IdentityServer4 CSP для встроенного веб-приложения

У нас есть два веб-приложения, которые используют один и тот же IdentityServer4 для входа в систему и управления пользователями. Одно приложение представляет собой веб-приложение MVC 5, которое использует гибридный поток, а другое - это TypeScript SPA, который использует неявный поток через oidc-client. Оба приложения безупречно работают с ID4.

Мы хотим, чтобы приложение MVC встраивало SPA в IFrame. Поскольку оба используют один и тот же ID4, мы ожидаем, что SSO будет работать, поэтому, если пользователь уже аутентифицирован на хосте (приложение MVC), он также должен быть подписан во фрейме.

Я не смог найти надлежащую документацию об этом устройстве, но добавил заголовки CSP frame-ancestors, frame-src к каждому запросу. Фрейм успешно переходит на страницу входа. Однако, независимо от наших усилий, мы получаем HTTP 400 после входа в систему, и обратного вызова не происходит.

Что нужно настраивать на какой стороне в этой архитектуре? Любой намек приветствуется, спасибо