Если есть собственный дата-центр, зачем хостинг? сконфигурировать DMZ не судьба?

"в случае "падения" сервиса сайт остается живой"

почему сервис на своем дата-центре воспринимается как элемент менее надежный чем сайт на хостинге? или "дата-центр" в данном случае просто красивое название комнаты в подвале с крысами?

Желание спихнуть обслуживание на стороннюю организацию вполне понятно. Просто мне кажется, при наличии своего дата-центра и персонала по обслуживанию оборудования, оплата хостинга достаточной мощности будет не выгодна

"Как это все провернуть в единой аутентификации и для CMS и для сервиса?"

А в чем проблема? С точки зрения клиента то ничего не меняется. Просто данные авторизации берутся с сервиса вместо базы данных. А сайт на сервисе проходить аутентификацию может по HTTPS-сертификату.

В код CMS так или иначе придется вносить изменения, чтобы интегрировать ее с внешним API. Вместо авторизации через Membership (который заточен на прямой доступ к БД), сделать свой механизм.

Переопределить событие Authentificate элемента LoginControl, и вызывать в нем ваш метод с WCF. Сохранить в состоянии сеанса полученный ИД сеанса, IP адрес клиента и дату входа. Затем, подменить функцию которой CMS при загрузке страницы определяет права пользователя. Вместо вызова функций Membership брать то что сохранили в сеансе.

Пример какого кода?

Своей процедуры аутентификации - тут: https://msdn.microsoft.com/ru-ru/library/system.web.ui.webcontrols.login.authenticate(v=vs.110).aspx

Работы с состоянием сеанса - тут: https://msdn.microsoft.com/ru-ru/library/system.web.httpcontext.session(v=vs.110).aspx