Não é o caso – temos uma implementação bastante padrão do que é descrito em Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso) seguindo os redirecionamentos. Isso tem funcionado bem por alguns anos e não o tocamos.
Embora não estejamos fazendo nada incomum com o SSO, eu tentei isso de qualquer maneira desabilitando-o no console Rails e tudo o que fez foi remover a mensagem de erro, no sentido de que quando o provedor de SSO redirecionava de volta para o Discourse, em vez do erro A sessão de login expirou, por favor, tente fazer login novamente., não havia mensagem alguma (erro ou outra) – mas, infelizmente, ainda deslogado.
Estou também agarrando palha aqui, pois isso é bastante estranho. Acho que o fato de o problema não ter aparecido quando atualizamos inicialmente para 3.3.3 pela interface web, mas apenas (~36h) depois de uma reconstrução do console pode ser uma pista, mas não sei o suficiente sobre as diferenças entre os dois.
Tentei atualizar novamente para 3.3.3 e o problema retornou imediatamente. Voltar para 3.3.2 fez o SSO funcionar novamente.