Luchando con ArcGIS REST API y tokens

Estoy haciendo todo lo posible para asegurar mis servicios AGS (9.3.1), pero he tenido problemas con los tokens. Como puede ver, mi nueva cuenta pertenece a los roles agsadmin y agsusers :

He asignado estos mismos roles a mi servicio y su carpeta que contiene:

Generar un token no es problema:

Pero, por desgracia, al iniciar sesión en la interfaz REST, me aparece este mensaje de acceso no autorizado :

Encontré una publicación en los foros de ESRI que describe el mismo problema, pero las respuestas no son concluyentes. ("Asegúrese de que la configuración de seguridad para este servicio de mapas sea correcta", bla, bla.)

¿Alguien ha encontrado esto? ¿Qué podría estar haciendo mal?

Actualización: hemos abandonado la seguridad basada en AGS debido a sus muchos defectos e inconsistencias caprichosas. ¡Tener cuidado!

Si usa Fiddler cuando está disparando una autenticación de token, puede ver la respuesta (403 Prohibido, etc.).

Lo utilicé la primera vez que configuré el servidor FME con seguridad: utiliza el mismo método Token y no es exclusivo de ArcGIS REST, sino que es REST con seguridad. Es probable que se trate de problemas de seguridad del software o que el servidor web rechace la solicitud de los usuarios.

Esta seguridad de token (a través de proxy) en un servidor ArcGIS (Javascript) puede ser útil para su aplicación http://forums.arcgis.com/threads/33714-Token-Security-on-an-ArcGIS-Server-%28Javascript%29