无需 Kerberos 的 WCF 自定义委派/身份验证

Question

我正在构建一个简单的 WCF 服务，可能通过 HTTPS 公开，使用 NTLM 安全性。由于并非所有用户都能够直接使用该服务，因此我们正在为该服务编写一个简单的 Web 前端。用户将使用 HTML 向 Web 前端进行身份验证。

我们想要的是一种将网站用户一直委托给 WCF 服务的方法。我知道 Kerberos 委托可以做到这一点，但我们无法做到这一点。

我想要做的是让Web前端帐户成为一个特别受信任的帐户，这样，如果请求命中身份验证为“DOMAIN\WebApp”的WCF服务，我们会读取包含真实身份的WCF消息头，然后切换主体并照常继续。

有没有任何“简单”的方法来实现这一目标？我是否应该完全放弃这个想法，而是让用户“登录”WCF 应用程序，然后进行完整的自定义身份验证？

WCF 的可扩展性和安全性选项似乎如此广泛，我想了解一下从哪条道路开始。

编辑：可以肯定的是，我只希望 WindowsIdentity 进行组成员身份检查。我不需要完整的模拟令牌，只需要身份令牌。