Доделитесь, пожалуйста, информацией по реализации аутентификации и авторизации
на базе LDAP. Интересуют концептуальные моменты: вся ли логика по созданию пользователей и их групп перемещается в LDAP или же какая-то часть остается в приложении? Если все в LDAP, то каким образом реализуется обратная связь между LDAP? (например, когда новая группа в LDAP должна появится после появления новых "данных" в системе — пример — новый территориальный регион). Что делать в ситуации, когда число групп и их разновидностей становится большим и их управление через стандартную management console (в случае AD) становится неудобным — писать свой add-in?

От Заказчика удается пока что заполучить поток сознания о том, что
"хочется централизации".