Sim, você pode fazer o primeiro.
Você pode definir um novo atributo (s) ou usar atributos não utilizados existentes no objeto de usuário. Estender o esquema é preferencial se você não tiver um atributo criado para fins específicos para armazenar os dados que você pretende armazenar. Consulte o link
Por favor, note apenas usar atributos existentes, se eles são definidos especificamente para esse fim. Se você reutilizar um atributo que não está sendo usado no momento, mas depois for considerado necessário para outro software, poderá encontrar dificuldades.
Em seguida, preencha os atributos conforme pretendido.
Em seguida, você pode usar regras de declaração personalizadas ou até mesmo no modelo de regras incorporado para extrair atributos LDAP e enviar declarações. Se o atributo não for preenchido, essa consulta LDAP não retornará dados. Assim, a reivindicação específica não será adicionada / lançada no pipeline e não será enviada.
Comece com link para ler as regras de reivindicações. Você pode ler o conteúdo de acompanhamento como vinculado na parte inferior para mais detalhes de sintaxe.