Windows身份基礎與基於聲明的身份驗證和多個角色

Question

我們正在實施安全令牌服務（STS），該服務使用Windows身份基礎提供基於聲明的身份驗證和授權。

我的問題實際上是關於最佳實踐以及我們應該如何處理給定身份的多個角色。

在用戶成功登錄後爲用戶創建聲明時，我們需要能夠在返回到依賴方之前將用戶所屬的角色添加到聲明中。

Claim對象不接受字符串的集合，所以我想知道這應該如何完成。我能想到的方法有兩種：

1. 我可以添加類型的多個索賠ClaimTypes.Role有不同的價值觀和這些都可以在另一側讀取（我已經測試，這似乎沒有任何錯誤的工作）
2. 我也可以將這些角色放入一個聲明中並通過;或類似的東西。

我的問題是關於上述哪一項更好，還是我錯過了更好的東西？這兩種解決方案都不完美，因爲它需要解析另一端。

感謝， 約翰

Answer 1

如果您使用ADFS作爲STS，將其插入多個角色進入要求

例如

• ...索賠/角色編輯器
• ...索賠/角色審批

等

這樣做的好處是，可以WIF然後使用標準IsInRole構造等。