不带Kerberos的WCF自定义委派/身份验证

我正在使用NTLM安全性构建一个简单的WCF服务，可能通过HTTPS公开。由于并非所有用户都能够直接使用该服务，因此我们正在为该服务编写一个简单的web前端。用户将使用HTML对web前端进行身份验证

我们想要的是一种将网站用户完全委托给WCF服务的方法。我知道Kerberos代表团可以做到这一点，但我们无法做到这一点

我想做的是将web前端帐户设置为一个特别受信任的帐户，这样，如果一个请求命中了验证为“DOMAIN\WebApp”的WCF服务，我们将读取一个包含真实身份的WCF消息头，然后将主体切换到该帐户，并正常继续

有什么“简单”的方法来实现这一点吗？我应该完全放弃这个想法，而是让用户“登录”到WCF应用程序，然后完成自定义身份验证吗

WCF的可扩展性和安全性选项似乎非常广泛，我想知道应该从哪条路开始

编辑：当然，我只希望WindowsIdentity进行组成员身份检查。我不需要完整的模拟令牌，只需要一个身份令牌