saml2承载oAuth:访问群体验证失败

我尝试通过WSO2上的SAM2承载oAuth实现SSO机制。
1.用户呼叫WebAPP1
2.WebAPP1（SP）在IDP登录页面（OpenAM）上重定向用户
3.WebAPP1（SP）使用SAML2调用oAuth服务器（WSO2 IS或AM）以获取oAuth令牌

在这个步骤中，WSO2 IS（或AM）失败，错误为：“SAML断言受众验证失败”。
我不明白为什么，因为发送到oAuth服务器的SAML2中设置的访问群体值与is或AM上的“可信身份提供程序”中定义的值相同。

我不明白为什么。。。请帮帮我

---

Nicolas

我猜SAML断言可能不包含所有受众URL。在受信任的IDP UI中，您可以配置身份提供程序访问群体。如果您已经定义了它们，那么这些URL必须在断言中。也。。由“OAuth2令牌端点名称：”定义的值也必须作为断言中的访问群体url