y el registro detallado de SSO indica “Nonce ya expirado”. No veo ningún otro mensaje de error.
No funciona ni en el entorno de producción ni en el de desarrollo, por lo que no creo que esté relacionado con la configuración del servidor; tampoco se ha realizado ningún cambio en el código de SSO.
Necesito orientación sobre dónde profundizar. ¿Ha cambiado algo en SSO o se han añadido nuevas opciones de configuración entre las versiones 2.5.1 y 2.6.2?
Gracias por los detalles a través del MP, @rysher. Por si le sirve a alguien más, el problema aquí era que el flujo de DiscourseConnect se estaba iniciando mediante una solicitud del lado del servidor desde el proveedor de identidad. No es así como el protocolo está diseñado para ser utilizado, aunque antes del último commit de seguridad, era técnicamente posible.
La solución es asegurarse de que los usuarios sean dirigidos a /session/sso en su propio navegador antes de ser redirigidos al proveedor de identidad.