Управление различными разрешениями для каждого выбранного клиента

Я собираюсь реализовать новую систему входа в систему для нашего нового приложения AngularJS на работе, используя IdentityServer3 и Thinktecture.IdentityModel.Owin.ResourceAuthorization.WebApi.

Некоторые пользователи будут иметь доступ к более чем одному клиенту.

Я пытаюсь найти лучший способ предоставления пользователям разных разрешений в рамках одного и того же приложения, в зависимости от выбора во внешнем интерфейсе (выбранный клиент).

В настоящее время я рассматриваю возможность внедрения собственной службы разрешений с использованием webAPI. Интерфейс запрашивает все разрешения с использованием токена текущего пользователя и кэширует все разрешения, сопоставленные клиенту во внешнем интерфейсе.

Можно ли это сделать с помощью OpenID Connect? Я думаю, что реализация моей собственной службы разрешений, вероятно, излишня, или, возможно, я упустил какой-то умный способ использования потока ресурсов или что-то в этом роде.