Аутентификация Windows по нескольким именам хостов без запроса нескольких учетных данных - возможно ли это?

У меня есть веб-приложение, которое использует несколько имен хостов (см. Ниже объяснение того, почему оно настроено таким образом - я не хочу, чтобы это отвлекало от более общего вопроса здесь).

В основном это:

• Два фиксированных имени хоста (www.domain1.com и www.domain2.com)
• Одно или несколько других имен хостов, которые не фиксированы, но все имеют общий домен (abc.domain3.com, def.domain3.com) - они генерируются динамически процессом, который не находится под нашим контролем и который нелегко отслеживать (см. объяснение ниже)

Мы можем предположить, что все они обслуживаются IIS на одном сервере Windows и что все они являются сайтами ASP.NET, но не являются одним и тем же сайтом в IIS. Все они также используют аутентификацию Windows в том же активном каталоге.

Любой конкретный пользователь может получить доступ к трем или более из этих имен хостов в течение одного сеанса.
Проблема в том, что для каждого нового имени хоста, к которому они обращаются, им заново предлагается ввести свои учетные данные.

Насколько я понимаю, это спланированное поведение браузера - браузеры запрашивают у людей учетные данные, когда они обращаются к сайту аутентификации Windows по полному доменному имени - но эта ситуация очень неприятна для пользователей, которым приходится многократно вводить свои учетные данные.

Я также понимаю, что есть настройки браузера, доступные для включения «Интегрированной аутентификации Windows», которая в основном передает учетные данные насквозь, но для этого требуется изменить настройки браузера, что слишком сложно для пользователей.

Есть ли способ исправить эту ситуацию? Одно приглашение к учетным данным было бы хорошо, но три или более - слишком много.

Вероятность переключения на совершенно другой метод аутентификации (например, ADFS) очень мала, но если есть какой-то «уровень», который можно применить для облегчения этого процесса, он может быть в картах.

Для контекста причина, по которой все настроено таким образом, заключается в том, что это модель приложения для приложения SharePoint, размещенного у поставщика. По сути, SharePoint имеет собственное фиксированное имя хоста, «приложение» имеет собственное фиксированное имя хоста, и существует один или несколько «доменов приложений», которые в основном служат каналом между приложением и SharePoint. Домены приложений генерируются SharePoint динамически, поскольку приложение устанавливается на разных дочерних сайтах в SharePoint.

Одна из причин того, что мое описание ситуации выше немного расплывчато («Мы можем предположить, что ...»), заключается в том, что у меня есть несколько клиентов, которые имеют дело по существу с одной и той же проблемой в своих отдельных средах, и у каждого из них своя уникальная конфигурация сервера.

я спрашивал вариант этого вопроса в TechNet, но безрезультатно.