<div dir="ltr"><div><div><div><div><span dir="ltr" class="" lang="">As
 per OASIS/SAML spec recommendation, If the message is signed, the 
Destination XML attribute in the root SAML element of the protocol 
message MUST contain the URL to which the sender has instructed the user
 agent to deliver the message. The recipient MUST then verify that the 
value matches the location at which the message has been received.<br><br></span></div><span dir="ltr" class="" lang="">However, in keycloak, always validate the &#39;Destination&#39;  on saml response. irrespective of response is signed or not. <br><br></span></div><span dir="ltr" class="" lang="">is not a defect?<br><br></span></div><span dir="ltr" class="" lang="">Thanks,<br></span></div><span dir="ltr" class="" lang="">Arul kumar P.<br></span></div>