Grande pergunta! Eu não sabia que isso era diferente no IIS 7.5 até ler o seu post. (Eu te recomendaria, mas não tenho pontos suficientes).
Encontrei um bom post de alguém que trabalha na equipe principal do IIS. Talvez isso ajude você um pouco.
Sou um pouco consumado pela falsificação de identidade no IIS7.5
Nos bons velhos tempos, você poderia simplesmente colocar o web.config e chamá-lo de bom. Diretórios, em seguida, poderiam ser bloqueados para um usuário específico e, em seguida, IIS seria capaz de acessar recursos, como procedimentos armazenados do Sql Server, que esse usuário tinha permissões para.
Com o novo pipleline integrado, isso não funciona mais. Eu poderia mudar para o pipeline "clássico", mas isso só vai funcionar por tanto tempo, então eu quero fazer as coisas do jeito "moderno" preferido.
Eu definitivamente quero manter dois níveis de segurança. O lado anônimo do site terá acesso aos SPROCs necessários para exibir dados anônimos, e a parte administrativa terá acesso adicional. Sem identidade, como isso pode ser feito?
Grande pergunta! Eu não sabia que isso era diferente no IIS 7.5 até ler o seu post. (Eu te recomendaria, mas não tenho pontos suficientes).
Encontrei um bom post de alguém que trabalha na equipe principal do IIS. Talvez isso ajude você um pouco.
Representação ainda funciona, mas para chegar ao servidor sql (o segundo salto) você tem que usar "delegação". A parte mais importante de fazer a delegação funcionar é que você precisa usar o kerberos. Uma coisa é instalá-lo e ativá-lo, outra é certificar-se de que ele seja realmente usado. Pesquisando "dois lúpulos" e "delegação" você recebe muitas informações "como", algumas melhores que outras. Este tem fotos legais
Eu recomendo testar no IE primeiro.
Uma vez que você esteja trabalhando, por exemplo, vá para o cromo, onde os servidores que o IIS precisa se conectar precisam ser listados em branco. A chave mais importante para definir é "AuthNegotiateDelegateWhitelist"