ASP.NET MVC4 Seguridad, Autenticación y Autorización

Estoy trabajando en un nuevo proyecto mvc4 de asp.net con Visual Studio 2011 beta y estoy tratando de entender todo sobre la seguridad. Es una aplicación interna de Intranet que inicialmente utilizará el inicio de sesión único, por lo que al usuario todavía no se le solicitará una ID / contraseña de Windows. La compañía tiene una aplicación personalizada para almacenar roles para diferentes aplicaciones y estará disponible a través de una llamada de procedimiento almacenado. Tomará el ID de inicio de sesión de un usuario y devolverá algún tipo de colección que contenga roles, por ejemplo. "MyApp.Data", "MyApp.User," MyApp.Admin ". Entonces, ¿a qué se refiere esto? ¿Es este un proveedor de membresía personalizado, proveedor de roles personalizados o algo más?

He estado leyendo sobre todos los entresijos de Autorización, Autenticación, Membresía, Roles, etc. y no puedo ver la madera de los árboles en este momento. He leído que los objetos de seguridad ASP.NET existentes han sido probados y probados, y a menos que haya requisitos muy complejos, los incorporados serán suficientes, así que estoy feliz de usar lo que ya está allí.

Entonces, si un usuario ya ha iniciado sesión en la red, esto significa que están autenticados, ¿correcto? Si es así, entonces solo necesito implementar la Autorización. ¿Es necesario decorar cada Controlador o Acción con el atributo Autorizar? Si es así, ¿cómo se configura la parte "ABC" de [Autorizar (Roles = "ABC")] si recupero roles de mi aplicación de almacenamiento de rol personalizado?

Leí varios artículos y publicaciones de blog, incluido este de Jon Galloway, pero me perdí hacia el final:

Personalizando Autenticación y Autorización de La Manera Correcta

Tantas preguntas ... si alguien sabe de una buena descripción de alto nivel de cómo todo esto se une, entonces soy todo oídos :)

Respuestas a la pregunta(3)

Su respuesta a la pregunta