Вы говорите о проверке подлинности на основе утверждений. Вы доверяете сторонней службе для аутентификации пользователя и уверены, что информация, которую служба сообщает вам об этом пользователе, верна.
Посмотрите, какие варианты у вас есть, чтобы служба передала вам эти данные. Вы можете использовать полные утверждения на основе SAML, и Windows Identity Foundation может взять на себя почти всю работу за вас. Если стороннее приложение действует как прокси-сервер, вы можете сделать так, чтобы оно вставляло HTTP-заголовок с именем пользователя. Или у вас может быть форма, но кто-то или что-то должно будет ввести данные и опубликовать эту форму ( Вы можете сделать это автоматически из Javascript при запуске сайта).
Если вы хотите использовать форму, это может быть измененный экран входа в систему на основе форм, который не проверяет пароль, а просто создает cookie проверки подлинности с помощью форм.
Если вы хотите использовать более «индивидуальную» схему, вы можете создать собственного участника безопасности, реализующего IPrincipal, вы можете прозрачно внедрить его в ваше приложение и заставить его вести себя так же, как если бы вы выполняли «правильную» аутентификацию.
В любом случае, не пытайтесь связываться с тем, как работает безопасность ASP.NET, просто сконцентрируйтесь на лучшем способе передачи информации в ASP.NET через участника безопасности.