Hai capito al 100%.

Tutto quello che hai detto e' corretto.

L'unica cosa e' che i certificati sono installati a livello di sistema.
Ci sono diversi store per i certificati. Quello per i cert usati per autenticazione e' lo store per utente, per cui ogni utente di quella macchina avra' il suo.

Saluti

--Alessandro

Ci sono diverse tecniche e anche alcune start-up che vendono questo servizio.

Il problema non e' banale - si tratta di avere un layer di autenticazione e autorizzazione a monte della soddisfazione della chiamata al WS.

Il problema si divide in due parti.

Da una parte devi in qualche modo identificare il chiamante.
Per fare questo puoi per esempio
1) richiedere un'identificazione cookie-based, tipo Windows LiveID
2) richiedere al client di avere un determinato certificato
3) richiedere un'autenticazione interattiva
4) usare un token o application ID protetto con qualche tecnica di anti-spoofing

Fatto questo, devi determinare i permessi sulla base dell'identita' del chiamante.
Per questo dovrai avere qualche forma di profilo dell'utente che contenga tra le altre cose i permessi di accesso, e devi avere una logica di enforcement che estragga i permessi dal profilo e li applichi alla chiamata in corso.

HTH

--Alessandro