Configurar um provedor de declaração personalizado para um evento de emissão de token

Este artigo descreve como configurar um provedor de declarações personalizadas para um evento de início de emissão de token. Usando uma API REST do Azure Functions existente, você registrará uma extensão de autenticação personalizada e adicionará atributos que você espera que ela analise da API REST. Para testar a extensão de autenticação personalizada, você registrará um aplicativo de amostra do OpenID Connect para obter um token e exibir as declarações.

Pré-requisitos

• Uma assinatura do Azure com a capacidade de criar Azure Functions. Se você não tiver uma conta existente do Azure, inscreva-se para uma avaliação gratuita ou use seus benefícios da Assinatura do Visual Studio ao criar uma conta.
• Um aplicativo de funções do Azure com uma função de gatilho HTTP configurada para um evento de início de emissão de token. Se você não tiver uma, siga as etapas para criar uma função de gatilho HTTP de evento de inicialização de token.
• Uma compreensão básica dos conceitos abordados em Visão geral das extensões de autenticação personalizadas.
• Um locatário do Microsoft Entra ID. Você pode usar um locatário do cliente ou de força de trabalho para este guia de instruções.
  • Para locatários externos, use um fluxo de usuário de inscrição e entrada.

Etapa 1: registrar uma extensão de autenticação personalizada

Agora você configurará uma extensão de autenticação personalizada, que será usada pelo Microsoft Entra ID para chamar sua função do Azure. A extensão de autenticação personalizada contém informações sobre o ponto de extremidade da API REST, as declarações que ela analisa da API REST e como autenticar na API REST. Siga estas etapas para registrar uma extensão de autenticação personalizada em seu aplicativo de funções do Azure.

Observação

Você pode ter no máximo 100 políticas de extensão personalizadas.

Portal do Azure

Registrar uma extensão de autenticação personalizada

1. Entre no portal do Microsoft Azure como, no mínimo, Administrador de Aplicativos e Administrador de Autenticação.
2. Pesquise e selecione o Microsoft Entra ID e selecione Aplicativos empresariais.
3. Selecione Extensões de autenticação personalizadas e, em seguida, Criar uma extensão personalizada.
4. Em Básico, selecione o tipo de evento TokenIssuanceStart e selecione Avançar.
5. Em Configuração do ponto de extremidade, preencha as seguintes propriedades:
   • Nome – um nome para sua extensão de autenticação personalizada. Por exemplo, Evento de emissão de token.
   • URL de destino – o {Function_Url} da URL da função do Azure. Navegue até a página de visão geral do aplicativo de funções do Azure e selecione a função que você criou. Na página de visão geral da função, selecione Obter URL da função e use o ícone de cópia para copiar a URL.
   • Descrição – uma descrição para suas extensões de autenticação personalizadas.
6. Selecione Avançar.
7. Em Autenticação de API, selecione a opção Criar registro de aplicativo para criar um registro de aplicativo que represente seu aplicativo de funções.
8. Dê um nome ao aplicativo, por exemplo, API de eventos de autenticação do Azure Functions.
9. Selecione Avançar.
10. Em Declarações, insira os atributos que você espera que sua extensão de autenticação personalizada analise da API REST e que serão mesclados no token. Adicione os códigos a seguir:
    • dateOfBirth
    • customRoles
    • apiVersion
    • correlationId
11. Selecione Avançar e, em seguida, Criar, que registra a extensão de autenticação personalizada e o registro do aplicativo associado.
12. Observe a ID do aplicativo em Autenticação da API, que é necessária para definir variáveis de ambiente em seu aplicativo de funções do Azure.

Microsoft Graph

Registrar um aplicativo

1. Entre no Explorador do Graph usando uma conta cujo locatário inicial é o locatário no qual você deseja gerenciar sua extensão de autenticação personalizada. Esta conta deve ter privilégios para criar e gerenciar um registro de aplicativo no locatário.

2. Execute a solicitação a seguir.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. A partir da resposta, registre o valor da id e da appId do registro de aplicativo recém-criado. Esses valores são referenciados neste artigo como {authenticationeventsAPI_ObjectId} e {authenticationeventsAPI_AppId}, respectivamente.

