответ об ошибке SAML, если они не могут обработать SAML AuthnRequest.