Хранилище данных базы данных очень примитивно (следовательно, это ранний доступ), и очень вероятно, что оно не будет соответствовать вашим очень специфическим потребностям. В этом случае вы всегда можете реализовать свою собственную реализацию Data Store (что может быть сложно, я знаю ...), вот руководство для этого:
http://docs.forgerock.org/en/openam/10.0.0/dev-guide/index.html#chap-identity-repo-spi
По вашим вопросам:
1) политики хранятся в хранилище конфигурации, и я не знаю, как их можно хранить в базе данных
2) да, есть некоторые API, которые позволяют вам вносить некоторые изменения с идентификаторами, хранящимися в хранилище данных, но OpenSSO / OpenAM не является инструментом управления идентификаторами, поэтому он может не подойти для этого.