Я задал этот вопрос в службу поддержки ioplex.Они дали мне хороший ответ.Вот оно:
"SSO может выполнять только первый элемент в цепочке, потому что, как только HttpSecurityService запрашивает у браузера информацию для первого домена, браузер не может начать заново для другого домена. По крайней мере, не втот же запрос. В идеале было бы замечательно, если бы браузер отправил имя своего собственного домена в начальный токен NTLM. Но, к сожалению, его просто нет.
На самом деле мы получаем этот вопрос совсем немного. Лучший способПо нашему мнению, для решения этой проблемы необходимо создать собственный фильтр, который создает несколько экземпляров HttpSecurityService - по одному для каждого домена. Затем у вас есть параллельный список сетевых масок, которые можно использовать для сопоставления клиентов по удаленному IP-адресу с правильным экземпляромHttpSecurityService. Или вы можете идентифицировать клиентов, используя любой метод, который вы хотите, например, подпись посредника. Или вы можете использовать cookie для идентификации идеального домена, но в этом случае пользователь должен будет что-то сделать, чтобы получить cookie (например, один раз войти вручную).Вы понимаете, что я имею в виду?
Обратите внимание, что если домены AD имеют доверительные отношения, единый вход должен нормально работать только с одним экземпляром HttpSecurityService.Описанное выше решение необходимо только в том случае, если у доменов нет доверительных отношений. "