В контексте требуется использовать Google IAP для безопасного доступа для группы компаний и отдельных клиентов. В облаке Google работает одна центральная служба, которая поддерживает несколько клиентов и, следовательно, несколько непересекающихся зон безопасности. Не выгодно выделять услуги для каждой зоны безопасности.
За //cloud.google.com/iap/docs/signed-headers-howto доступной информацией о пользователях является их электронная почта и долгосрочный идентификатор пользователя Google. Однако для данной зоны безопасности бизнеса может быть несколько авторизованных пользователей (сотрудников).
Существует ли простой, безопасный способ сопоставления индивидуальной идентичности с некоторой групповой идентичностью. В идеале, при первоначальном предоставлении доступа к учетной записи, присваивается идентификатор защищенной группы - название компании, и она передается как часть защищенных заголовков.
Учитывая, что эта модель развертывания мультитенантных приложений очень распространена, я ожидаю, что Google предоставит ее, но я не могу найти ссылку в их документации. Любая помощь будет оценена.
Ричард