Ja, erst muss der Client auf eine Seite zugreifen die ihm die Sessioncookies in der HTTP Antwort mitsendet (z.B. eine Loginseite).

Indy speichert die Cookies im Cookiemanager und sendet sie bei der HTTP Anfrage auf die API-URL dann mit.