Après avoir effectué des recherches sur le thème de la sécurité basée sur les revendications (ou d'un modèle de sécurité fédérée). J'ai rencontré beaucoup d'exemples qui utilisent CardSpace comme exemple. L'article principal que j'ai lu qui a donné une très bonne explication du sujet était un PDF par Microsoft sur un cadre appelé Zermatt.Mise en œuvre de la sécurité basée sur les revendications (WCF/ASP.NET)
L'architecture de sécurité basée sur les revendications que j'examine est l'équivalent de l'implémentation d'un courtier d'authentification STS en combinaison avec un courtier d'autorisation STS. De cette façon, lorsque je crée un nouveau service, tout ce que je dois faire est de m'assurer que le service n'acceptera que les demandes émises par le courtier d'autorisation. Et comme indiqué dans l'article, le courtier d'autorisation n'accepterait que les réclamations émises par le courtier d'authentification.
Lorsque c'est la configuration, chaque fois qu'un client tente d'utiliser le nouveau service, il doit authentifier auprès du authentification courtier(émission d'une demande authentifiée) puis obtenir autorisé avec le courtier d'autorisation (émission d'une revendication autorisée).
Tout cela est très bien et dandy et l'architecture est claire, mais je ne vois pas exactement comment implémenter un STS. Comme je l'ai mentionné, la plupart (sinon la totalité) des exemples sur le Web montrent comment utiliser CardSpace, mais cela ne fonctionne pas exactement quand vous avez une base de données sauvegardant votre schéma d'authentification.
Exemple de scénario
alt text http://img512.imageshack.us/img512/8329/claimsbasedsecurityza6.jpg
