Szenario so (oder wie) mit WIF umsetzbar?

Ich bin aktuell auf der Suche nach Informationen ob das Szenario was ich im folgenden versuche zu schildern mit WIF umgesetzt werden kann. Evtl. gibt es hier den ein oder anderen Fachmann der sich mit so etwas auskennt.Es gibt zwar jede Menge Informationen, aber irgendwie bekomme ich noch nicht alles so recht zusammen und geordnet dass es Sinn macht. Also folgendes.

Es soll eine Anwendung mit einem Silverlight Client entwickelt werden. Dienste für den Client werden als WCF Dienste zur Verfügung gestellt. Die Dienste sollen verschiedene Möglichkeiten zur Benutzeranmeldung bereitstellen.

A.) Anmeldung per Benutzername / Passwort (Zugriff per Internet)
B.) Windows Authentifizierung (Zugriff per Intranet)
C.) Authentifizierung von Benutzern, welche bereits auf Kundenseite in Active Directory vorhanden sind.

Um das jetzt alles unter einen Hut zu bekommen, scheint mit der Claims basierte Ansatz eine durchaus interessante Löungsmöglichkeit zu sein. Wenn ich das bisher richtig verstanden habe, benötige ich als Anbieter der Anwendung dann einen IP. Über diesen IP authentifizieren sich die Benutzer über die verschiedenen Endpunkte an dem IP. Es gäbe dann im Prinzip für jede der Möglichkeiten A-C einen eigenen Endpunkt. Kann man das grob so stehen lassen?

Je nach Kundenkonfiguration für die Clientanwendung käme dann entweder der User/Passwort Mechaniusmus zum Einsatz wenn der Kunde keine eigene Infrastruktur hat, oder es müsste die Möglichkeit geben dass der Benutzer sich durch seine existierenden Benutzer (im Actve Directory) an meinem Dienst authentifizieren kann.

Für diesen Fall scheint dann ADFS2 gedacht zu sein. Allerdings blicke ich da noch nicht so ganz durch. Abgesehen davon fände ich es nicht gut wenn Kunden gezwungen wären Installation auf ihren Servern durchzuführen und diese unter Umständen auch noch ans Internet zu hängen, wenn dafür eigentlich kein Grund da ist. Wenn es sich also vermeiden lässt den Kunden so etwas aufzwingen zu müssen, würde ich das auch gerne tun.

An dieser Stelle spielt mir jetzt mein doch arg beschränktes Hintergrundwissen zu AD einen Streich. Ich kann mir nicht wirklich vorstellen ob oder wie das anders gehen könnten.

Es müsste doch eine Möglichkeit geben die bestehende Infrastruktur zu nutzen. Sprich die Benutzer des Kunden müssten ja im Prinzip schon über irgendeine Art Zertifikat verfügen. Da schwirren mir so Begriffe wie x.509 und Kerberos im Kopf herum. Dieses Zertifikat müsste doch auch dann irgendwie mit dem bestehenden AD verknüpft sein?

Ist es jetzt an dieser Stelle nicht möglich dass ich einen Public Key von dem bestehenden Kunden AD erhalte. Diesen Key meinem IP bekannt mache, und sich dann Benutzer mit deren Private Key (dessen Issuer das AD sein müsste) an meinem STS authentifizieren können?

Diese wäre jetzt mal so der "einfachste" Weg wie ich mir das in meinem wirren Gedanken vorstellen könnte. Vielleicht bin ich auch hier komplett auf dem Holzweg.

Für jeden Hinweis der mir hilft die Gedanken in gelenkte Bahnen zu bringen wäre ich dankbar. Ich hoffe mal das es zumindest halbwegs verstänlich ist was ich da versucht habe zu erklären.

Gruss und Danke

Daniel

Mit meinem bescheidenen Wissen über WIF, kann ich mir vorstellen, dass es funktionieren müsste. Allerdings müsstest du evtl. selbst einen STS implementieren. Im allgemeinen wird sowas aus sicherheitsgründen nicht empfohlen.
Vielleicht hilft dir Anspruchsbasierte Autorisierung mit WIF etwas weiter.
Wenn du Glück hast, kommt noch was von Golo. Der kennt sich damit aus. Zumindest hatte ich am Dienstag den Eindruck 😃