Ho esattamente lo stesso problema segnalato da altre persone qui e in questo thread.
Il problema non è legato all’implementazione SSO né al server web: nel mio caso, le richieste HTTP vengono reindirizzate a HTTPS, che vengono poi inoltrate tramite il reverse proxy. L’SSO funziona perfettamente se reindirizzo l’utente a https://discourse.fqdn.top/session/sso_login?sso=PAYLOAD&sig=SIGNATURE e force_https è impostato su false. Questo dimostra che sia la parte SSO che il proxy funzionano correttamente. Il problema si presenta solo quando attivo force_https impostandolo su true. Se ho già una sessione attiva, posso cambiare force_https su true e usare Discourse senza problemi (ulteriore conferma che il problema non è legato al reverse proxy). Lasciare force_https su false non è un’opzione perché rompe i loghi e Chrome non è soddisfatto quando vengono mescolati asset HTTP e HTTPS (mostra un piccolo avviso nella barra degli indirizzi che la pagina non è sicura).