O que estamos construindo a seguir.

Permite que aplicativos WordPress headless validem tokens de acesso OAuth recebidos contra o provedor configurado, para que os clientes possam chamar a API REST do WP com a mesma identidade que usam no site.

Baixe o log completo ou um subconjunto filtrado para revisões de conformidade, evidências em tickets e análise offline. Um clique a partir da página de Logs.

Correspondência por regex, padrões curinga e regras de pertencimento a arrays para valores de atributos OAuth. Útil para hierarquias de grupos complexas onde correspondência exata é rígida demais.

Defende contra ataques de força bruta distribuídos nos quais o tráfego de bots está espalhado por vários IPs. Limite configurável por usuário e por hora.

Configure vários provedores OAuth em uma única instalação e deixe os usuários escolherem no momento do login. O caso de uso real: organizações com identidades mistas onde a equipe usa Azure AD e os alunos usam Google Workspace. Um recurso da v2.0 porque a UI de configurações e o manipulador de callback precisam ser reestruturados em torno de uma lista de configurações.

Configuração por site e em toda a rede, com ativação de licença entre subsites. Voltado para redes onde cada subsite precisa do mesmo SSO.

SAML nativo ao lado de OAuth / OIDC, sem executar um plugin separado. Dobra o mercado empresarial endereçável. Mesmo modelo de configurações, novo módulo de protocolo.

Quando o provedor de identidade revoga uma sessão, o WP força o logout do usuário no próximo carregamento de página. Implementa a especificação OpenID Connect Back-Channel Logout. Importante para compradores preocupados com segurança.

Cria automaticamente um registro de cliente WooCommerce na primeira vez que um usuário faz login via OAuth, para que seu histórico de pedidos comece no lugar certo. Abre o caso de uso de SSO para WooCommerce.

Uma etapa TOTP necessária após o ciclo OAuth, para administradores que querem autenticação com dupla segurança mesmo quando o provedor é confiável.

Envia um payload por POST para uma URL configurada quando um usuário faz login, é criado ou falha na autenticação. Libera a sincronização externa com CRMs, analytics e sistemas de auditoria sem um plugin personalizado.

Filtros PHP ou uma linguagem de expressão simples para remapear as respostas userinfo do OAuth antes que o WP as veja. Para provedores que retornam formatos incomuns que a notação de ponto não consegue expressar.

Um pequeno widget no painel do WP mostrando tentativas de login, sucessos e falhas dos últimos 7 dias. Faz o plugin parecer ativo para administradores que, de outra forma, esqueceriam que ele existe.

Cria contas WP para um grupo OAuth inteiro antes que os usuários façam login pela primeira vez, para que os administradores possam atribuir capacidades e metadados antecipadamente.