Google Admin SDK: ограниченное олицетворение для учетных записей служб

Я создаю простое Java-приложение, в котором мне нужно получить список групп, на которые подписан пользователь в моем домене G Suite. Я рассмотрел кучу ответов на Stackru, но все еще немного запутался в использовании.

Существует https://developers.google.com/admin-sdk/directory/v1/guides/manage-groups, но я не могу заставить его работать без учетной записи службы и выдавать себя за администратора /

Существует https://developers.google.com/admin-sdk/directory/v1/guides/manage-users, но он не дает мне группы.

У меня все работает с учетной записью службы, но, похоже, что когда я это сделаю, я могу выдать себя за любого администратора под своей учетной записью. Это кажется мне немного страшным. Хотя я могу ограничить возможности учетной записи службы просто читать список пользователей и групп, я хотел бы пойти дальше и ограничить возможности олицетворения только тем пользователем, у которого есть пользовательская роль, которую я создал с правами только для чтения.

Это правильный путь (учетная запись службы с олицетворением администратора) или есть более простой способ сделать это?