Azure和传统托管/分布式和传统的身份验证

Question

为了构建ASP.NET MVC3应用程序框架，我希望有一个身份验证机制：

• 支持SSO /联合安全性，例如通过OAuth或OpenID。
• 还留出支持本地帐户的空间。
• 在传统托管环境中工作，或者可以利用Azure中的独特功能。
• 避免使用pitfalls of the MembershipProvider and SimpleMembership。
• 适用于.net 4.5 / MVC 4
• 适用于Azure网络角色或Azure网站。
• 奖励：适用于MVC 3

我认为没有一种解决这些目标的身份验证解决方案。如果我的Web应用程序框架可以配置为使用以下任一项，那么看起来我可以最好地实现这些目标：

• Access Control Service (ACS) version 2.0，享有new "Identity and Access" Visual Studio 2012 tools
• DotNetOpenAuth或DotNetOpenAuth.AspNet

所以我的问题是这些：

1. 我的计划是否支持两者都符合我既定的目标？或者是否可以使用ACS来获得所有目标？例如，ACS是否提供自己的免服务“独立”程序集，在传统托管服务提供商上使用时可以扮演与DotNetOpenAuth相同的角色？
2. 为了轻松启用，我需要触摸哪些配置“点”和部件？
   
   1. 这可以简单地使用XDT完成并根据构建目标转换web.config吗？
   2. ACS是否使用可识别的挂钩点（例如HTTPModule）来重定向到auth服务 - 或者它是否使用更深层次的工具集？

我只是想确保我实现目标的策略是相当可靠的，并且我知道自己正在做什么。我也希望这两种方法仍然适用于标准的，声称能力的RolePrincipal。这样，我的授权机制可以保留给我的Web应用程序框架进行内部处理。