por - Autorizar la aplicación web cross-site para acceder a mi API RESTful

seguridad api rest (1)

Aquí está el escenario:

Tengo una aplicación web con algunas API RESTful, los usuarios están usando un IdP para hacer SSO. Registre mi aplicación web (y muchas otras aplicaciones web de terceros) en el IdP y cuando los usuarios quieran usar mi aplicación web, redirigiré a los usuarios a la página de inicio de sesión del IdP y haré las cosas normales de SAML 2 para autenticar el usuario. Esta parte ya se ha hecho. Ahora una vez que haya iniciado sesión, los usuarios pueden usar libremente cualquier aplicación web registrada en el IdP. El siguiente paso es autorizar algunas de estas aplicaciones web (no todas) para poder usar mis API RESTful.

A diferencia del flujo de concesión de OAuth 2 normal, no son los usuarios que permiten que sus aplicaciones web de terceros utilicen mis API, sino que quiero controlar qué aplicaciones web de terceros pueden usar mis API. Algo así como el usuario me pedirá que conceda una cierta aplicación web suya para usar cuál de mis API. O cualquier otra buena sugerencia, soy todo oídos.