Заставить openam/opensso возвращать имя роли вместо универсального идентификатора роли.

Это не ответ, просто одно замечание.

Я провел некоторые исследования в источниках openam, и, кажется, подтверждается, что имя роли, хранящееся в репозитории, заменяется на universalId, когда openam создает запрос. Это выполняется в классе com.sun.identity.idm.server.IdRepoJAXRPCObjectImpl.java:

public Set getMemberships_idrepo(String token, String type, String name,
                                 String membershipType, String amOrgName,
                                 String amsdkDN
) throws RemoteException, IdRepoException, SSOException {
  SSOToken ssoToken = getSSOToken(token);
  Set results = new HashSet();
  IdType idtype = IdUtils.getType(type);
  IdType mtype = IdUtils.getType(membershipType);
  Set idSet = idServices.getMemberships(ssoToken, idtype, name, mtype, amOrgName, amsdkDN);
  if (idSet != null) {
    Iterator it = idSet.iterator();
    while (it.hasNext()) {
      AMIdentity id = (AMIdentity) it.next();
      results.add(IdUtils.getUniversalId(id));
    }
  }
  return results;
}

Насколько мне известно, в настоящее время это невозможно с готовым кодом. В случае, если у вас ограниченное количество групп, можно было бы использовать сопоставление привилегированных атрибутов, но если нет, то проблема усложняется.

Вы можете попытаться изменить реализацию AmRealm (метод authenticateInternal), чтобы она соответствовала вашим требованиям, и подключить новый класс к специфичному для контейнера классу ServiceResolver (например, http://sources.forgerock.org/browse/openam/trunk/opensso/products/j2eeagents/tomcat/v6/source/com/sun/identity/agents/tomcat/v6/AmTomcatAgentServiceResolver.java?r=700&r=700&r=700 )

Вы также можете создать задачу JIRA о предоставлении свойства конфигурации для помещения информации о членстве в роли в формате, отличном от UUID.