При более тщательном расследовании я действительно ошибся в кодировании.
Вот что в итоге получилось, на будущее:
return_payload = base64.b64encode(parse.urlencode(kwargs).encode("utf-8"))
h = hmac.new(secret.encode("utf-8"), return_payload, digestmod=hashlib.sha256)
resp = requests.post(
".../admin/users/sync_sso",
data={"sso": return_payload, "sig": h.hexdigest()}
headers={...}
)
И если вы делаете редирект, обязательно выполните parse.urlencode для {“sso”…}.