A delegação funciona de maneiras diferentes, dependendo se você executar contas ou certificados de grupo de trabalho / domínio e local / domínio. Eu suponho que você execute um domínio e deseja usar a delegação do kerberos.
Se você tiver que habilitar a conta que seu aplicativo está executando para ser "confiável para delegação" no Active Directory (abra ADUC (ou ADAC se você executar o servidor 2012), navegue até a conta - > propriedades - & gt ; separador de delegação e permitir delegação completa ou contratada).
Somente contas de domínio com um SPN registrado podem ser confiáveis para delegação. As contas de computador internas obtêm o SPN: s registrado por padrão, mas se você usar uma conta de usuário comum, precisará registrar um SPN para o seu aplicativo e conta da Web antes de poder confiar nele para delegação (a guia Delegação não será mostrada em contas que não possuem SPN registrado: s).
Como definir o SPN: s link
Altere a conta do aplicativo da conta virtual padrão O IIS cria "IIS AppPool \ applicationName" para NetworkService (se você decidiu usar a conta do computador) ou a conta de usuário recém-criada (se você seguir esse caminho).
Verifique se o seu aplicativo está configurado para usar a Autenticação do Windows. Autenticação do Windows usa NTLM ou Kerberos, somente o Kerberos suporta delegação, portanto, você precisa ter um SPN, caso contrário, o NTLM será usado para autenticação e não funcionará.