Тонкая защита с помощью Google Cloud Identity Aware Proxy

В контексте используется Google IAP для обеспечения безопасного доступа для ряда коммерческих и индивидуальных клиентов. В облаке Google работает единый центральный сервис, который поддерживает несколько клиентов и, следовательно, несколько непересекающихся зон безопасности. Не выгодно выделять услуги для каждой зоны безопасности.

В соответствии с //cloud.google.com/iap/docs/signed-headers-howto доступной пользовательской информацией является их электронная почта и долгосрочный идентификатор пользователя Google. Однако может быть несколько авторизованных пользователей (сотрудников) для данной зоны безопасности бизнеса. Существует ли простой, безопасный способ сопоставления индивидуальной идентичности с некоторой групповой идентичностью. В идеале, при первоначальном предоставлении доступа к учетной записи, присваивается идентификатор защищенной группы - название компании, и она передается как часть защищенных заголовков.

Учитывая, что эта модель развертывания мультитенантных приложений очень распространена, я ожидаю, что Google предоставит ее, но я не могу найти ссылку в их документации. Любая помощь будет оценена. Ричард