Согласно документации в default.settings.php, и я видел подобные описания в других местах, "Without "Vary:Cookie", authenticated users would also be served the anonymous page from the cache."
Однако $conf['omit_vary_cookie'] = TRUE;
рекомендуется с Varnish в Drupal 7 и, похоже, не мешает пользователям переключаться с аноновых сеансов на аутентифицированные. Это заголовок, который на самом деле не заботит Varnish?