Los puntos finales de introspección de Keycloak regresan inactivos cuando token_type_hint solicita_party_token

Estoy usando Keycloak 3.4.3-Final. Cambiar la versión de la capa de teclas no es una opción para mí. Creé un cliente y un usuario, obtuve un JWT usando ID de usuario/PW e intenté realizar una introspección de este JWT. Cuando especifico token_type_hint=requesting_party_token, Keycloak devuelve que JWT está inactivo. Si omito token_type_hint, obtengo un resultado que dice que el token está activo.

A continuación se muestra cómo reproducir el problema:

# run keycloak using docker
docker run -d jboss/keycloak:3.4.3.Final

# create a client and user. keycloak config is https://gist.github.com/roengram/9beba13665592322d666a92110ac1ff9

# get a JWT using user ID/PW
curl -s -d \
  "client_id=${CLIENT_ID}" \
  -d "client_secret=${CLIENT_SECRET}" \
  -d "username=${USERID}" -d "password=${USERPW}" \
  -d "grant_type=password" \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token"
{"access_token":"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI2RUpvU0RnOEtBeHlKUHhjODM3UC1kMFlac1NUS2drU...

# introspect the token according to https://www.keycloak.org/docs/3.4/authorization_services/#obtaining-information-about-an-rpt
curl -X POST \
  -u ${CLIENT_ID}:${CLIENT_SECRET} \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d 'token_type_hint=requesting_party_token&token=${JWT}' \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token/introspect"
{"active":false}

# if token_type_hint is omitted, active is returned
curl -X POST \
  -u ${CLIENT_ID}:${CLIENT_SECRET} \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d 'token=${JWT}' \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token/introspect"
{"jti":"89eaa1b0-86bc-4ea2-8bf4-58dca2e3e794","exp":1560252718,"nbf":0,"iat":1560249118,"iss":"http://172.19.0.4:8080/auth/realms/master","aud":"testclient","sub":"843deccc-07f0-45b5-9965-653405a84bfe","typ":"Bearer","azp":"testclient","auth_time":0,"session_state":"eee130fc-00d8-4f0c-912d-d65de81982d0","preferred_username":"roen","acr":"1","allowed-origins":[],"realm_access":{"roles":["uma_authorization"]},"resource_access":{"account":{"roles":["manage-account","manage-account-links","view-profile"]}},"client_id":"testclient","username":"roen","active":true}

¿Probablemente estoy usando un token_type_hint incorrecto? De acuerdo con laEspecificaciones, el servidor utiliza opcionalmente token_type_hint para optimizar la búsqueda de tokens y se puede ignorar. Sospecho que el token que envié a keycloak no es de RPT, por lo que keycloak simplemente regresa inactivo.