Мой первый вопрос: для чего вы пользуетесь услугой? Создать пользователей? удалить пользователей? изменить претензии будут выданы? Получить больше информации о конкретном пользователе?
Будут ли эти операции выполняться всеми пользователями (как в случаях использования "самообслуживания")? только некоторыми (например, администраторами)?
Вы можете использовать претензии для защиты этой услуги. В этом случае, если приложение ASP.NET вызывает службу членства / связанных данных от имени исходного пользователя, вам необходимо получить токен «ActAs» (из того же STS).
Вы также можете выбрать подход «доверенная подсистема», при котором сайт вызывает службу со своей собственной идентификацией. В этом случае вы можете использовать утверждения (не требуются «ActAs») или какую-либо другую аутентификацию (например, ключ API).
Это также зависит от того, как реализован сервис (как в REST, SOAP и т. Д.). Для SOAP потребуется реализация WS-Trust (с использованием WIF или WCF), для REST потребуется использование чего-то другого.