Esses dois aplicativos não se reconhecem, pois estão em perfis separados. Então, eu espero que o segundo veja um ID de sessão que ele não reconhece, assume que é um expirado e cria um novo.
Você pode alterar um dos nomes de cookie do aplicativo para algo diferente de JSESSIONID ou pode alterar seu caminho para que ele seja enviado apenas para / app1 ou / app2.
Em todo o servidor, em Servers
> Nome do servidor > Session Management
> Enable Cookies
ou para as aplicações específicas em Enterprise Applications
> Nome do aplicativo > Session Management
> %código%. Se você escolher o último, você também deve verificar Enable Cookies
.