Требуется, чтобы это подписывает маркер SAML? Похоже, что элемент подписи не требуется согласно схеме.
Вместо подписания маркера SAML мы потребовали бы, чтобы клиентские сертификаты (двухсторонний SSL) проверили, что потребитель является доверяемым потребителем. Действительно ли это - жизнеспособный вариант?
Это зависит от того, какую привязку вы используете и каков ваш вариант использования. Если вы говорите о протоколе разрешения артефактов, привязка SOAP, например, не требует подписанного ответа SAML. Однако для HTTP Post Binding (Web SSO Profile) всегда требуется подпись.
Взаимная аутентификация TLS разрешена для привязки SOAP, но нецелесообразна для профиля единого входа в Интернете.
Итак, это действительно зависит от вашего варианта использования, поскольку каждый профиль / привязка имеет свои собственные требования.