Аутентификация против авторизации - это то место, где нарисована линия.Интеграция Ingress с App ID делает аутентификацию для вас, и ваша служба REST (приложение) может быть уверена, что запрос, если он поступил, аутентифицирован.Теперь то, что пользователь существует в вашей системе и предоставил правильные учетные данные, не означает, что ему разрешен доступ к сервису, к которому он пытается получить доступ, или к просмотру данных, которые он пытается просмотреть, где происходит авторизация - RESTсервис может использовать токены авторизации, чтобы выяснить, имеет ли пользователь право доступа к сервису.
Вот хорошая статья, в которой говорится об использовании ролей - https://cloud.ibm.com/docs/services/appid?topic=appid-tutorial-roles