В подробном логе SSO указано: “Nonce уже истек”. Других сообщений об ошибках я не вижу.
Это не работает ни в рабочей, ни в тестовой среде, поэтому я не думаю, что проблема связана с конфигурацией сервера. В коде SSO тоже ничего не менялось.
Мне нужна подсказка, куда копать дальше. Что-то изменилось в SSO или были добавлены новые параметры конфигурации между версиями 2.5.1 и 2.6.2?
Спасибо за детали в личном сообщении, @rysher. Если это поможет кому-то ещё, то проблема заключалась в том, что поток DiscourseConnect инициировался серверным запросом со стороны провайдера идентификации. Это не соответствует тому, как протокол предназначен для использования, хотя до недавнего обновления безопасности это технически было возможно.
Решение состоит в том, чтобы убедиться, что пользователи сначала перенаправляются в свой браузер на /session/sso, и только затем — к провайдеру идентификации.