Crie uma entidade de serviço no locatário para o registro do aplicativo authenticationeventsAPI.

No Explorador do Graph, execute a seguinte solicitação. Substitua {authenticationeventsAPI_AppId} pelo valor de appId que você registrou na etapa anterior.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Defina o URI da ID do aplicativo, a versão do token de acesso e o acesso necessário ao recurso

Atualize o aplicativo recém-criado para definir o valor do URI da ID do aplicativo, a versão do token de acesso e o acesso ao recurso necessário.

No Graph Explorer, execute a solicitação a seguir.

• Defina o valor do URI da ID do aplicativo na propriedade identifierUris. Substitua {Function_Url_Hostname} pelo nome do host do {Function_Url} que você gravou anteriormente.
• Defina o valor de {authenticationeventsAPI_AppId} com a appId que você registrou anteriormente.
• Um valor de exemplo é api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Anote esse valor, porque você irá usá-lo posteriormente neste artigo, no lugar de {functionApp_IdentifierUri}.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Registrar uma extensão de autenticação personalizada

Para registrar a extensão de autenticação personalizada, associe-a ao registro do aplicativo para a função do Azure e ao ponto de extremidade da função do Azure {Function_Url}.

1. No Graph Explorer, execute a solicitação a seguir. Substitua {Function_Url} pelo nome do host do aplicativo de funções do Azure. Substitua {functionApp_IdentifierUri} pelo identifierUri usado na etapa anterior.

   • Você precisa da permissão delegada CustomAuthenticationExtension.ReadWrite.All .

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. Registre o valor id do objeto de provedor de declarações personalizadas criado. Você usará o valor posteriormente neste tutorial no lugar de {customExtensionObjectId}.

1.2 Conceder consentimento do administrador

Depois que a extensão de autenticação personalizada for criada, você precisará conceder permissões à API. A extensão de autenticação personalizada usa client_credentials para autenticar no Aplicativo de Funções do Azure usando a permissão Receive custom authentication extension HTTP requests.

1. Abra a página Visão Geral da sua nova extensão de autenticação personalizada. Anote a ID do Aplicativo em Autenticação da API, pois ele será necessário ao adicionar um provedor de identidade.

2. Em Autenticação da API, selecione Conceder permissão.

3. Uma nova janela será aberta e, uma vez conectada, ela solicitará permissões para receber solicitações HTTP de extensão de autenticação personalizada. Isso permite que a extensão de autenticação personalizada se autentique na sua API. Selecione Aceitar.

   

Etapa 2: Configurar um aplicativo do OpenID Connect para receber tokens enriquecidos

Para obter um token e testar a extensão de autenticação personalizada, você pode usar o aplicativo https://jwt.ms. É um aplicativo da Web de propriedade da Microsoft que exibe o conteúdo decodificado de um token (o conteúdo do token nunca sai do seu navegador).

2.1 Registrar um aplicativo Web de teste

Siga estas etapas para registrar o aplicativo Web jwt.ms :

1. Na página inicial no portal do Azure, selecione Microsoft Entra ID.

2. Selecione Registros de aplicativo>Novo registro.

3. Insira um Nome para o aplicativo. Por exemplo, Meu aplicativo de teste.

4. Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.

5. Na lista suspensa Selecionar uma plataforma no URI de redirecionamento, selecione Web e, em seguida, insira https://jwt.ms na caixa de texto URL.

6. Selecione Registrar para concluir o registro do aplicativo.

   

7. Na página Visão geral do registro do seu aplicativo, copie o ID do aplicativo (cliente). A ID do aplicativo é referenciada como o {App_to_enrich_ID} nas etapas posteriores. No Microsoft Graph, ela é referenciada pela propriedade appId.

