如何通过一个ADFS服务器提供多个网站？

我有两台服务器：其中一台服务于UI（称为webUI），另一台服务于数据（称为webAPI）。如何通过一个ADFS服务器提供多个网站？

我尝试在整个ADFS服务器上实现身份验证。它有依赖方信任两个服务器：[urn = webui，标识符=地址/ webui]，[urn = webapi，标识符=地址/ webapi]。

我调整了webUI的HttpConfiguration，用户可以通过身份验证并使用webUI服务的网站（这很好）。

 var wsFedMetAdd = ConfigurationManager.AppSettings["wsFedMetAdd"]; 
     if (string.IsNullOrWhiteSpace(wsFedMetAdd)) 
      throw new ConfigurationErrorsException(Properties.Resources.InvalidMetadataAddress); 

     var wsFedWtrealm = ConfigurationManager.AppSettings["wsFedWtrealm"]; 
     if (string.IsNullOrWhiteSpace(wsFedWtrealm)) 
      throw new ConfigurationErrorsException(Properties.Resources.InvalidWtrealm); 

     appBuilder.UseCookieAuthentication(new CookieAuthenticationOptions 
     { 
      AuthenticationType = WsFederationAuthenticationDefaults.AuthenticationType 
     }); 

     var options = new WsFederationAuthenticationOptions 
     { 
      MetadataAddress = wsFedMetAdd, 
      Wtrealm = wsFedWtrealm, 
      SignInAsAuthenticationType = "Federation" 
     }; 
     appBuilder.UseWsFederationAuthentication(options); 

     config.Filters.Add(new AuthorizeAttribute() { Roles = "Admin" }); 

一旦客户端获得RequestSecurityTokenResponse（SAML令牌）。来自ADFS的响应还为进一步的请求设置了Cookie（MSISAuth，MSISAuthenticated等）。

的的WebAPI具有HttpConfiguration相同FPGA实现（只有一个差别 - wsFedWtrealm是瓮：的WebAPI代替瓮：WebUI中）。然后我尝试从客户端向webAPI发送请求，并且ADFS服务器要求再次进行身份验证。

我不明白我应该如何使用相同的凭证来输入webUI的webAPI。或者，也许我应该使用SAML令牌？

UPDATE

哇。它没有SAML令牌，只使用cookie。 当用户尝试对webUI进行身份验证时，会在客户端上设置不同的Cookie（.AspNet.Federation，MSISAuth，MSISAuthenticated ...）。然后，我将webUI链接替换为地址栏中的webAPI链接，然后webAPI不要求输入登录名和密码。因此数据显示在浏览器中。身份验证是为webUI和webAPI提取的。

但现在的问题是我得到的错误时，JavaScript的尝试发送到的WebAPI请求：

的XMLHttpRequest无法加载 https://my_address/adfs/ls/?wtrealm=urn%3awebapi&wctx=_无“访问控制允许来源”标头出现在要求 资源。原因'https://my_address:9001'因此不允许 访问。