Keycloak, mod_auth_openidc и выход из обратного канала

Среда:

• Debian 8
• mod_auth_openidc 2.3.9
• Keycloak 4.4.0.Final
• Apache 2.4.10

Не уверен, что это вопрос о Keycloak или mod_auth_openidc, но давайте посмотрим, к чему это нас приведет...

Я пытаюсь получить выход из обратного канала, работая с вышеуказанной конфигурацией. Насколько я понимаю, если я нажму URL выхода из mod_auth_openidc ( http://host/redirect_url?logout=http://host/..), Это, в свою очередь, вызовет URL-адрес выхода из Keycloak SSO. И тогда это перезвонит на всех RP, которые поддерживают выход из обратного канала, чтобы дать им возможность убивать там свои собственные сеансы.

Я определил, что URL-адрес выхода Keycloak действительно вызывается, но мое приложение (которое защищено с помощью mod_auth_openidc) никогда не вызывается. Я вижу в журнале Keycloak следующее:

15: 18: 28,672 DEBUG [org.keycloak.services.managers.AuthenticationManager] (задание по умолчанию 1) выход из обратного канала в: ultradev

15: 18: 28,675 DEBUG [org.keycloak.services.managers.ResourceAdminManager] (задание по умолчанию-1) Не удается выйти из системы {0}: нет зарегистрированных сеансов адаптера

что указывает на то, что mod_auth_openidc не зарегистрирован как "адаптер" Keycloak. Я также не уверен, поддерживает ли Keycloak выход из обратного канала согласно спецификации OpenIDC, или это собственный запатентованный механизм. Keycloak не объявляет о поддержке выхода из обратного канала в своей конечной точке метаданных.

В любом случае мой вопрос сводится к следующему: поддерживается ли выход из обратного канала с использованием mod_auth_openidc против Keycloak? Я обнаружил, что документация по Keycloak несколько сбивает с толку, поэтому вполне возможно, что я делаю что-то не так. Нужно ли мне писать адаптер Keycloak, чтобы это работало?

Просто интересно, есть ли у других пользователей mod_auth_openidc опыт здесь.

Спасибо!