Здравствуйте, Aikin, Вы писали:
A>Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же.
A>Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) исползуя одно и то же имя и пароль.
A>Это достигается существованием сайта-координатора (Директория) который занет какой пользователь имеет доступ к какой инстанции, предоставляет сводную информацию со всех инстанций пользователей, синхронизирует изменения в профиле пользователя со всеми инстанциями.

A>Один момент: можно ли из support.contoso.com выставить куку для contoso.com?
A>Иначе придеться все время логиниться из Директории. Что не так уж и плохо, но все же...

Совершенно нормально. Достаточно просто использовать Директорию для логина на всех сайтах.
То есть такой flow имеется в виду:
1. Заходим на application1.directory.com
2. Идем на защищенную страничку application1.directory.com/private
3. Обнаружив отсутствие сессии, страничка делает редирект на
http://directory.com/login?returnUrl=application1.directory.com/private
4. Там пользователь указывает пароль и делает POST туда же
5. Форма логина отдает куки и редирект обратно на application1.directory.com/private
6. Теперь уже кука на месте, и страничка может авторизовать пользователя.