Im ausführlichen SSO-Log steht „Nonce ist bereits abgelaufen“. Ich sehe keine weiteren Fehlermeldungen.
Es funktioniert weder in der Produktiv- noch in der Entwicklungsumgebung, daher denke ich nicht, dass dies mit der Serverkonfiguration zusammenhängt. Am SSO-Code wurde ebenfalls nichts geändert.
Ich benötige eine Richtung, wo ich weiter suchen soll. Hat sich etwas am SSO geändert oder wurden zwischen 2.5.1 und 2.6.2 neue Konfigurationsoptionen hinzugefügt?
Können Sie einen Link zu Ihrer Website teilen? Haben Sie eine ungewöhnliche Einrichtung mit einer App, oder verwenden die Nutzer einfach nur einen Browser?
Danke für die Details per PN @rysher. Falls es anderen hilft: Das Problem bestand darin, dass der DiscourseConnect-Flow von einer serverseitigen Anfrage des Identity Providers initiiert wurde. So ist das Protokoll nicht vorgesehen, obwohl dies vor dem kürzlichen Sicherheits-Commit technisch möglich war.
Die Lösung besteht darin, sicherzustellen, dass die Benutzer in ihrem eigenen Browser zuerst zu /session/sso weitergeleitet werden, bevor sie zum Identity Provider umgeleitet werden.