   

2.2 Habilitar fluxo implícito

O aplicativo de teste jwt.ms usa o fluxo implícito. Habilite o fluxo implícito no registro do Meu aplicativo de teste:

1. Em Gerenciar, selecione Autenticação.
2. Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
3. Selecione Salvar.

2.3 Habilitar o seu aplicativo para uma política de mapeamento de declarações

Uma política de mapeamento de declarações é usada para selecionar quais atributos retornados da extensão de autenticação personalizada são mapeados para o token. Para permitir que os tokens sejam aprimorados, você deve habilitar explicitamente o registro do aplicativo para aceitar declarações mapeadas:

1. No registro do Meu aplicativo de teste, em Gerenciar, selecione Manifesto.
2. No manifesto, localize o atributo acceptMappedClaims e defina o valor como true.
3. Defina o accessTokenAcceptedVersion para 2.
4. Selecione Salvar para salvar as alterações.

O snippet JSON a seguir demonstra como configurar essas propriedades.

{
	"id": "22222222-0000-0000-0000-000000000000",
	"acceptMappedClaims": true,
	"accessTokenAcceptedVersion": 2,  
    ...
}

Aviso

Não defina a propriedade acceptMappedClaims como true para aplicativos multilocatário, pois isso poderá permitir que atores mal-intencionados criem políticas de mapeamento de declarações para seu aplicativo. Em vez disso, configure uma chave de assinatura personalizada.

Locatário da força de trabalho

Continue na próxima etapa, Atribuir um provedor de declarações personalizado ao seu aplicativo.

Locatário externo

3.4 Associe seu aplicativo a um fluxo de usuário

Para locatários externos, você precisa associar seu aplicativo a um fluxo de usuário. Um fluxo de usuário define os métodos de autenticação que um cliente pode usar para entrar em seu aplicativo e as informações que ele precisa fornecer durante a inscrição. Certifique-se de concluir as etapas em Adicionar um aplicativo a um fluxo de usuário antes de continuar a adicionar Meu aplicativo de Teste ao fluxo de usuário.

Etapa 3: Atribuir um provedor de declarações personalizado ao seu aplicativo

Para que os tokens sejam emitidos com declarações recebidas da extensão de autenticação personalizada, você deve atribuir um provedor de declarações personalizadas ao seu aplicativo. Isso é feito com base no público-alvo do token, de modo que o provedor deve ser atribuído ao aplicativo cliente para receber declarações em um token de ID e ao aplicativo de recursos para receber declarações em um token de acesso. O provedor de declarações personalizadas depende da extensão de autenticação personalizada configurada com o ouvinte de evento Início de emissão de token. Você pode escolher se todas, ou um subconjunto das declarações do provedor de declarações personalizadas, serão mapeadas para o token.

Observação

Você só pode criar 250 atribuições exclusivas entre aplicativos e extensões personalizadas. Se você quiser aplicar a mesma chamada de extensão personalizada a vários aplicativos, recomendamos usar authenticationEventListeners API do Microsoft Graph para criar ouvintes para vários aplicativos. Sem suporte no portal do Azure.

Siga estas etapas para conectar o Meu aplicativo de teste à sua extensão de autenticação personalizada:

Portal do Azure

Para atribuir a extensão de autenticação personalizada como uma fonte de provedores de declarações personalizadas;

1. Na página inicial no portal do Azure, selecione Microsoft Entra ID.

2. Selecione aplicativos empresariais e, em seguida, em Gerenciar, selecione Todos os aplicativos. Localize e selecione Meu aplicativo de teste na lista.

3. Na página Visão geral do Meu aplicativo de Teste, navegue até Gerenciar e selecione Logon único.

4. Em Atributos e Declarações, selecione Editar.

   

5. Expanda o menu Configurações avançadas.

6. Ao lado de Provedor de declarações personalizado, selecione Configurar.

7. Expanda a caixa suspensa Provedor de declarações personalizadas e selecione o evento de emissão de token criado anteriormente.

8. Selecione Salvar.

Em seguida, aloque os atributos do provedor de declarações personalizadas, que devem ser emitidos no token como declarações:

1. Selecione Adicionar nova declaração para adicionar uma nova declaração. Forneça um nome para a declaração que você deseja que seja emitida, por exemplo, dateOfBirth.

