Windows身份基础与基于声明的身份验证和多个角色

Question

我们正在实施安全令牌服务（STS），该服务使用Windows身份基础提供基于声明的身份验证和授权。

我的问题实际上是关于最佳实践以及我们应该如何处理给定身份的多个角色。

在用户成功登录后为用户创建声明时，我们需要能够在返回到依赖方之前将用户所属的角色添加到声明中。

Claim对象不接受字符串的集合，所以我想知道这应该如何完成。我能想到的方法有两种：

1. 我可以添加类型的多个索赔ClaimTypes.Role有不同的价值观和这些都可以在另一侧读取（我已经测试，这似乎没有任何错误的工作）
2. 我也可以将这些角色放入一个声明中并通过;或类似的东西。

我的问题是关于上述哪一项更好，还是我错过了更好的东西？这两种解决方案都不完美，因为它需要解析另一端。

感谢， 约翰

Answer 1

如果您使用ADFS作为STS，将其插入多个角色进入要求

例如

• ...索赔/角色编辑器
• ...索赔/角色审批

等

这样做的好处是，可以WIF然后使用标准IsInRole构造等。