Косвенное членство в группе с помощью Keycloak и oauth2-proxy

я используюoauth2-proxy/oauth2-proxyс провайдером Keycloak-oidc для аутентификации для некоторых модулей в моем кластере Kubernetes.

Я могу указать, каким группам разрешен доступ к ресурсу, используя--allowed-groupаргумент, такой как ниже

      - --allowed-group="/vm-users/vm-editors/vm-admins"

Что ограничивает вход в систему только для членов группы.

Но когда я настраиваю его для входа в систему, мне больше не разрешают, так как у меня есть косвенное членство (это установлено во FreeIPA, федерации пользователей для keycloak, так что членыvm-adminsгруппа также является членомvm-editorsгруппа).

я пробовал/vm-users/vm-editors,/vm-users/vm-editors*,/vm-users/vm-editors/*; ничего из этого не работает.

Есть ли способ справиться с неявным/косвенным членством в группе в этом случае?