Eu estou trabalhando em um novo projeto asp.net mvc4 usando o Visual Studio 2011 beta e estou tentando obter minha cabeça em torno de toda a coisa de segurança. É um aplicativo de Intranet interno que inicialmente usará logon único, portanto, o usuário não precisará (ainda) receber uma ID / senha do Windows. A empresa possui um aplicativo personalizado para armazenar funções para diferentes aplicativos e estará disponível por meio de uma chamada de procedimento armazenado. Ele pegará o ID de logon de um usuário e retornará algum tipo de coleção contendo funções, por exemplo, "MyApp.Data", "MyApp.User," MyApp.Admin ". Então, o que é referido como - este é um provedor de associação personalizado, provedor de funções personalizadas ou outra coisa?

Eu tenho lido sobre todos os meandros da Autorização, Autenticação, Associação, Funções, etc. e não consigo ver a madeira para as árvores no momento. Eu li que os objetos existentes de Segurança do ASP.NET foram experimentados e testados, e a menos que haja requisitos muito complexos, os internos serão suficientes, por isso estou feliz em usar o que já está lá.

Portanto, se um usuário já estiver conectado à rede, isso significa que ele está autenticado - correto? Em caso afirmativo, preciso apenas implementar a Autorização. É necessário decorar cada Controlador ou Ação com o atributo Autorizar? Em caso afirmativo, como a parte "ABC" de [Authorize (Roles = "ABC")] é definida se eu recuperar funções do meu aplicativo de armazenamento de funções personalizadas?

Eu li vários artigos e posts, incluindo este de Jon Galloway, mas me perdi no final:

Personalização de autenticação e autorização do jeito certo

Tantas perguntas ... se alguém sabe de boa descrição de alto nível de como tudo isso fica junto, então eu sou todo ouvidos :)