Почему бы не использовать сертификаты и сопоставить сертификат с пользователем Windows в AD - тогда у вас есть конструкция, которая является стандартным HTTP и может автоматически сопоставляться с учетной записью Windows, которая позволяет использовать авторизацию Windows.
Если вы не будете использовать какую-либо форму HTTP-аутентификации, вы можете отправить учетные данные в виде элементов в сообщении, использовать SSPI для проверки имени пользователя и пароля, затем поискать группы в AD и подключить свой собственный IP-принцип, который позволит вам делать PrinciplePermission проверки ролей. Если вы идете по этому пути (который я бы не рекомендовал), пожалуйста, используйте SSL - в противном случае ваша система ужасно небезопасна.