Si interpreto correctamente el protocolo SAML 2.0, puedes tener múltiples AuthnStatements. ¿Cuál es el propósito de esto? No puedo ver un caso de uso de tener múltiples AuthnStatements realmente.
Tal vez esta respuesta fácil en Google con respecto a las afirmaciones de la especificación SAML es lo que quieres enlace
Lea otras preguntas en las etiquetas saml