WSO2 IS：多租户模式中基于角色的身份验证/授权

我有一个应用程序，使用WSO2 IS的OAuth2 OIDC进行身份验证（多租户模式）。我想要基于角色的授权。基本上我配置如下：

在Super Tenant Carbon页面：

1. 创建服务提供商
2. 检查SaaS选项以在租户之间启用身份验证
3. 在本地和出站Auth Conf I中启用了授权选项
4. 创建一个自定义角色，说RoleA并将其分配给用户。
5. 配置策略管理并发布它（我按照本教程：https://docs.wso2.com/display/IS550/Configuring+Access+Control+Policy+for+a+Service+Provider）

在Tenant B Carbon Page

1. 创建角色并将其分配给用户

结果：

1. 具有超级租户角色的用户可以登录
2. 租户B中具有RoleA的用户无法登录（授权失败）

如何使这个工作？

注意：

1. 未启用授权，跨租户身份验证有效。
2. 我已经使用现有角色（内部/订阅者）进行了测试，该角色也不适用于租户。
3. 我使用WSO2 IS作为KM 5.5