Хотя ответ зависит от внутренних особенностей архитектуры вашего приложения и других принципов проектирования, которым вы, возможно, следовали.
Идеально, чтобы службы Rest / SOAP реализовывали практически ту же модель безопасности, поэтому, если выпланируя использовать HTTP X-On-Behalf-Of, имеет смысл использовать его и в случае SOAP-сервисов.
Но, в случае SOAP, вы используете WS-Безопасность или некоторый тип настраиваемого заголовка SOAP для выполнения аутентификации / авторизации в каждом вызове SOAP, более разумно изменить сам заголовок SOAP, чтобы получить дополнительный On-Behalf-Of' detail as well rather then Custom HTTP Header for
X-on-name-of`
См. Сообщение 2 - запрос обмена токеном WS-Trust раздел для более подробной информации.