Безопасно ли использовать один keycloack для системных пользователей и для внешних пользователей?

Question

[.git/config]

1. Системные пользователи: администраторы/разработчики, например, с доступом в vault, с авторизацией в gitlab.
2. Внешние пользователи: обычные пользователи некоего сервиса, которые ничего про keycloack не знают.

Я в keycloack новичок, и технически понимаю, что это реализуемо, но:
1. Стоит ли разделять на разные базы/инстансы keycloack таких пользователей?
2. Ограничивать дополнительно авторизацию для системных пользователей? Как сделать с отдельным инстансом keycloack - закрыть внутрь vpn.

Так же есть идея и все vpn коннекты завести через pam модуль на авторизацию через keycloack. Насколько это бредовая идея в случае одного инстанса на все типы пользователей?