Зачем изобретать велосипед если есть ASP.NET Identity.
Ваш внутренний сервис очень похож на OAuth-сервер.
В любом случае, используйте связку куки (для авторизации) + OAuth (или что у вас там, для аутентификации).
По поводу Claims - они являются частью Identity. Вы сами можете решать куда и как их сохранять (хотите в куки, хотите в БД).