Temos nosso próprio aplicativo da web que executa controle de acesso com base no nome de usuário e funções associadas definidas localmente e mantidas no banco de dados local

Preciso integrar nosso aplicativo ao "Azure AD" para aproveitar o logon único (SSO)para que com o mesmo nome de usuário, também podemos integrar e acessar outros aplicativos SaaS. Eu acho que posso conseguir isso com "APIs do Azure ADAL" e "Graph APIs".

No entanto, eu gostaria de entender como definir atributos e funções de usuário personalizados para o "Azure AD" para compartilhar os atributos e funções com nosso aplicativo na autenticação. Isso é necessário para que nosso aplicativo da Web forneça Controle de Acesso (com base na identificação do usuário e na função) sem definir funções localmente. Não tenho certeza de como conseguir isso?

Informe-me se é possível e qual é a melhor opção para obter o mesmo.