Храните/присваивайте роли аутентифицируемых пользователей

Роли добавляются в IPrincipal HttpContext. Вы можете создать GenericPrincipal , проанализировать список ролей в конструкторе и установить его как HttpContext.User. После этого GenericPrincipal будет доступен через User.IsInRole ("role") или атрибут [Authorize (Roles = "role")]

Один из способов сделать это (в C #) состоит в том, чтобы добавить ваши роли в виде строки, разделенной запятыми, в параметре пользовательских данных при создании билета аутентификации

string roles = "Admin,Member";
FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
  1,
  userId,  //user id
  DateTime.Now,
  DateTime.Now.AddMinutes(20),  // expiry
  false,  //do not remember
  roles, 
  "/");
HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName,
                                   FormsAuthentication.Encrypt(authTicket));
Response.Cookies.Add(cookie);

Затем откройте список ролей из билета аутентификации и создайте GenericPrincipal из вашего Global.asax.cs

protected void Application_AuthenticateRequest(Object sender, EventArgs e) {
  HttpCookie authCookie = 
                Context.Request.Cookies[FormsAuthentication.FormsCookieName];
    if (authCookie != null) {
      FormsAuthenticationTicket authTicket = 
                                  FormsAuthentication.Decrypt(authCookie.Value);
      string[] roles = authTicket.UserData.Split(new Char[] { ',' });
      GenericPrincipal userPrincipal =
                       new GenericPrincipal(new GenericIdentity(authTicket.Name),roles);
      Context.User = userPrincipal;
    }
  }

Не могли бы вы использовать диспетчер ролей хранилища авторизации или найти (например, на Codeplex) или написать другого поставщика ролей, который работает с Active Directory, чтобы получить информацию о группах?

Это избавит вас от хлопот с аутентификацией пользователя, получением его ролей, а затем повторной передачей этой информации в конструктор, и все это произойдет автоматически для вас как часть фреймворка.