Estoy esencialmente haciendo esest. Sin embargo, cada vez que uso el AuthorizeAttribute incorporado, el marco MVC (supongo) nunca mira a mi director para determinar si el usuario tiene los roles adecuados. Sigue intentando crear un nuevo archivo MDF en el directorio app_data, y debido a que no tiene privilegios, explota.

¿Es este comportamiento esperado, y debo obtener mi propio AuthorizeAttribute y verificar el director yo mismo?

Otro comportamiento extraño para señalar es que tengo dos sitios en el mismo dominio para los que estoy haciendo un inicio de sesión único. En cualquiera de los sitios, estoy usando la misma biblioteca de clases para recrear mi principal personalizado en AuthenticateRequest, y cuando depuro veo que el principal se configura correctamente en cada sitio. Sin embargo, el sitio 1 (el que se autentica para el usuario) usa el AuthorizeAttribute incorporado, y funciona perfectamente, pero el sitio 2 intenta crear un archivo MDF cuando se llama a cualquier acción que tenga el AuthorizeAttribute.