長い質問で申し訳ありませんが、私のすべてのポイントを理解しようとしています!
私は、既存の ID およびアクセス管理スキームを、特に ISO27001 の観点から、多くのビジネスおよびコンプライアンス要件を解決する、より最新のプラットフォームに更新する方法を調査するためにかなりの時間を費やしてきました。
達成すべき主な目標が 2 つあります。1) ユーザーが実行できるビジネス オペレーション/タスクについてレポートできるようにする。2) リアルタイムで、または履歴レポートを通じて、ユーザーが何をしているか、何をしてきたかを監視できますか?
現在、カスタムの認証と承認 (両方に SQL バックエンドを使用) と、認証および承認のための AD グループ メンバーシップ/ロール要求用の AD ドメイン サービスを組み合わせて使用しています。
すべてのソフトウェアで認証に AD ドメイン サービスを使用することを提案しますが、STS サーバーとして ADFS 2.0 を使用するクレーム ベースの観点からです。その後、アプリケーション内でクレームの活用を開始できます。ロール デマンドを使用している場合は、引き続き機能します。
上記のすべてに非常に満足していますが、より詳細な資格管理/承認スキームを使用したいため、決定と実施のポイントに ClaimsAuthorizationManager を使用したいと考えています。
問題は、WIF が具体的なバージョンを実装していないことです。開発者はガイダンスなしで完全に独自の選択に任されています。ビジネスに適したものに近づいている例は1つもありません。
したがって、AzMan や NetSqlAzMan と同様の方法で機能するエンタープライズ クラスの承認スキームを設計する方法についてアドバイスを求めています。各アプリケーションで使用できる汎用の単純な ClaimsAuthorizationManager クラスをお勧めします。このクラスは共有 WCF サービスを呼び出します。共有 WCF サービスは、SQL バックエンドを使用して、ビジネス オペレーション/タスクと、ユーザーがこれらに対して持つ資格を格納します。ユーザー オブジェクトは AD から同期されるため、AD は認証、クレームを提供し、カスタム システムは承認ルールを提供します。この集中化された単一のサービスは、私の最初の目標に役立ちます。
このシステムは、最初の目標の 2 番目に役立つ各要求をログに記録します。
アドバイス、例、またはヘルプをいただければ幸いです。