Поскольку вы хотите использовать роли и утверждения в локальном хранилище пользователей, я предполагаю, что пользователь уже существует и в локальном хранилище пользователей. Поскольку вы хотите проходить аутентификацию с федеративным IDP, вы можете связать учетную запись пользователя между локальным пользователем и федеративным пользователем и использовать утверждения пользователя.
Чтобы узнать больше о связывании учетных записей пользователей в IS5.3.0, пожалуйста, следуйте эта документация: https://docs.wso2.com/display/IS530/Associating+User+Accounts
После выполнения сопоставления учетной записи вы можете включить Подтверждение личности с помощью сопоставленного локального идентификатора субъекта (Эта опция будет использовать локальный идентификатор субъекта, когда подтверждение личности) в Конфигурация локальной и исходящей аутентификации для поставщика услуг. Пожалуйста, следуйте этой документации, чтобы настроить это свойство у поставщика услуг. https://docs.wso2.com/display/IS530/Configuring+Local+and+Outbound+Authentication+for+a+Service+Provider