Пока писал сообщение понял, что "ошибка" кроется в WebApplication.Logon(), там есть на 60 строчке есть редирект на переданный url (weblink) и так как он пустой, то происходит редирект на урл домашней страницы (а она конечно "чистая" без параметров в урле) и, в этом случае все параметры теряются.
Код:
webSession.redirect(redirectTo);
Logon вызывается из метода SetUser. Получается, что нужно в SetUser или ранее контролировать наличие точной ссылки и давать на вход Logon-у.
Уф... Надеюсь на правильном пути.