C/S 系统接入统一认证系统方案请教

如题：公司需要做一个统一认证系统的方案，讨论的时候有很多疑问，主要疑问就是 C/S 系统如何接入等一系列问题。
现在主要架构为 ApacheDS 作为 LDAP 数据源存储用户信息， B/S 系统采用 CAS+LDAP 的 SSO 方案，对于 C/S 结构是提供了一套 API ，用于验证用户名密码是否正确。主要的迷惑有一下几点：

1.接入统一认证的原系统权限如何处理？初步讨论的是在原系统建立本地账户与统一认证账户的关联表，在登录成功之后通过关联表取本地账户权限完成授权，但是如何将统一认证账户与原系统账户比较智能地方式关联起来呢，开始想到的是通过用户的部门属性进行关联，但是业务复杂同一用户有可能是多个角色，感觉会把问题复杂到统一授权等问题上去。

2.用户新增流程是如何的，其它子系统是如何响应的，网上搜到很多种方案，一种是直接新增用户的时候同步原系统库，不过感觉侵入度比较大，而且也要处理同步失败的问题，自己也没想出很好的方案。

如何使用标准技术将 C/S 系统改造为支持统一认证并且能够完成自身授权对应管理这方面感觉没看到比较完善的资料，请指教，感谢～