Keycloak: Как преодолеть истечение срока действия пароля для псевдопользователя в целях управления конфигурацией?

Есть несколько книг Plays, которые выполняют настройку экземпляра Keycloak во время выполнения через REST API. Playbooks получают токен аутентификации с помощью OIDC. Он использует имя пользователя + пароль - или сертификат X.509 - для аутентификации при получении токена, а затем выполняет необходимые административные задачи с помощью вышеупомянутого токена.

Эти пьесы могут быть запущены спустя много времени после установки Keycloak, так что это не просто инициализация.

Проблема заключается в том, что политика истечения срока действия пароля должна быть установлена ​​(с конечным числом) и в конечном итоге вынуждает пользователя "config-management" - который использует Ansible - менять пароль и, пока этого не происходит, отказывается обслуживать токены аутентификации.

Ответ от Keycloak в этом случае:

{
"error": "invalid_grant",
"error_description": "Account is not fully set up"
}

Если я вхожу в GUI и меняю пароль в представленной форме, он снова работает, но как я могу обойти это? Если я пытаюсь выполнить тот же процесс смены пароля через REST API, я также получаю отказ по истечении срока действия пароля.

Я попытался настроить проверку подлинности X.509, но это по-прежнему не решает проблему, поскольку, когда истекает срок действия пароля, он по-прежнему запрещает токены аутентификации, и независимо от того, как долго действителен сертификат.