Почему ADFS не передает учетные данные с помощью встроенной аутентификации Windows?

У нас настроен экземпляр ADFS 2.0. Мы используем его для единого входа в стороннее веб-приложение. Все прекрасно работает с существующим приложением App1 с SAML 2.0, включая сквозную передачу IWA, когда пользователи перенаправляются на наш сервер ADFS.

Я только что настроил второе доверие проверяющей стороны для другого приложения, App2, используя SAML 2.0. Мы используем все настройки ADFS по умолчанию, включая конечные точки. На странице конфигурации SAML этого приложения я сказал, что нашей конечной точкой SAML является " https://adfs.mydomain.com/adfs/ls/". Все работает отлично, за исключением того, что пользователям предлагается ввести учетные данные; ADFS не использует IWA для этих имен входа.

Я тестирую с локальной рабочей станции, подключенной к домену, используя IE9. Внутренний DNS указывает на наш локальный присоединенный к домену сервер ADFS, внешний DNS указывает на наш DMZ-прокси ADFS. "*.mydomain.com" находится в зоне надежных сайтов в IE с помощью объекта групповой политики и применяется. IWA включен в IE. IE очищает свой кеш / куки / историю каждый раз, когда я его закрываю. Оба приложения используют вход, инициированный SP, и оба отправляют свои утверждения на один и тот же URL-адрес конечной точки с нашей стороны.

Если я пытаюсь войти в App2 в чистом сеансе, мне представляется страница входа в ADFS. Если я введу учетные данные, я войду в приложение и смогу продолжить.

Если я попытаюсь войти в App1 в чистом сеансе, меня сразу же перенаправят в ADFS, IWA пройдет через, и я войду в приложение и могу продолжить.

Если я пытаюсь войти в App2 в том же сеансе после входа в App1, я перенаправляюсь в ADFS, используется существующий сеанс входа в ADFS, инициированный App1, а затем сразу же перенаправляется на URL-адрес службы подтверждения клиента App2. и дали страницу с ошибкой.

Мое лучшее предположение, что я что-то упустил в конфигурации RPT. Все, что SP дал мне, это их URL-адрес конечной точки обслуживания потребителя, использующий привязку POST. Я должен был угадать по правилам претензий. ИП не использует шифрование.

App2 Обслуживание клиентов было... сложным. Их техническая поддержка за рубежом, поэтому я получаю ответы только один раз в день около полуночи по местному времени. Большинство их ответов являются стандартными "копировать и вставлять из КБ". Они предпочитают вход, инициированный IdP, но говорят, что поддерживают инициирование SP - что, по-видимому, верно, поскольку SSO работает в чистом сеансе после входа на страницу входа в ADFS.

Кто-нибудь знает, что мне не хватает?