Как парсить Prometheus, защищенный с помощью OAuth2-прокси и Keycloak

У меня есть 2 прометея, оба с прямой аутентификацией через прокси-сервер oauth2, которые имеют одинаковые учетные данные клиента в одном ключе. Я бы хотел, чтобы один Прометей объединил другого. Это мой фрагмент конфигурации для аутентификации в prometheus.yml

          oauth2:
      client_id: "oauth-proxy"
      client_secret: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
      token_url: "https://keycloak.mydomain.tld/realms/master/protocol/openid-connect/token"

Я даже не уверен, следует ли им использовать идентификатор клиента oauth-proxy или другой, но думаю, это не имеет особого значения.

Как вы, возможно, видите, я использую новую клавиатуру на основе Quarkus, пользовательский интерфейс которой немного отличается от старой клавиатуры на основе Wildfly.

Сначала я получил ошибку о том, что клиенту keycloak не разрешено использовать токены учетной записи службы. Я исправил это, включив настройку «Роли сервисных учетных записей» в клиенте. Теперь, по-видимому, очищающий Прометей может получить токен из keycloak, но цель по-прежнему отображается как «401 неавторизованная». Что мне здесь не хватает?