Hallo!
SSO (Single Sign-On) ist ein komplexes Thema, aber ich werde versuchen, deine Fragen zu beantworten.
Die Berechtigungen/Benutzerrollen können sowohl beim Dienstanbieter als auch beim Identitätsanbieter festgelegt werden. Es gibt verschiedene Ansätze, wie dies umgesetzt werden kann. Beispielsweise kann der Identitätsanbieter die Benutzerrollen festlegen und diese Informationen an den Dienstanbieter übermitteln. Alternativ kann der Dienstanbieter seine eigenen Berechtigungen und Benutzerrollen haben und den Identitätsanbieter nur für die Authentifizierung verwenden.
Normalerweise müssen die Benutzerdaten (abgesehen vom Passwort) nicht in der Datenbank des Diensteanbieters vorhanden sein. Der Dienstanbieter kann die benötigten Informationen vom Identitätsanbieter abrufen, nachdem der Benutzer erfolgreich authentifiziert wurde. Die Daten können synchronisiert werden, indem der Dienstanbieter regelmäßig oder bei Bedarf die Benutzerinformationen vom Identitätsanbieter abfragt und aktualisiert.
LG