Управление ролями для нескольких SP (поставщиков услуг) в приложении на основе единого входа

Требуется информация о том, как использовать роли в приложении на основе единого входа при поддержке нескольких SP (клиентов sso)

Я работаю над архитектурой на основе SSO с использованием протокола CAS. Как управлять ролями в разных SP (поставщиках услуг) для одного и того же пользователя. У меня есть 2 поставщика услуг, например приложения Sp1 и Sp2. У меня есть Пользователь -> Пользователь1, который должен иметь простую роль "пользователя" в Sp1, но имеет роль "администратора" в Sp2. Как я могу управлять своим IdP - Shibboleth или любым другим, чтобы освободить соответствующую роль для пользователя?