E o log SSO detalhado apresenta “Nonce já expirou”. Não vejo outras mensagens de erro.
Não funciona nem no ambiente de produção nem no de desenvolvimento, então não acredito que seja relacionado à configuração do servidor, e nada foi alterado no código SSO.
Preciso de orientação sobre onde investigar mais a fundo. Algo mudou no SSO ou foram adicionadas novas opções de configuração entre as versões 2.5.1 e 2.6.2?
Você consegue compartilhar um link para seu site? Você tem alguma configuração incomum com um aplicativo, ou os usuários estão simplesmente usando um navegador?
Obrigado pelos detalhes via MP @rysher. Caso ajude mais alguém, o problema aqui era que o fluxo do DiscourseConnect estava sendo iniciado por uma solicitação do lado do servidor vinda do provedor de identidade. Essa não é a forma como o protocolo foi projetado para ser usado, embora, antes do commit de segurança recente, fosse tecnicamente possível.
A solução é garantir que os usuários sejam direcionados para /session/sso em seu próprio navegador antes de serem redirecionados para o provedor de identidade.