Контейнерная аутентификация Wildfly Elytron с федеративным IDP SAML2

Я пытаюсь настроить аутентификацию, управляемую контейнером, с помощью Wildfly 24 и хотел бы использовать существующий (объединенный) IDP Shibboleth.

Я не нашел документов, подробно описывающих этот вариант использования, поэтому я выбрал сценарий аутентификации через прокси, например. Apache + Shibboleth SP подключается через AJP к Wildfly.

документы Элитрон упомянуть "внешнюю" HTTP-аутентификацию, что означает передачу REMOTE_USER в качестве принципала. Чего он не включает, так это того, как получить роли от SP (или любого другого аутентифицирующего прокси, если на то пошло).

Я хочу знать следующее:

• Как я могу сопоставить роли из другого атрибута AJP/заголовка HTTP, не прибегая к другому хранилищу данных, такому как LDAP? Могу ли я также получить дополнительные атрибуты в принципале, например, например. почтовый адрес?
• Есть ли альтернативный способ настроить SAML2 для Wildfly? Поддержка Keycloak довольно ограничена, поскольку предполагает наличие одного (Keycloak) IDP. Пикетлинк также ограничен и устарел.
• В качестве альтернативы, будет ли OIDC работать таким образом? Как мне это настроить?