REST APIでのAuthorizationヘッダーのカスタム使用

クライアント証明書を使用してクライアントが認証されるREST APIを構築しています。この場合のクライアントは、個々のユーザーではなく、ある種のプレゼンテーション層です。ユーザーはカスタムアプローチを使用して認証され、これが適切に行われたことを確認するのはプレゼンテーションレイヤーの責任です（注：これは適切なアプローチではないことを知っていますが、APIはパブリックではありません）。

リクエストごとに（パスワードではなく）ユーザー名を渡したいのですが、これをどこで行うのかわかりません。Authorizationヘッダーを使用するのは良い考えでしょうか？

Authorizationヘッダーの使用は、正しいことのように思えます。これがAuthorizationヘッダーの目的です。

http://tools.ietf.org/html/rfc7235#section-4.2から：

「Authorization」ヘッダーフィールドを使用すると、ユーザーエージェントはオリジンサーバーで自分自身を認証できます。通常、401（Unauthorized）応答を受け取った後、必ずしもそうとは限りません。その値は、要求されているリソースのレルムのユーザーエージェントの認証情報を含む資格情報で構成されます。

独自の認証スキームを文書化しているが、ホイールを再発明する必要はない場合。

標準のHTTPヘッダーを非標準で使用することはお勧めしません。これは主に、AuthoriziationヘッダーがHTTP認証でどのように使用されるかを理解している他の開発者に誤解を与える可能性があるだけでなく、スタックの他の部分で同じ要求ヘッダーの認識が競合する潜在的な問題を回避するためでもあります。

いずれにせよX-Authorization-User、特に目的に応じて、カスタムの非標準ヘッダーを使用することを妨げるものは何もありません。