Unified Access Gateway est configuré avec le pontage d'identité basé sur SAML ou sur un certificat, mais aucune configuration n'est effectuée pour recevoir des données spécifiques à partir de l'authentification SAML ou par certificat sur le serveur principal. Au lieu de cela, le serveur principal peut être configuré avec une deuxième couche d'authentification différente qui est indépendante du pontage d'identité sur Unified Access Gateway. Par exemple, un serveur principal configuré avec une authentification Windows non-Kerberos (par exemple, NTLM, Basique, etc.).

L'utilisateur final est invité à fournir la première couche d'authentification par Unified Access Gateway (pour SAML ou certificat) est l'invite d'authentification suivante est basée sur la configuration du serveur principal.