SAML 2.0 это хорошо, но плохо что его обходят через эксплуатацию уязвимостей в обработке XML. Причины достаточно заумные, зато методы эксплуатации простые до обидного. Не соблюдал стандарт, напихал пустых строк - получай ключ от ворот.
Так что проблема стара как мир - протокол безопасности может быть безопасным до скрипа, но сторонние парсеры, на которые он полагается, ну вот они парсеры, чего от них многого хотеть. Распарсили что-то там и ладно с ними.
Но вот иногда получается что не очень ладно и надо думать за всех сразу.