[r=roadmr,ricardokirkner] Show friendlier SAML errors, instead of just oopsing on the user.

- If a proper SAML assertion comes but can't be handled by any of our remotes, show the SAML ACS URL (truncating any path components) in a nice page. The user can't do much about this anyway, but at least we'll tell them it's not their fault and give them a chance to file a bug.
- Accessing the /+saml endpoint without a SAML request will either tell the user they're using this endpoint improperly (if they hit it directly), or tell them the page that sent them here is misconfigured and to talk to the owners of that page (if we get a HTTP_REFERER, which we'll also show to give them info about who to complain to). We can't show an ACS URL here because there's no SAML assertion :(
- Log an exception in all cases so if users still need help, we can look the problem up in the logs.