Soluciones Spring Security / Java EE para roles de árbol de jerarquía

Sé que Spring Security es bueno para la autorización estándar basada en roles y permisos. Lo que no estoy seguro es este escenario:

Hay 10,000 empleados administrados en el sistema, empleados organizados en un organigrama (un árbol de quién informa a quién en todos los departamentos). Algunos de estos empleados son usuarios. A estos usuarios solo se les permite acceder a los empleados en su línea de responsabilidad (su sucursal en el árbol / un descendiente de su empleado).

Así que me pregunto cómo gestionan estos controles los sistemas modernos de Java EE (u otros). ¿Puede Spring Security (ACL) hacer esto y cómo se puede modelar?

Nuestra implementación anterior (hace muchos años) es que cuando un usuario accede a un empleado, podemos verificar si el empleado solicitado es descendiente al recurrir el árbol. Pero esta no es la solución ideal y queremos usar una nueva solución.

Respuestas a la pregunta(2)

Su respuesta a la pregunta