Pour certaines applications, un client peut avoir besoin de déléguer l'autorité à un serveur pour qu'il agisse en son nom lorsqu'il contacte d'autres services. Le client doit transférer des informations d'identification à un serveur intermédiaire. La capacité du client à obtenir un ticket de service à un serveur ne communique aucune information au client permettant de savoir si le serveur peut être autorisé à accepter des références déléguées. L'option –ok_to_auth_as_delegate de la commande kadmin permet à un KDC de communiquer la stratégie du domaine local à un client indiquant si un serveur intermédiaire est autorisé à accepter de telles informations d'identification.
La partie chiffrée de la réponse KDC au client peut inclure une copie des indicateurs de ticket d'informations d'identification avec l'option –ok_to_auth_as_delegate. Un client peut utiliser ce paramètre pour déterminer s'il faut attribuer ou non des informations d'identification (en octroyant un proxy ou un TGT transmis) à ce serveur. Lors de la définition de cette option, prenez en compte la sécurité et la position du serveur sur lequel le service s'exécute, et si le service requiert l'utilisation d'informations d'identification déléguées.