Как разрешить сотруднику входить в систему, только если роль была назначена администратором в yii2?

Я использую базовый yii2 и реализовал RBAC, используя разрешения, роли.

У меня есть таблица Employee, и я назначил модель Employee для пользовательского компонента приложения.

Теперь сценарий заключается в том, что когда администратор создает сотрудника, он должен назначить роль этому сотруднику с помощью auth_assignment CRUD.

До тех пор, пока роль не будет назначена, сотрудник не сможет войти в систему. Страница входа должна отображаться с сообщением об ошибке. (Аналогично сценарию, когда пользователь вводит неверное имя пользователя или пароль.)

Как это сделать?