Drupal in iframe - Login misslingt. Woran liegt's? rest/csp/cookie/routing/denkfehler?

Hallo zusammen,
ich rätsel schon länger an einem seltsamen Verhalten. Ich habe eine Drupal-Seite in eine andere Seite per iFrame eingebunden. Funktioniert auch, CSP-Header & Co sind (soweit ich weiß) korrekt gesetzt nur beim Login via modales Formular (Bootstrap) wird der User laut Protokoll erst korrekt authentifiziert, der Aufruf gleich danach gibt aber wieder ein "access denied" (CacheableAccessDeniedHttpException) aus. Ohne iframe läuft es reibungslos - und einmal ohne iframe eingeloggt geht es dann auch authentifiziert im iframe weiter. Permission-Settings sinds auf jeden Fall nicht.

Logdaten sind dürftig, Fehlersuche ist sehr aufwändig (Drupal/BrowserCache, Cookies,...) und ich komme nicht wirklich weiter. Vermutung: es liegt an REST-Daten/Cookies? irgendeine CSP-Direktive nicht ganz korrekt? csrf-token? SSL-Mischmasch? (eigentlich alles auf https)

Rahmendaten: Drupal 9.2.6
PHP Version 7.4.3
Access-Control-Allow-Headers: api-key, origin, content-type, x-csrf-token, authorization, accept, x-requested-with, access-control-allow-origin
X-Frame-Options: SAMEORIGIN
Frame-Ancestors auf korrekte Seite gesetzt (via apache.conf - seckit, csp und iframe Modul ausgiebig durchprobiert)
trusted_host_patterns nicht konfiguriert (dev-Server)
jquery.ui.touch-punch.min.js library fehlt - das kann es aber wohl doch kaum sein?
bootstrap-barrio theme

Vielleicht findet sich hier ja ein csrf/rest/iframe/header/cookie/Auth/Routing Experte mit einer Idee, in welche Richtung ich denn noch schauen kann?

Für Tipps wär ich dankbar
vg joooo