O Unified Access Gateway está configurado com a ponte de identidade baseada em SAML ou Certificado, mas nenhuma configuração é realizada para receber dados específicos da autenticação SAML ou de Certificado no servidor de back-end. A vez disso, o servidor back-end pode ser configurado com uma segunda camada diferente de autenticação que é independente da ponte de identidade no Unified Access Gateway. Por exemplo, um servidor de back-end configurado com autenticação não Kerberos do Windows (como NTLM, Básico e assim por diante).

O usuário final é solicitado a digitar a primeira camada de autenticação por Unified Access Gateway (para SAML ou Certificado) e o prompt de autenticação subsequente é baseado na configuração do servidor de back-end.