我希望以下问题有道理：

>我在ActiveDirectory中管理我的用户.
>我通过IdentityServer3验证它们.
>我通过用户所在的AD组授权API(充当安全角色).

我应该如何设置IdentityServer3：

>我必须使用自己的自定义UserService来访问ActiveDirectory吗？
>是否取代了MembershipReboot / AspNetIdentity支持(或者我误解了UserService是什么)？
>或者我应该使用IdentityServer3中的MembershipReboot / AspNetIdentity包之一,并以某种方式自定义它们以映射到ActiveDirectory(如果是,如何)？

最佳答案 似乎没有“映射”,不应该是从AD到成员资格重新启动或异常或更新的身份重启用户存储的映射.原因似乎很简单：mr和aspid或ir都是以持久方式(某种数据库或存储库)存储用户信息的方法,这已在AD中完成.

用户服务就足够了.在客户端调用“装饰”“授权”属性或从OP返回后,它会导致填充ASP Identity对象,并使中间件按预期工作,正确且自动地调用用户身份验证和用户或资源授权(OpenID-Connect提供程序)或来自单独的授权或资源提供程序的安全调用.

答案更新：现在在IdentityServer4中,不推荐使用UserService,而是使用IResourceOwnerPasswordValidator.

请参阅此处查看工作代码和详细说明,在接受后的答案中(请将其投票)
IdentityServer4 register UserService and get users from database in asp.net core