MS CRM 2011 のオンプレミス展開があり、一部のフォームはカスタム JavaScript を実行して特定のフィールドに事前入力します。データは、CRM と同じ物理サーバー上で実行される、私たちが開発した WCF RESTful Web サービスから取得されます。このサービスは、クロスドメイン スクリプティングの問題を回避するために、CRM Web サイトのアプリとして IIS でホストされます。Javascript は (jQuery を使用して) ajax 要求を作成し、JSON 形式の応答を取得して、フィールドに入力します。
これまでのところすべてうまくいっていますが、セキュリティと認証について考え始めています。具体的には、一部のデータは機密情報である可能性があるため、Web サービスが有効な CRM ユーザーにのみ応答するようにしたいと考えています。個別の認証は必要ありません。すべての CRM ユーザーがこの Web サービスに対して同じレベルのアクセス権を持つため、何らかのサービス アカウントが 1 つあれば機能します。
これまでのところ、カスタムWebサービスがCRMにクエリを実行して、要求を満たす前に(すでにドメイン認証された)ユーザーがCRMに存在するかどうかを確認して、Windows認証を行うことを検討しています。私はセキュリティの経験がほとんどないので、一般的なヒントでも大歓迎です。