Как вы заметили, если у вас один и тот же URL-адрес ACS для всех IDP, то назначение всегда будет одинаковым в утверждении.
Каждый ВПЛ должен (должен?) Иметь своего уникального Эмитента, по крайней мере, если у каждого из них также есть свой собственный открытый сертификат, с которым он подписывается. По моему опыту, PingFederate и другие серверы обеспечивают правильную загрузку информации о конфигурации при проверке ответа. Не уверен, почему Эмитент не будет работать для вас в этой ситуации.
Вы можете попасть в ситуации, когда «разные» ВПЛ одной и той же компании могут отправлять вам Ответы с одним и тем же эмитентом и разными сертификатами DSIG и AttributeStatements, но в большинстве случаев этого не должно быть.
НТН
Ian