Se interpreto correttamente il protocollo SAML 2.0, puoi avere più AuthnStatements. Qual è lo scopo di questo? Non riesco a vedere un caso d'uso di avere più AuthnStatements davvero.
Forse questa risposta facilmente su Google per quanto riguarda le asserzioni delle specifiche SAML è ciò che vuoi link
Leggi altre domande sui tag saml