WIF身份验证方案。STS实施问题

我们正在考虑使用WIF对用户进行身份验证,所以我开始收集一些关于如何正确进行身份验证的信息。主要是我们应该如何创建STS。我很难找到一些关于我们的场景的信息,在这个场景中,我们有一个将由内部和外部客户使用的主服务。

内部客户端将使用TCP连接到服务。我们员工使用的桌面客户端应该使用其域凭据(Active Directory)对服务进行身份验证。除此之外,我们还有少量应用程序使用该服务进行数据处理。我们想为这些申请颁发证书。然后,它们将使用该证书通过STS进行身份验证,并返回一个包含该应用程序声明的令牌。有可能吗?

外部客户机将通过HTTP进行连接,使用用户名/密码(web客户机)进行身份验证,或者通过上面提到的证书进行身份验证。

先谢谢你。任何帮助都将不胜感激。