2. Em Origem, selecione Atributo e escolha customClaimsProvider.dateOfBirth na caixa suspensa Atributo de Origem.

   

3. Selecione Salvar.

4. Repita esse processo para adicionar os atributos customClaimsProvider.customRoles, customClaimsProvider.apiVersion e customClaimsProvider.correlationId e o nome correspondente. É uma boa ideia fazer a correspondência entre o nome da declaração e o nome do atributo.

Microsoft Graph

Primeiro, crie um ouvinte de evento para acionar uma extensão de autenticação personalizada para o Meu Aplicativo de Teste usando o evento de início de emissão de token.

1. Entre no Graph Explorer usando uma conta cujo locatário principal é o locatário no qual você quer gerenciar sua extensão de autenticação personalizada.

2. Execute a solicitação a seguir. Substitua {App_to_enrich_ID} pela ID do aplicativo Meu aplicativo de teste registrada anteriormente. Substitua {customExtensionObjectId} pela ID de extensão de autenticação personalizada registrada anteriormente.

   • Você precisa da permissão delegada EventListener.ReadWrite.All .

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

Em seguida, crie a política de mapeamento de declarações, que descreve quais declarações podem ser emitidas para um aplicativo por um provedor de declarações personalizadas.

1. Ainda no Graph Explorer, execute a solicitação a seguir. Você vai precisar da permissão delegada Policy.ReadWrite.ApplicationConfiguration.

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Registre o ID gerado na resposta e, posteriormente, ele será referenciado como {claims_mapping_policy_ID}.

Obtenha a ID de objeto da entidade de serviço:

1. Execute solicitação a seguir no Graph Explorer. Substitua {App_to_enrich_ID} pela appId do Meu Aplicativo de Teste.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Registre o valor da id.

Atribua a política de mapeamento de declarações à entidade de serviço do Meu Aplicativo de Teste.

1. Execute solicitação a seguir no Graph Explorer. Você vai precisar das permissões delegadas Policy.ReadWrite.ApplicationConfiguration e Application.ReadWrite.All.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

Etapa 4: proteger sua função do Azure

A extensão de autenticação personalizada do Microsoft Entra utiliza o fluxo de servidor para o servidor para obter um token de acesso que é enviado no cabeçalho HTTP Authorization para sua função do Azure. Ao publicar sua função no Azure, especialmente em um ambiente de produção, você precisa validar o token enviado no cabeçalho de autorização.

Para proteger sua função do Azure, siga estas etapas para integrar a autenticação do Microsoft Entra, para validar tokens de entrada com o registro de aplicativos API de eventos de autenticação do Azure Functions. Escolha uma das guias a seguir com base no seu tipo de locatário.

Observação

Se o aplicativo de funções do Azure estiver hospedado em um locatário do Azure diferente do locatário no qual sua extensão de autenticação personalizada está registrada, escolha a guia Open ID Connect.

4.1 Usar o provedor de identidade do Microsoft Entra

Use as etapas a seguir para adicionar o Microsoft Entra como um provedor de identidade ao seu aplicativo Azure Function.

Locatário da força de trabalho

1. No portal do Azure, localize e selecione o aplicativo de funções publicado anteriormente.

2. Em Configurações, selecione Autenticação.

3. Selecione Adicionar provedor de identidade.

4. Selecione Microsoft como provedor de identidade.

5. Selecione Força de trabalho como o tipo de locatário.

6. Em Registro de aplicativo, selecione Escolher um registro de aplicativo existente neste diretório para o Tipo de registro de aplicativo e escolha o registro de aplicativo API de eventos de autenticação do Azure Functions que você criou anteriormente ao registrar o provedor de declarações personalizado.

7. Insira a seguinte URL do emissor, https://login.microsoftonline.com/{tenantId}/v2.0, em que {tenantId} é a ID do locatário da sua força de trabalho.

8. Em Solicitações não autenticadas, selecione HTTP 401 Não autorizado como provedor de identidade.

9. Desmarque a opção Repositório de tokens.

10. Selecione Adicionar para adicionar autenticação à função do Azure.

    

Locatário externo

1. No portal do Azure, localize e selecione o aplicativo de funções publicado anteriormente.

2. Em Configurações, selecione Autenticação.

3. Selecione Adicionar provedor de identidade.

4. Selecione Microsoft como provedor de identidade.

5. Selecione Cliente como tipo de locatário.

6. Em Registro de aplicativo, insira o client_id do registro de aplicativo API de eventos de autenticação do Azure Functionsque você criou anteriormente ao registrar o provedor de declarações personalizadas.

