Eu especularia que isso pode estar relacionado à capacidade do computador para representar a identidade do pool de aplicativos na rede. O "Conectar como" tem as credenciais salvas (e criptografadas), para que possa criar um token primário completo e acessar recursos como essa identidade do usuário. Com "Usuário do aplicativo (autenticação de passagem)", seria um token existente e tentaria usar esse token para representação. Nesse cenário, se o computador que está executando a representação não é confiável para delegação, ele não terá êxito.
Isso deve ser fácil de testar e validar.
O computador é confiável para delegação? Em Usuários e Computadores do Active Directory > Computador > Propriedades > Guia Delegação. Selecione "Confiar neste computador para delegação a qualquer serviço (somente Kerberos)".
Você também pode precisar definir a configuração do IIS7 como "useAppPoolCredentials". Isso pode ser definido com o seguinte comando:
appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true
useAppPoolCredentials = Verdadeiro com a delegação do Kerberos em 2008
link
Possivelmente relacionado: