Ciao a tutti,
quello che sto per chiedervi è un dubbio riguardante il corretto flusso di messaggi di request e response che le entità IdP e SP si scambiano.
Ciò che vorrei capire è se SP e IdP, nell’ambito di SPID, comunichino direttamente fra loro o meno.
Stando alle regole tecniche (Linee Guida Attribute Authority SPID | Specifiche di funzionamento) sembrerebbe come se SP e IdP comunichino direttamente fra loro.
Stando invece alla documentazione ufficiale su SAML (su cui SPID si basa) è specificato chiaramente che le due entità non comunicano mai direttamente fra loro ma vi è sempre il browser che fa da intermediario fra SP e IdP.
Quale delle due opzioni è quella corretta? Oppure sono entrambe corrette e quindi nell’ottica di SPID le due entità possono comunicare direttamente?
Grazie per chi risponderà.