7. Para o URL do emissor, insira o seguinte URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0, onde

   • {domainName} é o nome de domínio do locatário externo, no formato {domainName}.contoso.com.
   • {tenantId} é a ID de locatário do locatário externo.

8. Em Solicitações não autenticadas, selecione HTTP 401 Não autorizado como provedor de identidade.

9. Desmarque a opção Repositório de tokens.

10. Selecione Adicionar para adicionar autenticação à função do Azure.

    

4.2 Usando o provedor de identidade do OpenID Connect

Se você tiver configurado o provedor de identidade da Microsoft, ignore esta etapa. Caso contrário, se a função do Azure estiver hospedada em um locatário diferente do locatário no qual sua extensão de autenticação personalizada está registrada, siga estas etapas para proteger sua função:

Criar um segredo do cliente

1. Na página inicial do portal do Azure, selecione Microsoft Entra ID>Registros de aplicativo.
2. Selecione o registro de aplicativo API de eventos de autenticação Azure Functionsque você criou anteriormente.
3. Selecione Certificados e segredos>Segredos do cliente>Novo segredo do cliente.
4. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado, adicione uma descrição e selecione Adicionar.
5. Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair dessa página.

Adicione o provedor de identidade do OpenID Connect ao seu aplicativo de funções do Azure.

1. Localize e selecione o aplicativo de funções que você publicou anteriormente.

2. Em Configurações, selecione Autenticação.

3. Selecione Adicionar provedor de identidade.

4. Selecione OpenID Connect como provedor de identidade.

5. Forneça um nome, como Microsoft Entra ID da Contoso.

6. Na Entrada de metadados, insira a URL a seguir para a URL do Documento. Substitua o {tenantId} por seu locatário do Microsoft Entra ID.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. Em Registro de aplicativo, insira a ID do aplicativo (ID do cliente) do registro do aplicativo da API de eventos de autenticação do Azure Functions que você criou anteriormente.

8. Retorne à Função do Azure e, em Registro do aplicativo, insira Segredo do cliente.

9. Desmarque a opção Repositório de tokens.

10. Selecione Adicionar para adicionar o provedor de identidade do OpenID Connect.

Etapa 5: Testar o aplicativo

Para testar seu provedor de declarações personalizado, siga estas etapas:

Locatário da força de trabalho

1. Abra um novo navegador privado e entre pela URL a seguir.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Substitua {tenantId} pela ID do locatário, pelo nome do locatário ou por um dos nomes de domínio verificados. Por exemplo, contoso.onmicrosoft.com.

3. Substitua {App_to_enrich_ID} pela ID do cliente Meu aplicativo de teste.

4. Depois de fazer logon, você receberá o token decodificado em https://jwt.ms. Valide se as declarações da função do Azure são apresentadas no token decodificado, por exemplo, dateOfBirth.

Locatário externo

1. Abra um novo navegador privado e entre pela URL a seguir.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Substitua {domainName} pelo nome de seu domínio, por exemplo, contoso.

3. Substitua {tenantId} pela ID do locatário, pelo nome do locatário ou por um dos nomes de domínio verificados. Por exemplo, contoso.onmicrosoft.com.

4. Substitua {App_to_enrich_ID} pela ID do cliente Meu aplicativo de teste.

5. Percorra o fluxo de usuário de entrada que você configurou e aceite as permissões solicitadas.

6. Depois de fazer logon, você receberá o token decodificado em https://jwt.ms. Valide se as declarações da função do Azure são apresentadas no token decodificado, por exemplo, dateOfBirth.

Confira também

• Configure um aplicativo SAML para receber tokens com declarações de um armazenamento externo
• Referência do fornecedor de declarações personalizadas
• Solucionar problemas da API de extensões de autenticação personalizada