如何使用外部身份提供程序对API进行身份验证？

我在同一台机器上进行了以下设置：

• WSO2-AM
• WSO2-IM-KM（身份管理员作为主要经理）

身份管理器将身份验证联合到外部OpenID身份提供程序。

到目前为止我做了什么：

• 在两个组件之间共享数据库
• 使WSO2-AM将身份验证委派给WSO2-IM-KM
• 将外部提供程序配置为生成的服务提供程序（在WSO2-AM存储中创建应用程序时在WSO2-IM-KM中生成）

目前的行为：

• 我可以通过调用以下URL获取授权代码：https://my.site:9444/oauth2/authorize?response_type=code&client_id=pkYcC4xFQ1jt6dQbdZAe6savv4oa&scope=phone+email+address+openid+profile&redirect_uri=https://my.site:9443/store/jagg/jaggery_oidc_acs.jag&nonce=3734e7d4c22f1&state=128d20e14c884，身份验证成功，然后jaggery_oidc_acs.jag端点失败
• 由于jaggery_oidc_acs.jag端点失败，我手动检索code然后POST它https://my.site:8243/token返回我access_token，refresh_token和id_token

我的问题：

• 我怎么能自动化之前描述的手动步骤？我是否负责创建一个专用端点来执行此操作，以便保持authorization_code从客户端进行模糊处理，或者在WSO2中是否有内置端点？如果合适，这个端点是什么？
• 是否有生成oauth2/authorize URL的端点？

经过进一步研究：

我发现以下文档https://docs.wso2.com/display/IS540/Authorization+Code+Grant似乎表明我需要一个“客户端”，但我没有，我只需要我的API通过外部身份提供程序进行身份验证。