Занимаюсь настройкой SSO для нескольких приложений. Использую для этого OpenAM и очень даже хорошо с его помощью настроил пользователей и их роли из разных баз данных пользователей (AD-для внутренних и LDAP-для внешних клиентов). С помощью настроек можно пробросить пользователей и их роли в J2EE приложения (чтобы управлять ролями извне приложения). Однако столкнулся с проблемой, что не удаётся прокинуть роли пользователям в IIS (точнее не знаю как подступиться). Знаю, что роли в IIS можно хранить в настройках IIS (но локально при установленной LocalDB), но это плохой вариант, потому что LocalDB это внутренний ресурс, который к AD и LDAP не подключается. "Слышал" и читал про федерации (пока поверхностно), однако не нашёл упоминания о том, могут ли федерации обрабатывать роли пользователей, чтобы в приложении IIS можно было использовать IsInRole. Можно ли через федерации пробрасывать внутрь приложения роли/группы, определённые извне?