есть собственное веб-приложение, которое выполняет контроль доступа на основе имени пользователя и связанных ролей, определенных локально и поддерживаемых в локальной базе данных.

Мне нужно интегрировать наше приложение с Azure AD, чтобы использовать единый вход (SSO)так что с тем же именем пользователямы можем интегрировать и получать доступ к другим SaaS-приложениям. Я думаю, что могу достичь этого с помощью «API-интерфейсов Azure ADAL» и «API-интерфейсов Graph».

Однако я хотел бы понять, как определить пользовательские атрибуты и роли для «Azure AD», чтобы они могли делиться атрибутами и ролями с нашим приложением после проверки подлинности. Это требуется для нашего веб-приложения для обеспечения контроля доступа (на основе идентификатора пользователя и роли) без локального определения ролей. Я не уверен, как этого добиться?

Пожалуйста, дайте мне знать, если это возможно и каков наилучший вариант для достижения того же.