Принудительный пароль при входе с IAP и ограничении домена

Я настроил веб-приложение Django/python, работающее на модулях Kubernetes Engine Google Cloud Platform и защищенное с помощью ICP.

Все это прекрасно работает, но есть две вещи, которые я не знаю, как сделать.

1) Как я могу ограничить пользователей определенным доменом, как параметр URL hd = my_domain.com при входе в OAuth2? В результате на странице входа в список будут отображаться только электронные письма с этим доменом.

2) Как я могу обеспечить, чтобы пользователь входил в систему с паролем, а не просто нажимал на учетную запись? Это так же, как когда вы заходите на admin.google.com или security.google.com, и даже если вы вошли в систему, пароль принудительно вводится. Я знаю, как перейти к /gcp/ clear_login_cookie, чтобы принудительно установить новый сеанс входа в систему, когда я хочу выйти из него, но не знаю, как ввести пароль. Я считаю, что это называется "тест на присутствие пользователя".

Любая помощь очень ценится, я пролистал документацию и искал различные способы переполнения стека безрезультатно.