Как ограничить Google Federated Login определенным доменом приложений?

Я хочу реализовать систему единого входа в клиентском приложении. Клиент разместил электронную почту через Google Apps. Поскольку Google предлагает OpenID, это может быть относительно легко реализовать. Однако пользователь может войти в неправильную учетную запись Google (или даже в несколько учетных записей).

Таким образом, при использовании конечной точки Google OpenID https://www.google.com/accounts/o8/id пользователю предоставляется выбор, с какой учетной записью Google он / она хочет подписать - в.Поскольку приложение разрешает вход только из домена Google Apps, этот шаг можно пропустить, и он должен быть удобен для пользователей. Однако я не мог найти способов сделать это. Есть этот вопрос по SO, но все ссылки мертвы или относятся к устаревшим спецификациям. Также мне не удалось найти подсказку в спецификациях Федеративного входа для пользователей учетных записей Google .

В некоторых местах говорят, что следует использовать https://www.google.com/a/ [domain] / o8 / ud? Be = o8 , но это, похоже, не работает (больше):

$ wget --header='Accept: application/xrds+xml' https://www.google.com/a/[domain]/o8/ud?be=o8
2012-01-24 09:29:53 ERROR 400: Bad Request.