คอนเทนเนอร์ Wildfly Elytron จัดการการรับรองความถูกต้องด้วย SAML2 IDP แบบรวมศูนย์

ฉันกำลังพยายามตั้งค่าการรับรองความถูกต้องที่จัดการคอนเทนเนอร์ด้วย Wildfly 24 และต้องการใช้ Shibboleth IDP ที่มีอยู่ (รวมศูนย์)

ฉันไม่พบเอกสารที่มีรายละเอียดกรณีการใช้งานนั้น ดังนั้นฉันจึงเลือกใช้สถานการณ์การตรวจสอบสิทธิ์พร็อกซี เช่น Apache + Shibboleth SP เชื่อมต่อผ่าน AJP ไปยัง Wildfly

เดอะ เอกสารของ Elytron กล่าวถึงการพิสูจน์ตัวตน http "ภายนอก" ซึ่งหมายถึงการส่งต่อ REMOTE_USER เป็นครูใหญ่ สิ่งที่ไม่รวมคือวิธีรับบทบาทจาก SP (หรือพร็อกซีตรวจสอบสิทธิ์อื่นๆ สำหรับเรื่องนั้น)

สิ่งที่ฉันอยากรู้คือ:

• ฉันจะรับบทบาทที่แมปจากแอตทริบิวต์ AJP / ส่วนหัว HTTP อื่นโดยไม่ต้องหันไปใช้ที่เก็บข้อมูลอื่นเช่น LDAP ได้อย่างไร ฉันขอแอตทริบิวต์เพิ่มเติมในหลักการด้วยได้ไหม เช่น ที่อยู่อีเมล?
• มีวิธีอื่นในการตั้งค่า SAML2 ด้วย Wildfly หรือไม่ การสนับสนุน Keycloak ค่อนข้างจำกัด เนื่องจากใช้ IDP (Keycloak) เดียว Picketlink ถูกจำกัดเช่นกันและเลิกใช้แล้ว
• อีกทางหนึ่ง OIDC จะทำงานในลักษณะนี้หรือไม่ ฉันจะตั้งค่านี้ได้อย่างไร