IdP启动的流程-识别okta帐户

我有一个MVC应用程序(。Net Framework 4.5)，它已经存在三年了，使用表单认证机制。这个应用程序提供不同的帐户，如个人，免费，企业等。对于企业帐户，我们在同一个应用程序中处理一切。例如，假设一家名为“xyz”的企业使用该应用程序创建了一个企业帐户，那么我们将提供一个自定义URL，如“https://application/xyz/login ”,并从该URL中识别该企业。我不知道他们这样做的确切原因，因为我见过有企业帐户的应用程序被创建为子域(例如https://xyz.okta.com)。现在客户要求将Okta集成到这个应用程序中。所以我研究了Okta，发现SAML是正确的做法，并最终在KentorIT Authservices中完成。最初，我能够将它与一个示例MVC应用程序集成在一起，认证部分工作得很好。有了关于SSO的一些基本概念，我开始将kentor authsevices集成到我的应用程序中。我在实施中发现的挑战是:

1）对于企业帐户，Okta配置设置对于每个企业都是不同的，对于我当前的应用程序实现，不可能从web.config.中设置它，所以我尝试从代码中设置它，并且我能够通过替换来集成这些设置Configuration.Options.FromConfiguration；.我计划将所有与配置相关的东西（单点登录URL、受众URI、身份提供者发行者等）存储在数据库中，以便我可以随时获取信息，并且我假设“身份提供者发行者ID对于每个Okta帐户都是唯一的。在IdP发起的流程中，当用户尝试访问应用程序时，它将重定向到AuthServices\Acs操作方法，我正在尝试从中读取配置设置。从请求中是否有任何方法可以识别来自哪个Okta帐户调用（如身份提供者发行者）？目前，我将“身份提供者发行者”值（我认为这对于okta帐户来说应该是唯一的）设置为General SAML设置选项卡下的Default RelayState字段，并且我能够从AuthServices\Acs操作方法中检索它。这似乎是个好主意吗？

2） 企业帐户根据许可证的数量（例如50个）进行限制。假设企业Okta管理员有意添加了55个用户，所有这些用户都可以根据默认设置成功验证应用程序。我有没有办法处理这种情况。我是否需要保留特定企业帐户下的用户列表记录？

3） 从文档中，我了解到Kentor身份验证服务仅用于身份验证和授权部分，必须从应用程序本身完成。当前应用程序实现由一个自定义授权属性组成，该属性检查存储在数据库中的用户权限。应该是这样的，我们必须根据数据库权限进行授权。正当

期待您的宝贵建议，如果我错了，请纠正我。提前谢谢。