Мы сопоставляем роли Keycloak с ролями AWS в нашем клиенте SAML через пользовательский SAMLAttributeStatementMapper и успешно можем сгенерировать действительный ответ SAML с помощью Keycloak.
Для того, чтобы иметь возможность использовать конечную точку SAMS AWS(https://signin.aws.amazon.com/saml) необходимо указать либо https://signin.aws.amazon.com/saml, либо urn: amazon: webservices в качестве "Audience" в теге "AudienceRestriction".
Пока что мы имеемне нашел способа сделать это в документации по Keycloak. Существует AudienceRestrictionType, но мы не знаем, как его использовать.