Tengo una aplicación web ASP.NET que tiene habilitada la autenticación de Windows. Necesito escribir un controlador API web ASP.NET en esa aplicación que use parte de la lógica de acceso a los datos de la aplicación. No quiero crear un nuevo proyecto solo para la API web, ya que necesito exponer solo un pequeño punto final que maneja un par de solicitudes.

Los clientes de la API web consumirían el servicio de forma anónima. Para permitir esto, intenté usar el filtro de acción AllowAnonymous tanto en el controlador como en las acciones. Pero, cuando intento golpear la API usando Fiddler, la solicitud falla con el estado 401 diciendo "401 - No autorizado: el acceso se deniega debido a credenciales no válidas".

¿Hay una manera de lograr esto?