Похоже, что IIS предоставляет вам безопасные куки-файлы через ваше HTTPS-соединение, что действительно очень разумно.Эти файлы cookie не предназначены для утечки в обычное HTTP-соединение, поэтому вы получаете результат.
Вы можете создать дополнительный незащищенный файл cookie для передачи некоторой информации для аутентификации на сторону HTTP вашего сайта.Однако, как только вы это сделаете, не думайте, что все, что было сделано или отправлено во время обычного HTTP-сеанса, было сделано законным аутентифицированным пользователем, если в какой-то момент вам нужно вернуться к HTTPS.Можно передать токен аутентификации из HTTPS в HTTP, но это не так.(Конечно, вы все равно были бы уязвимы для атак в обычном HTTP, но это может быть приемлемым риском для вашего приложения.)
В этом вопросе есть еще об этой проблеме (что относится к Tomcat, будет то жес любым веб-сервером, включая IIS): Управление сеансами Tomcat - перезапись URL-адреса и переключение с http на https