Ciao,
questa soluzione potrebbe aiutarti.
http://stackoverflow.com/questions/1064271/asp-net-mvc-set-custom-iidentity-or-iprincipal#answer-10524305

Si tratta, in pratica, di aggiungere ulteriori informazioni al cookie di autenticazione (il Country e la lista di ruoli, in questo caso). Lo puoi vedere al punto "4. LogIn method" nella pagina che ti ho linkato qui sopra.

Fatto questo, gestisci l'evento PostAuthenticateRequest nel global.asax come vedi al punto 5, ed associa una tua classe personalizzata come Principal per la richiesta corrente. Questa classe conterrà, tra le sue proprietà, anche il tipo complesso che hai postato. Valorizzalo opportunamente in base alle informazioni contenute nel cookie.

ciao,
Moreno

Ciao,

utilizzo la windows authentication

Ok, in questo caso non avrai il punto 4. Facciamo così, vediamo se riusciamo a risolverla in maniera ancora più semplice di quella descritta nella discussione che ti ho linkato.

Ricapitolando: tu hai creato un RoleProvider custom e l'hai registrato nel web.config. In questo modo, ogni volta che un utente richiede una pagina, ASP.NET richiamerà il metodo GetRolesForUser per conoscere i suoi ruoli.
Nel corpo del metodo, prima di restituire i ruoli come array di stringhe, potresti anche aggiungere il Country ai Claims dell'identità corrente.

Ma tieni presente che aggiungere il claim del Country da questo metodo potrebbe non essere il punto più opportuno. Per esempio, se stai cachando i ruoli in un cookie (attributo cacheRolesInCookie="true" del nodo roleManager del web.config) il metodo GetRolesForUser non andrà in esecuzione ad ogni richiesta e perciò perderemmo l'opportunità di aggiungere il claim del country.
Allora forse è meglio aggiungere il country dal metodo Application_PostAuthenticateRequest del global.asax, ma questo devi deciderlo tu.

In un modo o nell'altro, questa soluzione ti evita di "concatenare" il country ai ruoli, e te lo fa aggiungere invece ai claims dell'identità corrente, là dove è più opportuno che si trovi.

Veniamo alla seconda parte del problema:

Avrei la necessità di definire la role come un oggetto custom

Ora che i roles e il country sono "separati", è molto facile scrivere un extension method che ti restituisca l'oggetto MyRole che hai descritto.
L'implementazione dell'extension method sarà simile alla seguente:


E poi da un'action o una view ASP.NET MVC lo usi in questo modo:

Lo puoi usare anche da un Authorization attribute personalizzato, se lo scopo è quello di autorizzare le richieste anche in base al country.

ciao,
Moreno

---

Modificato da BrightSoul il 27 marzo 2016 23.12 -

Ciao,

Potrebbe essere perché utilizzo il Framework 4 e non il 4.5?

Sì, la claim-based identity, che prima era una peculiarità di WIF, è stata introdotta nel framework con la versione 4.5.

un utente potrebbe essere abilitato a più country con roles diverse

ok, a questo punto puoi decidere di intraprendere una tra queste due strade:

• Restituisci solo i ruoli per il country del contesto corrente (esempio: l'utente sta interagendo con i contenuti per l'Italia, quindi estrai dal db solo i ruoli per l'italia) e in questo caso si applica la stessa soluzione di cui abbiamo discusso nei post precedenti;
• Restituisci i ruoli per tutti i country, ma a questo punto dobbiamo andare a rompere qualcosa perché le soluzioni viste finora non sono adatte modellare la relazione tra utente, country e ruoli.

Prima di valutare altre soluzioni ti chiedo: perché hai scartato l'ipotesi di concatenare il country al ruolo? Per un motivo di eleganza o per altri motivi pratici?

Il metodo GetRolesForUser potrebbe restituire un array di stringhe contenenti voci come queste:

Poi, da un extension method, fai il parsing di questi ruoli e restituisci la lista di MyRole che potrai usare dall'attributo di autorizzazione personalizzato o da qualsiasi altro punto dell'applicazione (es. da una view che riepiloga i privilegi dell'utente).

ciao,
Moreno

---

Modificato da BrightSoul il 30 marzo 2016 21.51 -

Ciao,
al momento la concatenazione è la scelta che ti richiede meno sforzo perché hai già il RoleProvider pronto e quindi ti basta fargli restituire l'array di stringhe.

Però, se pensi che sia un'ipotesi reale che alcuni utenti avranno così tanti ruoli (centinaia?) da raggiungere i 4KB, allora dovresti sin da ora pianificare un altro sistema che non si avvalga del caching nei cookie.

Una soluzione sarebbe quella di mantenere il RoleProvider, il cui metodo GetRolesForUser andrebbe ora in esecuzione ad ogni richiesta.
Se non vuoi concatenare il country al ruolo, puoi anche decidere di fargli restituire solo i ruoli "interessanti", ovvero quelli appartenenti al country/regione corrente, che dovresti essere in grado di stabilire in base al contenuto della richiesta.

L'alternativa, più elaborata, consiste nel rinunciare agli automatismi del RoleProvider per fare tutto "a mano" dal metodo Application_PostAuthenticateRequest del global.asax. In pratica, sostituisci la CurrentPrincipal con una tua implementazione di IPrincipal e popoli una sua proprietà con la lista di MyRole.
In questo caso non servirà crearsi l'attributo di autorizzazione personalizzato perché avrai spostato quella logica nel metodo IsInRole(string role) che l'interfaccia IPrincipal ti chiede di implementare.
In questo caso non devi concatenare i country ai ruoli perché non devi sottostare alla limitazione imposta dal RoleProvider (dato che non lo usi) che ti costringerebbe a restituire array di stringhe.

ciao,
Moreno

---

Modificato da BrightSoul il 30 marzo 2016 22.16 -