これについては、 http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.htmlを参照できると思います。
これについての私の理解は次のとおりです。IDフェデレーションのユースケースを使用して、これらの概念の詳細を示します。
IdPは永続識別子を提供します。これらはSPのローカルアカウントへのリンクに使用されますが、特定のサービスのユーザープロファイルとしてそれぞれ単独で識別されます。たとえば、永続識別子は次のようなものです:johnForAir、jonhForCar、johnForHotel、サービス内のローカルIDにリンクする必要があるため、これらはすべて1つの指定されたサービスに対してのみ使用されます。
一時識別子は、セッション内のユーザーがSP上のリソースへのアクセスを許可されていることをIdPがSPに通知するものですが、ユーザーのIDは実際にはSPに提供されません。たとえば、「匿名性(IdpはSPに彼が誰であるかを通知しません)」のようなアサーションには、SP上の/resourceにアクセスする権限があります。SPはそれを取得し、ブラウザにアクセスさせましたが、それでも匿名性の本名はわかりません。
仕様での説明は「要素の内容の解釈は個々の実装に任されている」です。つまり、IdPは実際の形式を定義し、SPがIdPから応答する形式データを解析する方法を知っていることを前提としています。たとえば、IdPはフォーマットデータ "UserName = XXXXX Country = US"を提供し、SPはアサーションを取得し、それを解析してUserNameis"XXXXX"を抽出できます。