OAuth2 или OIDC не могут реализовать RBAC самостоятельно.Это протокол авторизации или аутентификации соответственно.OIDC может нести информацию о группе / роли в качестве утверждений в токене, что потребует от вашего приложения возможности анализировать утверждения и затем применять разрешения на основе информации, содержащейся в утверждении.
RBAC обычно требуется инструмент IAM или IGA для реализации каталога / модели ролей.Назначение роли пользователю дает право.Это право может быть реализовано непосредственно в целевом приложении (через API или, например, через группы Microsoft AD), или IdP может передать разрешение в маркере OIDC целевому приложению.
Для Onelogin, особенно там, где у вас есть интеграция с AD, вы можете управлять своими правами через атрибут memberOf, содержащийся в маркере OIDC.Однако это не RBAC, если только членство в группах AD не было назначено с помощью инструмента IAM / IGA, который назначает членство в этих группах через роли.