>Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же.
>Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) используя одно и то же имя и пароль.

Ах да. Если ты пользуешься стандартной forms-аутентификацией, то делать-то тебе почти ничего не придется.
Достаточно во всех web-приложениях в субдоменах чуток подкорректировать web.config.
А именно задать корректный атрибут domain в елементе forms:
forms Element for authentication (ASP.NET Settings Schema)

<forms
name="name"
loginUrl="URL"
defaultUrl="URL"
protection="[All|None|Encryption|Validation]"
timeout="[MM]"
path="path"
requireSSL="[true|false]"
slidingExpiration="[true|false]">
enableCrossAppRedirects="[true|false]"
cookieless="[UseUri|UseCookie|AutoDetect|UseDeviceProfile]"
domain="domain name">
<credentials>...</credentials>
</forms>

domain
Optional attribute.
Specifies an optional domain to set on outgoing forms-authentication cookies. This setting takes precedence over the domain that is used in the httpCookies element.
This attribute is new in the .NET Framework version 2.0.
The default is an empty string ("").