sso-system arbeiten mit einen authentifizierungsserver z.b. kerberos.
dort werden tickets erzeugt mit welchen ein prozess in den usercontext impersonated werden kann.
also alles ohne usename/passwort.

funktionen die genutzt werden (teilmenge):
InitializeSecurityContext
AcquireCredentialsHandle
AcceptSecurityContext
CompleteAuthToken
ImpersonateSecurityContext

damit kannst du ja mal auf das msdn los gehen.