Múltiples capas de seguridad para servicios de intranet SOA REST

Suponiendo que todas sus cuentas están almacenadas en Active Directory, y solo AD, y no aceptará ninguna cuenta registrada en un proveedor externo, es difícil ver el beneficio adicional de simplemente usar OAuth únicamente como el protocolo para autenticar * a los usuarios registrados en su anuncio.

OAuth tiene un caso de uso diferente, está diseñado para ajustarse a los escenarios de federación:

  

Permite a los usuarios compartir sus recursos privados (por ejemplo, fotos, videos, listas de contactos) almacenados en un sitio con otro sitio sin tener que entregar sus credenciales.
  - Wikipedia

En su caso, no es necesario compartir las credenciales en primer lugar, ya que la máquina cliente, la aplicación del servidor y las cuentas de usuario están registradas en AD para empezar. SSPI (también conocida como autenticación integrada de Windows ) probablemente se ajustaría a tus necesidades también.

Sin embargo, hay algunas desventajas en el uso de WIA / AD fuera de la caja. Por un lado, tener una autenticación de usuario transparente (a través de WIA) puede llevar a otras debilidades, como CSRF (no lo causa directamente, pero definitivamente hace que sea mucho más fácil de explotar).
Dependiendo de cómo pensaba implementar OAuth, esto puede o no haber mitigado este problema. En cualquier caso, hay otras soluciones mejores que OAuth (que tienen sus propias complejidades).
También hay posibles problemas de AD a considerar, sin embargo, su solución propuesta (OAuth + AD) no habría afectado esto de todos modos.

Por lo tanto, resultado final: no veo ningún beneficio en mantener a OAuth allí.
Si existe un riesgo específico que le preocupa con WIA, probablemente haya soluciones mejores / más fáciles.