Depois de pesquisar o tópico de segurança baseada em declarações (ou um modelo de segurança federada). Venho encontrando muitos exemplos que usamCardSpace como um exemplo. O artigo principal que li que deu uma ótima explicação sobre o assunto foi umaPDF pela Microsoft em uma estrutura chamadaZermatt.

A arquitetura de segurança baseada em declarações que estou analisando é o equivalente à implementação de umSTS Agente de autenticação em combinação com um agente de autorização STS. Dessa forma, quando crio um novo serviço, tudo o que preciso fazer é garantir que o serviço aceite apenas reivindicações emitidas pelo Authorization Broker. E, como observado no artigo, o Authorization Broker só aceitaria reivindicações emitidas pelo Authentication Broker.

Quando está configurado, sempre que um cliente tenta usar o novo serviço, ele deve se autenticar com oAgente de autenticação (emitindo uma reivindicação autenticada) e depois seja autorizado com oAgente de Autorização (emitindo uma reivindicação autorizada).

Tudo isso é bom e elegante e a arquitetura é clara, mas não vejo exatamente como implementar um STS. Como mencionei, a maioria dos exemplos (se não todos) da Web mostra como usar o CardSpace, mas isso não funciona exatamente quando você tem um banco de dados fazendo backup do seu esquema de autenticação.

Cenário de exemplo

texto alternativo http://img512.imageshack.us/img512/8329/claimsbasedsecurityza6.jpg