A delegação não funciona com o NTLM e, para que a delegação funcione com o Kerberos, é necessário definir o SPN para a máquina e (se usado) a conta de serviço usada para hospedar o pool de aplicativos.
Normalmente, um SPN é atribuído ao (s) nome (s) da máquina que está hospedando o aplicativo e à conta de usuário usada para a guia "Identidade" do pool de aplicativos do IIS associado ao seu site. Você normalmente precisa usar uma conta que não seja de usuário (serviço) na guia Identidade do pool de aplicativos se o seu aplicativo precisar acessar recursos em outros computadores, enquanto representa os usuários que estão conectados ao aplicativo IIS.
Os SPNs e o Trusted for Delegation não são necessários para usuários que simplesmente precisam fazer logon e usar o aplicativo IIS.
Uma conta que é Trusted for Delegation pode representar outras contas de usuário sem a senha ou até mesmo um token de segurança. Esta é uma função crítica de segurança e nunca deve ser feita para uma conta de usuário comum.