Um passo adiante: se eu ativar o registro detalhado para DiscourseConnect, recebo um erro nos logs:
Log detalhado do SSO: Erro de análise de assinatura Assinatura inválida para a carga útil sso: bm9uY2U9YklKeEU1WWw2OFhjSkJydGlwSU15UTRZeVlMeWd6ZzQyUU9mOFo0SWF5QSZyZXR1cm5fc3NvX3VybD1odHRwczovL2VtYmVldGxlLmNvbS8jYWNjb3VudA=
Um ponto notável é que a carga útil mencionada no log não está codificada em URL (note o ‘=’ no final) e está faltando o segundo ‘=’ dos dados codificados em URL (note o %3D repetido no final da carga útil original).